unsere besten emails
Registrierung
Teammitglieder
Zur Startseite
Mitgliederliste
Suche
Kalender
Häufig gestellte Fragen
Zum Portal

Dedies-Board » Allgemein » News aus aller Welt » iTAN-Verfahren unsicherer als von Banken behauptet » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen iTAN-Verfahren unsicherer als von Banken behauptet
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »

dedie dedie ist männlich
Administrator


images/avatars/avatar-188.jpg

Dabei seit: 04.03.2005
Beiträge: 2.952

Level: 54 [?]
Erfahrungspunkte: 21.406.490
Nächster Level: 22.308.442
901.952 Erfahrungspunkt(e) für den nächsten Levelanstieg

iTAN-Verfahren unsicherer als von Banken behauptet Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
Zitat:
Forschungsgruppe "RedTeam" der RWTH Aachen warnt vor trügerischer
Sicherheit des neuen iTAN Verfahren.


Das "indizierte TAN" (iTAN) Verfahren, das aktuell von mehreren deutschen
Banken eingeführt wird, um ihre Kunden effektiv vor Trojaner- und
Phishingangriffen zu schützen, wird diesem Anspruch nicht gerecht.
RedTeam hat das iTAN-Verfahren untersucht und konnte zeigen, dass
Angriffe weiterhin möglich sind. Die überbewertenden Äußerungen der
Banken über das Verfahren führen zu einem falschen Sicherheitsgefühl
verbunden mit einer Gefährdung der Bankkunden.

Der einzige Unterschied von iTAN zum klassischen TAN System besteht
darin, dass nicht mehr eine beliebige Transaktionsnummer (TAN) zur
Bestätigung eines Auftrages vom Kunden genutzt werden kann, sondern
diese von der Bank vorgeben wird. Dafür werden alle TAN-Nummern
durchnummeriert und nach Übermittlung des Auftrages vom Bankcomputer
eine zufällige TAN aus der TAN-Liste ausgewählt und diese fest mit
dem übermittelten Auftrag verknüpft. Der Kunde muss nun zur Bestätigung
des Auftrages genau diese TAN eingeben und kann auch keinen anderen
Auftrag mit dieser TAN bestätigen.

Ein Angreifer wird durch dieses Verfahren jedoch nur im Zeitraum
eingeschränkt, zu dem er eine schädliche Transaktion durchführen kann.
Erfolgreiche Angriffe selber werden aber nicht verhindert. Sobald ein
Angreifer durch einen Phishing- oder Trojanerangriff die Möglichkeit hat,
die Kommunikation zwischen Kunde und Bankcomputer zu manipulieren, kann
er einen Kunden zur Eingabe der benötigten TAN bewegen, ohne dass dieser
den Mißbrauch ahnt. Eine detaillierte Beschreibung der Schwachstelle
findet sich im Security Advisory unter
http://www.redteam-pentesting.de/advisor...a-2005-014.txt.

RedTeam hat exemplarisch einige große Banken, die iTAN bereits einsetzen,
telefonisch über diesen Sachverhalt in Kenntnis gesetzt und um eine
Stellungnahme gebeten. Bei allen diesen Banken konnten kompetente
Ansprechpartner erreicht werden, die die Problematik nachvollziehen
konnten. An den Darstellungen gegenüber den Kunden solle aber weiter
festgehalten werden. Eine Bank geht sogar soweit, auf den ersten
Schaden bei Kunden zu warten, bis von den Aussagen zur effektiven
Sicherheit gegen Trojaner- und Phishingangriffen Abstand genommen werden
soll.

"Ein typisches Beispiel für Security Theater", sagt Maximillian Dornseif,
Sicherheitsexperte an der RWTH Aachen. "Die Banken haben geschickt die
Haftung für elektronischen Zahlungsverkehr auf die Kunden abgewälzt. Nach
den Phishing-Vorfällen wird eine Maßnahme eingeführt, die nur minimale
Sicherheitsverbesserungen bringt, den Kunden aber vorgemacht, dass sie nun
vor Missbrauch sicher seien."

Als Folge dieser Informationspolitik ist eine Desensibilisierung der
Kunden bezüglich möglichen Gefahren beim Onlinebanking zu befürchten, da
sich diese durch das iTAN Verfahren hinreichend geschützt fühlen. Eine
baldige Anpassung der Angriffe an die veränderte Situation ist zu
erwarten, da dafür kein hoher Aufwand nötig ist. Durch die
Veröffentlichung dieses Sachverhaltes möchte RedTeam die Kunden, wie
auch die Banken, auf die weiterhin vorhandenen Risiken aufmerksam
machen. Dies geschieht insbesondere mit Blick auf die angekündigte
Einführung des Verfahrens bei weiteren deutschen Banken.

