Fehlermeldung: Internet Explorer konnte keine Verbindung zu der
angeforderten Webseite herstellen. Möglicherweise ist sie vorübergehend
nicht verfügbar.
auf einer alten Installation läuft es noch.
Beim chrome-browser wird vor der url ein Deutsche-Bank logo mit Schloss
angezeigt.
Ich vermute veränderte Sicherheitseinstellungen des browsers. Wenn ich
die aber auf Null stelle, läuft es immer noch nicht.
Hat jemand eine Idee?
Windows-Update bemühen, letztes Stammzertifikat-Update einspielen.
Wenn das nicht reicht, z.B. weil sich die relevanten Stammzeritifikate
nach dem Windows-XP Supportende geändert haben: Herausfinden, wie du
manuel erledigen kannst.
Welche Zertifikate das wären, kannst du ja im Chrome auf dem
Schloss-Symbol herausfinden.
Wenn's das nicht ist: Evtl. erzwingt die Deutsche Bank hier PFS, und der
alte IE6 verschluckt sich dran?
Quigglebear schrieb:> Geht's noch? Homebanking mit dem IE6?? Unter XP???> Das ist schon grob fahrlässig...
warum? Wenn er wirklich NUR Banking macht. Dann gibt es dort überhaupt
kein Problem. Denn da müsste der Virus von der Bank selber kommen.
Peter II schrieb:> Wenn er wirklich NUR Banking macht. Dann gibt es dort überhaupt> kein Problem. Denn da müsste der Virus von der Bank selber kommen.
Ein Betriebssystem mit potentiell offenen Sicherheitslücken am Netz? Ich
denke da könnte es schon Probleme geben...
Quigglebear schrieb:> Ein Betriebssystem mit potentiell offenen Sicherheitslücken am Netz? Ich> denke da könnte es schon Probleme geben...
die Firewall hat (bis jetzt) keine Sicherheitslücken und diese lässt
keine zugriffe von außen zu.
Nicht immer alles glaube was die Medien verbreiten.
Peter II schrieb:> Quigglebear schrieb:>> Ein Betriebssystem mit potentiell offenen Sicherheitslücken am Netz? Ich>> denke da könnte es schon Probleme geben...>> die Firewall hat (bis jetzt) keine Sicherheitslücken und diese lässt> keine zugriffe von außen zu.>> Nicht immer alles glaube was die Medien verbreiten.
Was nützt die Firewall, wenn ein angreifbarer Dienst einen Port nach
außen geöffnet hat?
Quigglebear schrieb:> Was nützt die Firewall, wenn ein angreifbarer Dienst einen Port nach> außen geöffnet hat?
Warum sollte ein Windows Rechner (egal ob XP oder neuer), der nur zum
Surfen verwendet wird, einen Dienst (egal ob angreifbar oder nicht)
laufen haben, der von außen erreichbar ist?
Und bevor das UPnP-Argument kommt: Eine Firewall, die ihr Geld wert ist,
hört nicht auf UPnP-Hack-Me-Please-Requests aus dem LAN.
Quigglebear schrieb:> Was nützt die Firewall, wenn ein angreifbarer Dienst einen Port nach> außen geöffnet hat?
dafür muss es die Firewall um konfigurieren. Ports sind unter Windows
seit XP SP2 nicht automatisch fürs Internet offen.
Man kann der Firewall einfach sagen - keine Ausnahmen. Dann sind
überhaupt keine Ports offen.
> Und bevor das UPnP-Argument kommt: Eine Firewall, die ihr Geld wert ist,> hört nicht auf UPnP-Hack-Me-Please-Requests aus dem LAN.
die Windows-Firewall hört glaube ich nicht auf UPnP. Dann ist es ein
Protokoll um in dem Router etwas freizuschalten.
Peter II schrieb:> die Windows-Firewall hört glaube ich nicht auf UPnP. Dann ist es ein> Protokoll um in dem Router etwas freizuschalten.
Ahso, ihr redet von der Windows-Eigenen Firewall... Ich bin von einem
externen Router ausgegangen.
Εrnst B✶ schrieb:> Windows-Update bemühen, letztes Stammzertifikat-Update einspielen.
