COMPUTERBILD deckt auf!!, Online-Banking geknackt Einstellungen

[Internetfan1971]

http://www.computerbild.de/2003/indexcb.htm

Und heute in der neuen Computer-Bild.

Mein Gott, was Trojaner (sind das doch wohl?) nicht alles können!

Ist es nicht schön, wenn man sein System NICHT richtig absichert!

So würde ich das im Moment interpretieren und nicht als der Super-Skandal, a la Computer Bild versteht sich....

[fish25]

nein, das sind ausnahmsweise mal KEINE trojaner

-> http://ettercap.sourceforge.net/

nettes tool

[JFK]

So würde ich das im Moment interpretieren und nicht als der Super-Skandal, a la Computer Bild versteht sich....

Das Konzept geht aber auf. Sie ist mit Abstand die auflagenstärkste Computerzeitschrift.

JFK

[Gast_vampire_*]

ich weiss gar nicht was es dagegen einzuwenden gibt, wenn die computerbild über einen solchen fall berichtet, ist ja ne computerzeitschrift.

und gerade für ne bank ist es nicht ganz leicht ihr online-portal abzusichern, denn sie muss ja online banking ermöglichen. wer mit den richtigen tools das betriebssytem in erfahrung bringen kann, ist schonmal einen ganzen schritt weiter.

[Internetfan1971]

Ja, sicherlich ist es richtig die Leute auf solche möglichen Risiken hinzuweisen. Ich bin ja nun wirklich kein Fachmann auf dem Gebiet der IT-Sicherheit, insofern kann ich ja nicht beurteilen ob die Computer-Bild da vielleicht übertreibt...

Ich habe mir den Bericht im Heft durchgelesen und da bekommt man schon Angst! Ob zu recht oder unrecht kann ich ja überhaupt nicht als Normal-User beurteilen! Nicht zu letzt weil mir das Wissen fehlt und für mich viel zu viele Fragen offen bleiben. Ob dies von CB beabsichtigt ist weis ich ja nicht.

Da wird unten im Kasten erklärt wie es funktioniert. Schön und gut, aber mir ist da vieles überhaupt nicht verständlich.

CB-Bild schreibt da

So läuft der Angriff:
Der Angreifer täuscht ganz einfach vor, der zu sein, den er belauschen oder schädigen will. Mit einem Spionageprogramm wie „Ettercap“ sendet er ungefragt Antworten im Sinne von „Ich bin der Gesuchte“ ins Netzwerk.

Dafür gibt er die IP-Adresse des Opfer-Computer an, teilt aber zugleich die eigene Hardware-Adresse mit – auf diese Art und Weise kommt er an die fremden Daten (Online-Überweisungen, Passwörter und so weiter) heran. Denn nun läuft die Kommunikation des Opfer-Computers über den Angreifer-PC. Und das Opfer bekommt davon nichts mit.



In welches Netzwerk sendet er? Das Internet oder das Firmennetzwerk? Wenn er dies ins Internet auf gut Glück sendet, warum sollte das nur eine Gefahr nur für Firmen(Home?)-Netzwerke sein? Gut, Ettercap ist wohl nur für Netzwerke aber es gibt ja doch wohl andere Sniffer die sich zwischen Bank-Server und Netzwerk oder halt Einzel-PC schallten können. Denke ich einfach mal so! Oder muß der doch ins Firmen-Netzwerk oder PC eindringen?

Falls er nämlich eindringen muß ist es doch die Frage wie gut ich mein System gesichert habe!

Der Beitrag wurde von Internetfan1971 bearbeitet: 20.10.2003, 23:14

[Gast_vampire_*]

natürlich muss der angreifer erstmal zugang zu dem server haben der den onlinetraffic der normalen onlinekunden der bank reguliert.
also ein scan nach offenen ports und für die dann die entsprechende exploits.
mit grosser wahrscheinlichkeit muss er eine firewall austricksen die jeden outgoing traffic unterbindet.
hat er zugriff auf den server sucht er nach verschiedenen logfiles mit kundendaten und deren authentifizierung. wenn das alles erledigt ist kann er anfangen in das netzwerk der bank zu senden und versuchen das ganze finanziell auszuwerten, sprich, die bank zu rippen...

daß das alles sehr viel komplizierter ist als es da steht versteht sich von selbst.
ich bin auch nicht der richtige ansprechpartner für das thema, ich bin nur ein scriptkiddy..
ich denke, IRON, wizard, doc prantl und ein paar andere können dir sicher besser auskunft geben wenn es sich um besonders knifflige fragen dreht.

sie lassen nie eine frage unbeantwortet...

[Michael]

Der Angreifer täuscht ganz einfach vor, der zu sein, den er belauschen oder schädigen will. Mit einem Spionageprogramm wie ?Ettercap? sendet er ungefragt Antworten im Sinne von ?Ich bin der Gesuchte? ins Netzwerk.
Dafür gibt er die IP-Adresse des Opfer-Computer an, teilt aber zugleich die eigene Hardware-Adresse mit

Damit könnte ARP-Poisoning gemeint sein.

auf diese Art und Weise kommt er an die fremden Daten (Online-Überweisungen, Passwörter und so weiter) heran.

Da diese Daten jedoch verschlüsselt sind, kann er sie nicht gebrauchen.

Denn nun läuft die Kommunikation des Opfer-Computers über den Angreifer-PC. Und das Opfer bekommt davon nichts mit.

Wie hat er denn den Opfer-PC dazu gebracht, die Daten an ihn zu adressieren? Der Trick aus dem ersten Absatz wirkt ja nur auf die Kommunikation vom Router zum PC und nicht in beide Richtungen.

In welches Netzwerk sendet er? Das Internet oder das Firmennetzwerk? Wenn er dies ins Internet auf gut Glück sendet, warum sollte das nur eine Gefahr nur für Firmen(Home?)-Netzwerke sein?

Weil Router wissen, an welchem Anschluss sie welche Adressbereiche zu bedienen haben. Ich könnte mich hier auf den Kopf stellen und wer weiß was für Adressen angeben. Ich könnte die Router von T-Online trotzdem nicht dazu bringen, deine Daten an meinen Anschluss zu senden.

Das beschriebene geht afaik nur innerhalb eines Ethernet und nicht über Router hinweg. Dazu müsste man afaik die Routingtabellen ändern können.

Ich wüsste gerne mehr über die Testumgebung. Der Computerbild würde ich zutrauen, man den Browser vorher so manipuliert hat, dass er keine SSL-Verbindungen mehr aufbaut.
Denn nur wenn die Verschlüsselung nicht arbeitet, sind die aus dem Netzwerk abgegriffenen Daten überhaupt verwertbar.


Gruß,
Michael

Der Beitrag wurde von Michael bearbeitet: 21.10.2003, 06:17

[fish25]

gschmarrie er muss nur ins das firmennetzwerk, z.b. per wlan durchaus gut möglich, schickt dann an die switches zuviele arp-pakete -> diese schalten in den hub-modus um (jeder bekommt alle pakete) und zack, er kann die kommunikation zwischen opfer pc und internetserver belauschen und das selbst wenn die verbindung per ssl-verschlüsselt ist, weil ettercap die schlüssel vorher abfängt und dann die verbindung entschlüsseln kann...

[fish25]

siehe auch ettercap-website:

SSH1 support : you can sniff User and Pass, and even the data of an SSH1 connection. ettercap is the first software capable to sniff an SSH connection in FULL-DUPLEX

HTTPS support : you can sniff http SSL secured data... and even if the connection is made through a PROXY