Sicherheit der Internetverbindung

  • Ersteller MrWhite
  • Erstellt am

MrWhite

Gast
Mahlzeit!
Ihr kennt ja sicherlich das Problem der Sicherheit im Internet. Phishing usw. usw....
Weiß jemand wie sicher die Mobilfunkleitungen sind?
Mal angenommen ich mache mit meinem iPhone Online Banking.
Im Moment sicherlich noch besser als über den Firefox am Rechner oder? Schließlich kann ich beim iPhone davon ausgehen, dass ich keinerlei Spione habe die zugucken...

Gruß
 

Homersektor7g

Zuccalmaglios Renette
Registriert
30.08.05
Beiträge
262
Der Datentransfer würde doch genauso über https angewickelt werden wie auch am normalen Rechner. Einzig die übertragende Hardware ist eine andere. Ich würde vermuten, dass die Sicherheit nicht unbedingt geringer ist, als die eines normalen PCs/Apple.
Habe davon allerdings keine zu große Ahnung
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Jede Internetverbindung ist gleich scher oder unsicher. Bei Phishing kommt dazu, daß das garnichts mit der Verbindung zu tun hat, sondern die Sicherheitslücke vor dem Rechner sitzt. Solange Deine Bankverbindung über SSL abgewickelt wird, und das Zertifikat der Bank korrekt ausgestellt ist, mußt darfst Du also davon ausgehen, daß die Verschlüsselte Kommunikation abhörsicher ist.

Wenn der Browser das Zertifikat beanstandet würde ich das unbedingt sofort abbrechen und evt. sogar der Bank mitteilen. Verwende niemals einen Link von egal woher um auf der Webseite Deiner Bank einzusteigen! Nimm ein selbst erstelltes Lesezeichen oder gib die URL von Hand ein.
Gruß Pepi
 

MrWhite

Gast
Jede Internetverbindung ist gleich scher oder unsicher. Bei Phishing kommt dazu, daß das garnichts mit der Verbindung zu tun hat, sondern die Sicherheitslücke vor dem Rechner sitzt. Solange Deine Bankverbindung über SSL abgewickelt wird, und das Zertifikat der Bank korrekt ausgestellt ist, mußt darfst Du also davon ausgehen, daß die Verschlüsselte Kommunikation abhörsicher ist.

Wenn der Browser das Zertifikat beanstandet würde ich das unbedingt sofort abbrechen und evt. sogar der Bank mitteilen. Verwende niemals einen Link von egal woher um auf der Webseite Deiner Bank einzusteigen! Nimm ein selbst erstelltes Lesezeichen oder gib die URL von Hand ein.
Gruß Pepi

Phishing...etwas das im Rechner sitzt. Beim iPhone ist das ja nicht der Fall dass irgendwelche Phishing Tools akitiv sind.
Und das die Leitung abhör sicherer ist, kann ich mir insofern vorstellen, als das nur die Jungs von T-Mobile wissen, wohin ich mich gerade bewege. Schließlich wird es ja erst in einem von deren Rechenzentren umgewandelt...
Was ich damit sagen möchte, ist dass eigentlich niemand so richtig weiß was ich gerade mit meine iPhone mache. Ausser T-Mobile halt.
Auf meinem Rechner zuhause kann unter anderem jemand den Anschluss bewußt beobachten weil er weiß wer dransitzt, bzw. weil er weiß das es ein normaler privater DSL Anschluss ist.
Sich dagegen in ein Rechenzentrum zu setzen und zu gucken auf welcher Leitung gerade meinebank.de aufgerufen wird ist schon wesentlich schwieriger.

Versteht ihr was ich meine?
 