Ich habe auf dem Rechner 3xp-Betriebssysteme die jeweils mit der
gleichen sp3-Installations-cd eingerichtet worden sind. Wenn der Rechner
-wegen Viren?- zu langsam wird, installiere ich immer neu. Das hat sich
im Prizip bewährt.
Bei der ältesten Version läuft das Bankprogramm noch, bei den beiden
neueren nicht. Es kann also nicht am Windows update liegen.
Quigglebear schrieb:> Geht's noch? Homebanking mit dem IE6?? Unter XP???
Da für jede Transaktion eine TAN benötigt wird, die mir in Papierform
übersandt wird, ist das System nach menschlichem Ermessen sicher,
solange der Zettel mit den TANs bei mir bleibt.
Grundschüler schrieb:> Quigglebear schrieb:>> Geht's noch? Homebanking mit dem IE6?? Unter XP???>> Da für jede Transaktion eine TAN benötigt wird, die mir in Papierform> übersandt wird, ist das System nach menschlichem Ermessen sicher,> solange der Zettel mit den TANs bei mir bleibt.
Es ist angreifbar durch MitM Attacken. Die Papier-TAN Liste gilt als
unsicher(*) und überholt. Viele Banken bieten sie daher nicht mehr an
und selbst Bestandskunden werden mit und mit umgestellt.
Ein Rechner mit XP und IE6, auch ohne andere Seiten aufzurufen ist für
Malware ein Honigtopf.
Dazu musst du nichtmal unvorsichtig sein. Auch eine Bankenseite bietet
Angriffsfläche gegen den Rest des Webs (XSS, Eingebettete Inhalte
Dritter, Serversoftware [z.B. SSL Heartbleed?]).
PS: Auch fremde Partitionen/Zweitinstallationen kann man wunderbar
infizieren, auch wenn das darauf installierte BS nicht gerade aktiv ist.
3 Installationen von XP ist nicht wirklich sicherer als eine. In Zeiten
in denen Banking-Malware sogar drauf wartet dass dein Handy
angeschlossen wird um das ebenfalls zu infizieren, solltest du darauf
jedenfalls nicht vertrauen.
Zudem BIST du unvorsichtig, du hast ja selbst gesagt, dass du eben NICHT
NUR auf der Banking Seite bist - auch wenn es nur zum Testen war.
(*) Summen und Ziele von Transaktionen werden manipuliert und die
Bankenrückmeldung im gleichen Zug so korrigiert, dass du diese
Manipulation auf dem infiziertem Rechner nicht siehst und mit deiner PIN
(oder iPIN) bestätigst.
Maxx schrieb:> Die Papier-TAN Liste gilt als> unsicher(*) und überholt. Viele Banken bieten sie daher nicht mehr an> und selbst Bestandskunden werden mit und mit umgestellt.
wo steht das?
smsTan ist mittlerweile im Zusammenhang mit Adroid anfälliger als jede
Tanliste.
Meine beiden Banken machen keine Anstalten mich auf SMS-Tan umzustellen.
Das würde ich auch nicht wollen. Es gab schon genug bespiele wo SMS-Tan
gehackt wurden ist.
http://www.heise.de/security/meldung/Angriffe-auf-mit-mTAN-geschuetzte-Konten-1928312.html
Ich kann auch Geld überweisen, wenn mein Handy leer ist oder vergessen
wurde. Und an eine Tanliste kommt man nicht mit einen Trojaner ran.
Quigglebear schrieb:> Doch, genau das passiert bei einer MitM-Attacke ;-)
nur wenn ich eine Überweisung machen. Also nur mit meiner mithilfe. Bei
SMS-Tan kann man das ohne den Anwender machen. Man braucht dafür nur
eine PIN die man irgend wann mal sich besorgt hat.
Peter II schrieb:> nur wenn ich eine Überweisung machen. Also nur mit meiner mithilfe. Bei> SMS-Tan kann man das ohne den Anwender machen. Man braucht dafür nur> eine PIN die man irgend wann mal sich besorgt hat.
Nee, ist doch in beiden Fällen das Gleiche. Wo soll denn die mTan
herkommen, wenn man nicht gerade eine Überweisung macht?
