| Home Themenübersicht / Sitemap Webmaster |
von Philipp Schaumann
Hier die aktuellen Meldungen:
1. Reports die interessieren könnten
-------------------------------------
http://usablesecurity.org/emperor/emperor.pdf
Die Studie untersucht, ob Sicherheitsfeatures und Sicherheitswarnungen
auf Banken-Websites geeignet sind die Sicherheit beim eBanking zu
erhöhen. Traurige Antwort aus diesen Tests: leider kaum.
"We asked 67 customers of a single bank to conduct common
online banking tasks. As they logged in, we presented
them with increasingly conspicuous visual clues that indicate
a site-forgery attack."
Auch auf modifizierten Websites ohne HTTPS gaben alle und ohne ein
in den USA oft genutztes "site-authentication image" gaben über 90%
ihre Passworte ein, nach einer Zertifikatswarnung immerhin noch über 60%.
Diese "site-authentication images" sind übrigens nicht hilfreich, speziell
wenn sie mit Hinweisen wie "When you see your image, you can be
confident that you're on ......" gekoppelt sind. Ein mit Spyware
infizierter PC wird diese Bilder natürlich immer noch einzigen,
obwohl nichts dabei sicher ist. In diesem Test hat sogar ein
Benutzer das Ignorieren der Zertifikatswarnung mit dem
Vorhanden-sein des "site-authentication image" begründet.
http://www.ffiec.gov/pdf/authentication_guidance.pdf
Federal Financial Institutions Examination Council
Authentication in an Internet Banking Environment
The agencies consider single-factor authentication, as the only control
mechanism, to be inadequate for high-risk transactions involving access
to customer information or the movement of funds to other parties.
Zu kritisieren ist an den Vorgaben, dass "out-of-band authentication" nur als eine,
anderen Methoden gleichberechtigte Authentifizierungsmaßnahme
dargestellt wird, obwohl die anderen Methoden bei infizierten PCs
ALLE unsicher sind. Sie weisen auch nicht darauf hin, dass
diese "site-authentication images" bei infiziertem PC nicht für
eine sichere gegenseitige Authentifizierung geeignet sind.
2. Verblüffendes von Google
-------------------------------
Hier die Aufgabenstellung:
Wenn google sagt, es wäre bei ihnen jemand eingedrungen, der hätte aber nur
Zugriff zu den Verkehrsdaten, nicht zu den Emails gehabt, wie kann das abgelaufen sein?
Ich persönlich kann mir nicht vorstellen, wie ich Gmails-Accounts hacke ohne
Zugriff zu den Mails selbst zu haben.
D.h. die Hacker müssen irgendwo hingekommen sein, wo nur Verkehrsdaten
sind. Was könnte das wohl sein?
Hier ganz viel Lesestoff zu dieser Spekulation.
http://blogs.techrepublic.com.com/security/?p=3007&tag=nl.e036
Und die Artikel, auf die dort verwiesen wird, sind ebenfalls extrem spannend, speziell
http://paranoia.dubfire.net/2009/12/8-million-reasons-for-real-surveillance.html
Ein Highlight: Sprint Nextel hat in den USA 50 Millionen Kunden und liefert im
Jahr 8 Millionen Handy-Standort-Anfragen an Law Enforcement. Das funktioniert nur
mittels eines automatischen Selbstbedienungssystems.
Die Links dazu gibt es auch auf
http://sicherheitskultur.at/notizen_1_06.htm#schmidt
Philipp Schaumann, http://sicherheitskultur.at/
Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. 
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.
Zurück zum Archiv-Überblick