Bananenbieger

Golden Noble
Registriert
14.08.05
Beiträge
25.515
Verstehen wir nicht. HTTPS wird auf dem Endgerät verschlüsselt und auf dem Zielserver entschlüsselt. Da sieht niemand dazwischen unverschlüsselte Daten.
 

dewey

Gewürzluiken
Registriert
01.05.06
Beiträge
5.721
Phishing...etwas das im Rechner sitzt. Beim iPhone ist das ja nicht der Fall dass irgendwelche Phishing Tools akitiv sind.
frage: weißt du was phising ist? anscheinend nicht! als phising werden zum beispiel emails bezeichnet die aussehen wie original von deiner bank und nach deinen bankdaten fragen und bei gutgläubigen menschen kann es durchaus vorkommen, dass sie ihre daten in die gefakte bankseite, die in der email verlinkt ist eingeben.
 

MrWhite

Gast
Phishing ist aber auch das ausspionieren von persönelichen Daten. Auf welche Weise da geschieht spielt ja eigentlich keine Rolle.
Fakt ist, das Phishing wenn es nicht per e-Mail kommt und man so blöd ist und die auch noch für ech hält, auf deinem Rechner stattfindet. z.B. als Trojaner oder ähnl.
Demzufolge geht das auf dem iPhone nicht, da dort nicht die Möglichkeit besteht einen Trojaner laufen zu lassen.
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Verstehen wir nicht. HTTPS wird auf dem Endgerät verschlüsselt und auf dem Zielserver entschlüsselt. Da sieht niemand dazwischen unverschlüsselte Daten.
Siehe auch: Man in the Middle Attack

Phishing ist aber auch das ausspionieren von persönelichen Daten. Auf welche Weise da geschieht spielt ja eigentlich keine Rolle.[…]
Nein ist es nicht, und ja das spielt eine Rolle- Siehe auch: Phishing
Deine Gutgläubigkeit ist fast schon gefährlich. Paß auf was Du im Internet tust!
Gruß Pepi
 

MrWhite

Gast
Siehe auch: Man in the Middle Attack


Nein ist es nicht, und ja das spielt eine Rolle- Siehe auch: Phishing
Deine Gutgläubigkeit ist fast schon gefährlich. Paß auf was Du im Internet tust!
Gruß Pepi


:) Wo siehst Du denn meine Gutgläubigkeit? Ich spreche genau von dem Gegenteil.
Wäre ich Gutgläubig würde ich mir über dieses Thema keine Gedanken machen.
Und über das Thema Internet weiß ich glaube ich recht gut Bescheid.
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Das ist bei den momentanen Methoden, die die deutschen Banken einsetzen, ausgeschlossen.
Ausgeschlossen ist mal rein garnichts. Im besten Fall ist etwas sehr unwahrscheinlich.

Siehe dazu auch den realen Fall der Mountain Bank of America, nachzulesen unter anderem im Artikel The new face of phishing. In diesem Fall wurde ein gefälschtes aber gültiges SSL Zertifikat eingesetzt.

Ich sage nicht, daß solche Attacken alltäglich sind oder einfach umzusetzen. Ich streite lediglich ab, daß sie unmöglich sind.


[…]
Und das die Leitung abhör sicherer ist, kann ich mir insofern vorstellen, als das nur die Jungs von T-Mobile wissen, wohin ich mich gerade bewege. Schließlich wird es ja erst in einem von deren Rechenzentren umgewandelt...
Was ich damit sagen möchte, ist dass eigentlich niemand so richtig weiß was ich gerade mit meine iPhone mache. Ausser T-Mobile halt.
Auf meinem Rechner zuhause kann unter anderem jemand den Anschluss bewußt beobachten weil er weiß wer dransitzt, bzw. weil er weiß das es ein normaler privater DSL Anschluss ist.
Sich dagegen in ein Rechenzentrum zu setzen und zu gucken auf welcher Leitung gerade meinebank.de aufgerufen wird ist schon wesentlich schwieriger.