Boris P. schrieb:> Nee, ist doch in beiden Fällen das Gleiche. Wo soll denn die mTan> herkommen, wenn man nicht gerade eine Überweisung macht?
wenn der Angreife die PIN hat, kann er die Überweisung komplett selber
machen. Dafür braucht er den Benutzer nicht.
Bei einer TanListe kann es nur machen, wenn ich eine Überweisung machen
will.
Und das ist ein sehr großer Unterschied.
Maxx schrieb:> Von 2009:> http://www.heise.de/security/meldung/BKA-iTAN-Verfahren-keine-Huerde-mehr-fuer-Kriminelle-219497.html>> Und schon 2005:> http://www.heise.de/security/meldung/Erfolgreicher-Angriff-auf-iTAN-Verfahren-147177.html>> Das Verfahren wurde durch Sicherere abgelöst, die Ihre eigenen Probleme> haben (mTAN/smsTAN) die durch die Verschmelzung der beiden> Kommunikationskanälen herrühren. Prinzipiell ist 2FA immer einem> einzelnen, starren Passwort/Passwortliste vorzuziehen.
alles was dort steht, beruht auf der Dummheit der Nutzer. (Phishing).
Oder lässt sich wie beschrieben vermeiden (SSL key Prüfen).
Bei smsTAN habe ich einen zusätzlichen Angriffspunkt (Telefon Provider,
Android an sich) den ich nicht unter Kontrolle habe.
Für mich ist smsTAN unsicherer als eine TanListe, aber das ist halt
meine persönliche Meinung.
Peter II schrieb:> Bei einer TanListe kann es nur machen, wenn ich eine Überweisung machen> will.
Korrekt.
Dennoch landet am Ende dein Geld da, wo du es nicht whaben illst, es sei
denn, du nutzt dein Online-Banking nicht. Was dann zu der Frage führt,
warum seltzt man sich der Gefahr aus überhaupt eine TAN Liste zu
besitzen/beziehen, die auf verscheidene Herkömmliche Methoden abhanden
kommen kann. (Z.B. Nachsendeauftrag + TAN Liste Sperren)
Also: Online Banking ganz kündigen.
Peter II schrieb:> alles was dort steht, beruht auf der Dummheit der Nutzer. (Phishing).> Oder lässt sich wie beschrieben vermeiden (SSL key Prüfen).
Nein.
Peter II schrieb:> Bei smsTAN habe ich einen zusätzlichen Angriffspunkt (Telefon Provider,> Android an sich) den ich nicht unter Kontrolle habe.
Korrektur: Du hast nun 2 Faktoren, die beide Angegriffen werden
müssen. Also nicht A oder B sondern A und B. Das erhöht die Sicherheit
und reduziert sie nicht.
Maxx schrieb:> Dennoch landet am Ende dein Geld da, wo du es nicht whaben illst, es sei> denn, du nutzt dein Online-Banking nicht. Was dann zu der Frage führt,> warum seltzt man sich der Gefahr aus überhaupt eine TAN Liste zu> besitzen/beziehen, die auf verscheidene Herkömmliche Methoden abhanden> kommen kann. (Z.B. Nachsendeauftrag + TAN Liste Sperren)
du hast den Unterschied immer noch nicht verstanden.
Bei iTAN muss ich selber aktiv sein und wenn ich aufmerksam bin, kann
ich Manipulation selber erkennen. Bei SMS-Tan kann ich am Strand liegen
und mein Konto wird leer geräumt.
Peter II schrieb:
> > alles was dort steht, beruht auf der Dummheit der Nutzer. (Phishing).> > Oder lässt sich wie beschrieben vermeiden (SSL key Prüfen).> Nein.
gibt es auch ein Grund für das nein, oder hast du die Artikel selber gar
nicht gelesen?
Maxx schrieb:> Korrektur: Du hast nun 2 Faktoren, die beide Angegriffen werden> müssen. Also nicht A oder B sondern A und B. Das erhöht die Sicherheit> und reduziert sie nicht.
wenn ich Fremden vertrauen muss, erhöht das also die Sicherheit? Kann
gibt mir doch einfach deine PIN, dann ist für dich die Sicherheit noch
höher.
