Home      Themenübersicht / Sitemap      Notizen      Webmaster      
Newsletter Abo

 

39. Newsletter - sicherheitskultur.at - 30.01.2010

von Philipp Schaumann



Hier die aktuellen Meldungen:

1. Reports die interessieren könnten
-------------------------------------
http://usablesecurity.org/emperor/emperor.pdf
 
Die Studie untersucht, ob Sicherheitsfeatures und Sicherheitswarnungen 
auf Banken-Websites geeignet sind die Sicherheit beim eBanking zu 
erhöhen. Traurige Antwort aus diesen Tests: leider kaum.
"We asked 67 customers of a single bank to conduct common
online banking tasks. As they logged in, we presented
them with increasingly conspicuous visual clues that indicate
a site-forgery attack."
 
 Auch auf modifizierten Websites ohne HTTPS gaben alle und ohne ein 
in den USA oft genutztes "site-authentication image" gaben über 90% 
ihre Passworte ein, nach einer Zertifikatswarnung immerhin noch über 60%.
 
Diese "site-authentication images" sind übrigens nicht hilfreich, speziell 
wenn sie mit Hinweisen wie "When you see your image, you can be
confident that you're on ......" gekoppelt sind. Ein mit Spyware 
infizierter PC wird diese Bilder natürlich immer noch einzigen, 
obwohl nichts dabei sicher ist. In diesem Test hat sogar ein 
Benutzer das Ignorieren der Zertifikatswarnung mit dem 
Vorhanden-sein des "site-authentication image" begründet.
 
http://www.ffiec.gov/pdf/authentication_guidance.pdf
Federal Financial Institutions Examination Council
 Authentication in an Internet Banking Environment
 
 The agencies consider single-factor authentication, as the only control 
mechanism, to be inadequate for high-risk transactions involving access 
to customer information or the movement of funds to other parties.
 
Zu kritisieren ist an den Vorgaben, dass "out-of-band authentication" nur als eine, 
anderen Methoden gleichberechtigte Authentifizierungsmaßnahme 
dargestellt wird, obwohl die anderen Methoden bei infizierten PCs 
ALLE unsicher sind. Sie weisen auch nicht darauf hin, dass 
diese "site-authentication images" bei infiziertem PC nicht für 
eine sichere gegenseitige Authentifizierung geeignet sind.
 

2. Verblüffendes von Google
-------------------------------
Hier die Aufgabenstellung:
Wenn google sagt, es wäre bei ihnen jemand eingedrungen, der hätte aber nur 
Zugriff zu den Verkehrsdaten, nicht zu den Emails gehabt, wie kann das abgelaufen sein?
Ich persönlich kann mir nicht vorstellen, wie ich Gmails-Accounts hacke ohne 
Zugriff zu den Mails selbst zu haben.
D.h. die Hacker müssen irgendwo hingekommen sein, wo nur Verkehrsdaten 
sind. Was könnte das wohl sein?
Hier ganz viel Lesestoff zu dieser Spekulation.
     http://blogs.techrepublic.com.com/security/?p=3007&tag=nl.e036

Und die Artikel, auf die dort verwiesen wird, sind ebenfalls extrem spannend, speziell
     http://paranoia.dubfire.net/2009/12/8-million-reasons-for-real-surveillance.html
Ein Highlight: Sprint Nextel hat in den USA 50 Millionen Kunden und liefert im 
Jahr 8 Millionen Handy-Standort-Anfragen an Law Enforcement. Das funktioniert nur 
mittels eines automatischen Selbstbedienungssystems. 

Die Links dazu gibt es auch auf
     http://sicherheitskultur.at/notizen_1_06.htm#schmidt

 


 

Philipp Schaumann, http://sicherheitskultur.at/

Zurück zum Archiv-Überblick

Home

 


Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.