Versteht ihr was ich meine?
Genau das meine ich mit Gutgläubigkeit. Du kannst Dir nicht vorstellen, daß ein Angreifer auch im Rechenzentrum von T-Mobile sitzt oder? Oder dort ein kompromittierter Rechner rumsteht der sich irgendwas eingefangen hat. Abwegige Vorstellung? Leider nein. Es geht auch nicht darum explizit Dich rauszufiltern. Sorry, Du bist völlig unwichtig. In solchen Fällen wird jeder der irgendwo vorbeisurft zum potentiellen Opfer. Statistisch kann es also auch Dich treffen. In einem Rechnezentrum oder am NOC isses noch viel einfacher Opfer zu finden, weil dort einfach viel mehr potentielle Opfer vorbekommen.

Außerdem kann man speziell ein Mobiltelefon sehr viel leichter nachverfolgen als Dir offenbar bewußt ist.

Phishing ist aber auch das ausspionieren von persönelichen Daten. Auf welche Weise da geschieht spielt ja eigentlich keine Rolle.
Fakt ist, das Phishing wenn es nicht per e-Mail kommt und man so blöd ist und die auch noch für ech hält, auf deinem Rechner stattfindet. z.B. als Trojaner oder ähnl.
Demzufolge geht das auf dem iPhone nicht, da dort nicht die Möglichkeit besteht einen Trojaner laufen zu lassen.
Lies bitte den Wikipedia Artikel zum Thema Phishing. Da geht es um social eningeering. Wenn Du glaubst, daß eine Seite echt ist, dann isses geschehen. Gegen eine Uniform Unicode Character Attack bist Du nicht gefeit. Du kannst das als User nicht einfach so erkennen.

Und erkläre mir und allen anderen hier bitte warum es nicht möglich sein soll auf einem iPhone einen Trojaner laufen zu lassen. (Mal abgesehen davon, daß das nichts mit Phishing zu tun hat.) Jeder Dodl installiert ohne auch nur ansatzweise nachzusehen jedes Packet vom AppTapp Installer. Weist Du was das Packet im Hintergrund noch alles tut? Ob es andere Software nachlädt? Was das Installationsskript tut? Ob es irgendwelche DNS Einträge umbiegt, sonstigen Dummsinn macht? Woher weißt Du, daß eine Software das nicht tut? So gesehen ist das iPhone die ideale Platform für einen Trojaner.

Ich hoffe Dir ist nun langsam klar was ich mit Deiner Gutgläubigkeit meine. Du glaubst, daß Du Dich im Internet gut auskennst. Du kannst Dir aber auch simple Angriffsvektoren nicht vorstellen.

Simples Beispiel (ohne reale Gefahr in diesem Fall) (Wers mir glauben mag… :) )

Um welche Buchstaben handelt es sich hier?

a, а, р, с wenn ich sie beispielsweise für einen beliebten Micro Payment anbieter verwende.

Paypal, oder Pаypal oder Pаypаl ? Welches stimmt nun tatsächlich?

Geht auch mit Sрarkasse, Sparkasse, Spаrkasse oder auch mit Sраrkаsse. Welche ist echt?

Gruß Pepi
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Bananenbieger

Bananenbieger

Golden Noble
Registriert
14.08.05
Beiträge
25.515
Siehe dazu auch den realen Fall der Mountain Bank of America, nachzulesen unter anderem im Artikel The new face of phishing. In diesem Fall wurde ein gefälschtes aber gültiges SSL Zertifikat eingesetzt.
Das ist doch ein ganz anderer Angriffsvektor. Fakt ist: Zwischen Bankserver und Endkundengerät gibt es keine Klartextübertragung. Da kann also in einem Rechenzentrum niemand sitzen und was ausspionieren.
Abhörattacken in Rechenzentren sind bei HTTPS-Übertragung nicht möglich. Da müsste man entweder den Bankserver oder das Endgerät des Benutzers kapern. Der Bankserver wird schwer, aber das Endgerät des Benutzers kann man gut austricksen. Endweder per Keylogger alles protokollieren oder dem Nutzer vorgaukeln, dass er auf der Online-Banking-Seite ist.
 