Peter II schrieb:> Maxx schrieb:>> Korrektur: Du hast nun 2 Faktoren, die beide Angegriffen werden>> müssen. Also nicht A oder B sondern A und B. Das erhöht die Sicherheit>> und reduziert sie nicht.>> wenn ich Fremden vertrauen muss, erhöht das also die Sicherheit? Kann> gibt mir doch einfach deine PIN, dann ist für dich die Sicherheit noch> höher.
Ja. Denn obwohl ich dir vertraut habe, hast du immer noch nicht alle
nötigen Daten. Ob du nun willst oder nicht, allein mit diesen Daten
kannst du nichts anfangen.
Vertraue ich dir aber sowohl PIN und TAN an, liegt es allein an deinem
Gewissen ob du es ausnutzt.
Peter II schrieb:> Bei iTAN muss ich selber aktiv sein und wenn ich aufmerksam bin, kann> ich Manipulation selber erkennen. Bei SMS-Tan kann ich am Strand liegen> und mein Konto wird leer geräumt.
Das ist nicht richtig. Das beweisen die Kiminalstatistiken.
Und ja du BIST aktiv. Das ist der Sinn des Onlinebankings: Es zu nutzen.
Es ist doch egal wann jemand deine Zugangsdaten abfängt oder wie,
haptsache er hat sie alle.
Und du lieferst sie Ihm. Ob du nun die Reise bezahlen willst und
ausgeraubt wirst oder ob du in trügerischer Sicherheit am Strand liegst
und dein Geld weg ist. Macht das für dich einen unterschied?
Peter II schrieb:> Oder lässt sich wie beschrieben vermeiden (SSL key Prüfen).
Wie willst du das, wenn du deinem System den Zugriff auf die gesperrten
Zertifikate per Update verweigerst weil es für dein System diese Updates
nicht mehr gibt?
Maxx schrieb:> Das ist nicht richtig. Das beweisen die Kiminalstatistiken.> Und ja du BIST aktiv. Das ist der Sinn des Onlinebankings: Es zu nutzen.> Es ist doch egal wann jemand deine Zugangsdaten abfängt oder wie,> haptsache er hat sie alle.>> Und du lieferst sie Ihm. Ob du nun die Reise bezahlen willst und> ausgeraubt wirst oder ob du in trügerischer Sicherheit am Strand liegst> und dein Geld weg ist. Macht das für dich einen unterschied?
nein. Bei iTAN braucht der Angreifer für jede Übeweisung eine TAN und
diese muss ich selber eingeben. Bei smsTAN braucht er nur die PIN. Und
kann dann mit umgeleiteten SMS so viele Überweisungen machen wie er
will.
Und die meisten Banken haben ein Überweisungslimit. Damit kann er also
maximal das ausnutzen. Bei der SMS-Tan kann ich jeden Tag Geld
überweisen.
> Und du lieferst sie Ihm. Ob du nun die Reise bezahlen willst und> ausgeraubt wirst oder ob du in trügerischer Sicherheit am Strand liegst> und dein Geld weg ist. Macht das für dich einen unterschied?
ja, die menge macht es. Eine Überweisung treibt mich nicht in den Ruin,
jeden Tag eine aber schon.
> > Oder lässt sich wie beschrieben vermeiden (SSL key Prüfen).> Wie willst du das, wenn du deinem System den Zugriff auf die gesperrten> Zertifikate per Update verweigerst weil es für dein System diese Updates> nicht mehr gibt?
Darauf konnte man sich eh noch nie darauf verlassen. Daran ändert auch
XP nichts.
Ich habe noch nichts darüber gelesen, das jemand mit einen gefälschten
Zertifikat an Geld gekommen ist, bei smsTAN gibt es Beispiele.
Ich versuch es ein letztes Mal:
Peter II schrieb:> Bei iTAN braucht der Angreifer für jede Übeweisung eine TAN und> diese muss ich selber eingeben. Bei smsTAN braucht er nur die PIN. Und> kann dann mit umgeleiteten SMS so viele Überweisungen machen wie er> will.
Deine eingegebene TAN leitet jeder Angreifer sowieso um. Er braucht den
umständlichen Umweg übder die SMS nicht mehr.