RedTeam ist eine aus dem Umfeld der Lehr und Forschungsgebiets I4 an der
RWTH Aachen hervorgegange Forschungsgruppe zur IT-Sicherheit mit dem Ziel
die Sicherheit von IT-Systemen durch Forschung und Durchführung von
Penetrationtests, kurz Pentests, zu verbessern. Ein Pentest ist die
Simulation eines Angriffs, um sicherheitsrelevante Schwachstellen beim
Auftraggeber systematisch offenzulegen. Hierbei gewonnene Erkenntnisse
helfen System-Administratoren, ihre IT-Systeme vor realen Angriffen zu
schützen. Die hierdurch und durch Forschung gewonnene Erfahrung wird
von RedTeam in Form von Security-Advisories unter
http://www.redteam-pentesting.de und Beteiligung an der Lehre an der RWTH
Aachen der Öffentlichkeit zugänglich gemacht. Für weitergehende Fragen kann
RedTeam unter der E-Mail Adresse kontakt@redteam-pentesting.de erreicht
werden.


QUELLE


__________________
Die Windows Systemwiederherstellung ist und war noch NIE ein geeignetes Mittel um einen Virus / Trojaner wieder los zu kriegen Augen rollen
26.08.2005 16:07 dedie ist offline E-Mail an dedie senden Homepage von dedie Beiträge von dedie suchen Nehmen Sie dedie in Ihre Freundesliste auf Fügen Sie dedie in Ihre Kontaktliste ein Jabber Screennamen von dedie: dedie@jabber.ccc.de

Vimes Vimes ist männlich
Super Moderator


images/avatars/avatar-14.jpg

Dabei seit: 27.03.2005
Beiträge: 1.316

Level: 49 [?]
Erfahrungspunkte: 9.512.894
Nächster Level: 10.000.000
487.106 Erfahrungspunkt(e) für den nächsten Levelanstieg

RE: iTAN-Verfahren unsicherer als von Banken behauptet Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
Zitat:
Sobald ein Angreifer durch einen Phishing- oder Trojanerangriff die Möglichkeit hat, die Kommunikation zwischen Kunde und Bankcomputer zu manipulieren, kann er einen Kunden zur Eingabe der benötigten TAN bewegen, ohne dass dieser den Mißbrauch ahnt.


Logisch. Das hatte ich ja auch schon geschrieben.

MfG
Vimes


__________________
1. Kor 3,11: "Einen anderen Grund kann niemand legen als den, der gelegt ist, welcher ist Jesus Christus."
gnupg-Key-ID: 7C6A8303; Fingerprint: 9D29 C76C 4C7E 4A5C 8915 8686 49DE 7906 7C6A 8303
26.08.2005 16:34 Vimes ist offline E-Mail an Vimes senden Beiträge von Vimes suchen Nehmen Sie Vimes in Ihre Freundesliste auf Fügen Sie Vimes in Ihre Kontaktliste ein YIM-Name von Vimes: jesusrettet

MobyDuck
Lebende Foren Legende


images/avatars/avatar-215.jpg

Dabei seit: 05.03.2005
Beiträge: 1.685

Level: 51 [?]
Erfahrungspunkte: 12.217.134
Nächster Level: 13.849.320
1.632.186 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
Zitat:
Als Folge dieser Informationspolitik ist eine Desensibilisierung der
Kunden bezüglich möglichen Gefahren beim Onlinebanking zu befürchten, da
sich diese durch das iTAN Verfahren hinreichend geschützt fühlen.


Stichwort: Risikokompensation, weiteres dazu in den Turorials. Augen rollen
27.08.2005 10:21 MobyDuck ist offline Beiträge von MobyDuck suchen Nehmen Sie MobyDuck in Ihre Freundesliste auf
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
Dedies-Board » Allgemein » News aus aller Welt » iTAN-Verfahren unsicherer als von Banken behauptet

Impressum|Boardregeln


secure-graphic.de
Board Blocks: 368.799 | Spy-/Malware: 5.599 | Bad Bot: 1.542 | Flooder: 281.746 | httpbl: 6.555
CT Security System 10.1.7 © 2006-2025 Security & GraphicArt

Ja, auch Dedies-Board verwendet Cookies. Hier erfahrt ihr alles zum Datenschutz
Verstanden;

Nach oben