Bananenbieger

Golden Noble
Registriert
14.08.05
Beiträge
25.515
Jeder Dodl installiert ohne auch nur ansatzweise nachzusehen jedes Packet vom AppTapp Installer. Weist Du was das Packet im Hintergrund noch alles tut? Ob es andere Software nachlädt? Was das Installationsskript tut? Ob es irgendwelche DNS Einträge umbiegt, sonstigen Dummsinn macht? Woher weißt Du, daß eine Software das nicht tut? So gesehen ist das iPhone die ideale Platform für einen Trojaner.
Hier hingegen stimme ich Dir voll zu. Auch wenn es offiziell keine Hintergrund-Apps gibt: Bei iPhones mit Jailbreak ist dies dennoch möglich.
Deshalb ist mein iPhone auch noch im Originalzustand.
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Das ist doch ein ganz anderer Angriffsvektor. Fakt ist: Zwischen Bankserver und Endkundengerät gibt es keine Klartextübertragung. Da kann also in einem Rechenzentrum niemand sitzen und was ausspionieren.
Abhörattacken in Rechenzentren sind bei HTTPS-Übertragung nicht möglich. Da müsste man entweder den Bankserver oder das Endgerät des Benutzers kapern. Der Bankserver wird schwer, aber das Endgerät des Benutzers kann man gut austricksen. Endweder per Keylogger alles protokollieren oder dem Nutzer vorgaukeln, dass er auf der Online-Banking-Seite ist.

Opfer - Angreifer - Bank
WO ich dazwischen bin, ist völlig egal. Das ist der Witz an einer MITM Attacke. Das Opfer baut eine SSL Verbindung zum Angreifer auf. Somit wird die Kommunikation zwischen Opfern und Angreifer mit einem SSL Zertifikat (dem des Angreifers) verschlüsselt. Dieser ist natürlich als Endpunkt in der Lage die Daten des Opfers zu entschlüsseln und kann nun seinerseits eine Verbindung zur Bank aufbauen die dann mit dem echten Zertifikat der Bank verschlüsselt wird.

Die einzige Hürde dabei ist es dem Opfer das entsprechende SSL Zertifikat des Angreifers auf seinem System als Trsuted unterzujubeln (zB per Trojaner oder anderer Sicherheitslücke) oder auf dessen Dummheit zu hoffen, daß er den Warndialog (wie 10.000 andere Dialoge unter Windows) ebenfalls in rekordverdächtiger Minimalzeit einfach wegklickt (und nicht merkt, daß er da einem Angreifer aufliegt).

Das kann ich irgendwo auf der Verbindung zwischen Opfer und seiner Bank tun. Ob ich dabei an einem NOC oder sonsteinem Knoten sitze, oder einfach nur sein WLAN gekapert habe (was mit einem Rogue Accesspoint nicht wirklich schwierig ist) ist dabei egal.

Der Angreifer hat immer den Vorteil, daß er sich Ort und Zeitpunkt des Angriffs aussuchen kann und somit über viel Zeit verfügt. Ein potentielles Opfer muß immer auf der Hut sein.
Gruß Pepi
 

Alberich

Rhode Island Greening
Registriert
04.04.08
Beiträge
481
Hallo,

ich habe bislang Online-Banking vom Imac mit Kabel gebundenem DSL-Anschluss gemacht.

Fürs Iphone (nicht gejailbreaked) nutze ich neben Edge und UMTS (unterwegs) auch zuhause mein Wlan (WPA2) - bislang aber noch nicht fürs Online-Banking.

Mich würde nun interessieren, ob das Banking von meinem Iphone aus unsicherer ist, als vom meinem Imac aus.

100% sicher ist wohl weder das Banking per Iphone noch per Imac, denn auf dem Imac laufen ja auch Fremdprogramme genau wie auf dem Iphone.

Gruß...