Peter II schrieb:> ja, die menge macht es. Eine Überweisung treibt mich nicht in den Ruin,> jeden Tag eine aber schon.
Er kann Betrag und Ziel manipulieren.
Mal eine 1000€ Überweisung ist dir egal?
Peter II schrieb:> Darauf konnte man sich eh noch nie darauf verlassen. Daran ändert auch> XP nichts.> Ich habe noch nichts darüber gelesen, das jemand mit einen gefälschten> Zertifikat an Geld gekommen ist, bei smsTAN gibt es Beispiele.
Dann lern google nutzen.
Sowohl Wildcard-Zertifikate (großer Aufschrei ~2011) als auch durch
Malware installierte Zertifikate sind nicht unbekannt.
Maxx schrieb:> Peter II schrieb:>> Bei iTAN braucht der Angreifer für jede Übeweisung eine TAN und>> diese muss ich selber eingeben. Bei smsTAN braucht er nur die PIN. Und>> kann dann mit umgeleiteten SMS so viele Überweisungen machen wie er>> will.>> Deine eingegebene TAN leitet jeder Angreifer sowieso um. Er braucht den> umständlichen Umweg übder die SMS nicht mehr.
und was will er mit den TAN? Diese TAN ist nur im Zusammenhang mit der
Überweisung die ich gerade machen gültig. Der weiterleiten bringt
überhaupt nichts.
Man kann nur die Daten der Überweisung noch schnell ändern, das geht
aber nur auf dem lokal PC.
> Peter II schrieb:>> ja, die menge macht es. Eine Überweisung treibt mich nicht in den Ruin,>> jeden Tag eine aber schon.>> Er kann Betrag und Ziel manipulieren.> Mal eine 1000€ Überweisung ist dir egal?
egal nicht, aber liebe als jeden Tag 1000€
> Peter II schrieb:>> Darauf konnte man sich eh noch nie darauf verlassen. Daran ändert auch>> XP nichts.>> Ich habe noch nichts darüber gelesen, das jemand mit einen gefälschten>> Zertifikat an Geld gekommen ist, bei smsTAN gibt es Beispiele.>> Dann lern google nutzen.> Sowohl Wildcard-Zertifikate (großer Aufschrei ~2011) als auch durch> Malware installierte Zertifikate sind nicht unbekannt.
ich konnte kein Banking fall finden.
Dr ING-DiBa ist es egal ob und wie iTAN oder mTAN gestohlen wurde, sie
ersetzt den Schaden trotzdem, solang du nicht auf dem Smartphone
Überweisungen einpflegst das auch die mTAN-SMS empfängst, oder eine
eingescannte iTAN-Liste auf dem Rechner rumliegt....
Irgendwann wird sich halt zusätzlich die Frage stellen, inwieweit das
Verweigern von Sicherheitsupdates & das Verwenden von IE6 als "Vorsatz"
zählt... Momentan scheint ein aktuelles, gepatchtes System noch keine
Vorraussetzung für diese Garantie zu sein.
Peter II schrieb:> und was will er mit den TAN? Diese TAN ist nur im Zusammenhang mit der> Überweisung die ich gerade machen gültig. Der weiterleiten bringt> überhaupt nichts.> Man kann nur die Daten der Überweisung noch schnell ändern, das geht> aber nur auf dem lokal PC.
Eben nicht. Das geht als MitM ohne dein Wissen und ohne deine
Möglichkeit das zu erkennen. Das ist der Knackpunkt. Es gibt einen
schwachen Punkt und einen schwachen Moment. Diesen Auszunutzen war am
Anfang mal etwas Denkarbeit aber mittlerweile ist das ziemlich
automatisiert und die nötigen Bausätze für ein paar Euro zu bekommen.
Hey, du kannst eine "berühmte" Malware mit nem Götternamen (seit min
2010 aktiv) sogar in einer Version auf GitHub finden.
Peter II schrieb:>> Sowohl Wildcard-Zertifikate (großer Aufschrei ~2011) als auch durch>> Malware installierte Zertifikate sind nicht unbekannt.> ich konnte kein Banking fall finden.
Aber bei dem es um Geld geht (In Form von ITunes/Paysafe-Karten etc).
Dass es bei Banking Trojaner nicht üblich ist liegt einfach daran, dass
es einfachere Wege gibt eine Warnung zu verbergen. Nichtsdestotrotz ist
man selbst, wenn man penibel auf jede Kleinigkeit achtet nicht
ausgeschlossen etwas untergeschoben zu bekommen.
Wir wissen aber bereits du achtest nicht auf jede Kleinigkeit, sonst
wäre es kein Unterschied, ob du einmal 1000€ geklaut bekommst oder an
einem Tag und sofort das Banking sperrst.
Die Frage ist warum das Risiko aufnehmen, wenn man mit kleinem Aufwand
diese Risiken reduzieren kann. z.B. keine Browserversion mit riesigen
klaffenden Lücken zu nutzen und nicht mehr Sicherheitsupdates
einzuspielen weil das OS nicht mehr supportet wird:
http://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-9900/Microsoft-Internet-Explorer.html
Maxx schrieb:> MitM Attacken
Das habe ich bislang nicht gewusst. Jemand müsste meinen Datenausgang
abfangen, sich mit meinen Daten bei der Bank anmelden, auf meine
Eingaben mit den banküblichen Eingaben antworten und dann meine TAN
gegenüber der Bank für eigene Zwecke benutzen. Sofern die Auswahl der
TAN nicht an die Art der Überweisung gekoppelt ist, ist das theoretisch
sicher möglich. Herrn Obama und seiner NSA traue ich sowas auch
technisch zu.
Wie groß ist die tatsächliche Gefahr, dass solche Angriffe umgesetzt
werden? Hat es solche Angriffe schon mal erfolgreich gegeben? Kann man
das irgendwo nachlesen?
Peter II schrieb:> Man kann der Firewall einfach sagen - keine Ausnahmen. Dann sind> überhaupt keine Ports offen.
Ja... und dann kommst du aber auch nicht ins Internet.
Keine offenen Ports = Kein Internet! Ganz einfache Sache. Und du kannst
deine Firewall noch so toll einstellen: Wenn ich deine Firewall umgehen
will, dann tu ich das einfach. Mal angenommen du hast nur Port 80 offen
(und das solltest du, weil du sonst nur schwer im Internet surfen
kannst), was sollte meine Malware daran hindern über Port 80 nach
draußen zu kommunizieren? Richtig: GAR NICHTS! Da kannst du deine
Firewall noch so toll einstellen, die hilft dir da kein stück! Keine
Firewall der Welt, selbst wenn sie noch so viel Geld kostet, wird
freiwillig Port 80 blocken, das musst du ihr dann schon sagen. Aber kein
Port 80, kein Surfen im Internet! Entweder du hast wirklich alle Ports
blockiert, dann kannst du auch gleich das Lan-Kabel ziehen, oder aber du
hast mind. einen Port offen (völlig egal welcher) und dein PC ist damit
offen wie ein Scheunentor.
Grundschüler schrieb:> Wie groß ist die tatsächliche Gefahr, dass solche Angriffe umgesetzt> werden?
Groß
Grundschüler schrieb:> Hat es solche Angriffe schon mal erfolgreich gegeben?
Da kannst du deine Eier drauf verwetten. Das passiert Tagtäglich.
Grundschüler schrieb:> Kann man das irgendwo nachlesen?
Auf allen einschlägigen Seiten (heise, golem, linuxpro) und
einschlägigen Hacker-Foren.
Einschlägige Malware-Baukästen sind: Zeus, BlackHole(kostenpflichtig:
1000$ pro Halb-Jahr, Marktanteil: ~30%), Metasploit und co.
Du glaubst das dein PC Sicher ist, nur weil du eine Firewall und/oder
Anti-Viren Programm installiert hast, oder weil dein PC noch nie
Infiziert war? Dann glaubst du auch noch an den Weihnachtsmann, und
daran das die NSA die Daten nur und ausschließlich sammelt, um den
"Terror" zu bekämpfen. Selbst PC die nicht mit dem Internet verbunden
sind, sind nicht sicher: siehe Stuxnet und co.
Also: Wie kommst du zu der Annahme, dass dein PC und dein Online-Banking
"sicher" seien?
Es gibt KEIN Sicher