1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Sicherheit der Internetverbindung

Dieses Thema im Forum "iPhone" wurde erstellt von MrWhite, 14.06.08.

  1. MrWhite

    MrWhite Transparent von Croncels

    Dabei seit:
    05.02.08
    Beiträge:
    307
    Mahlzeit!
    Ihr kennt ja sicherlich das Problem der Sicherheit im Internet. Phishing usw. usw....
    Weiß jemand wie sicher die Mobilfunkleitungen sind?
    Mal angenommen ich mache mit meinem iPhone Online Banking.
    Im Moment sicherlich noch besser als über den Firefox am Rechner oder? Schließlich kann ich beim iPhone davon ausgehen, dass ich keinerlei Spione habe die zugucken...

    Gruß
     
  2. Homersektor7g

    Homersektor7g Zuccalmaglios Renette

    Dabei seit:
    30.08.05
    Beiträge:
    262
    Der Datentransfer würde doch genauso über https angewickelt werden wie auch am normalen Rechner. Einzig die übertragende Hardware ist eine andere. Ich würde vermuten, dass die Sicherheit nicht unbedingt geringer ist, als die eines normalen PCs/Apple.
    Habe davon allerdings keine zu große Ahnung
     
  3. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Jede Internetverbindung ist gleich scher oder unsicher. Bei Phishing kommt dazu, daß das garnichts mit der Verbindung zu tun hat, sondern die Sicherheitslücke vor dem Rechner sitzt. Solange Deine Bankverbindung über SSL abgewickelt wird, und das Zertifikat der Bank korrekt ausgestellt ist, mußt darfst Du also davon ausgehen, daß die Verschlüsselte Kommunikation abhörsicher ist.

    Wenn der Browser das Zertifikat beanstandet würde ich das unbedingt sofort abbrechen und evt. sogar der Bank mitteilen. Verwende niemals einen Link von egal woher um auf der Webseite Deiner Bank einzusteigen! Nimm ein selbst erstelltes Lesezeichen oder gib die URL von Hand ein.
    Gruß Pepi
     
  4. MrWhite

    MrWhite Transparent von Croncels

    Dabei seit:
    05.02.08
    Beiträge:
    307
    Phishing...etwas das im Rechner sitzt. Beim iPhone ist das ja nicht der Fall dass irgendwelche Phishing Tools akitiv sind.
    Und das die Leitung abhör sicherer ist, kann ich mir insofern vorstellen, als das nur die Jungs von T-Mobile wissen, wohin ich mich gerade bewege. Schließlich wird es ja erst in einem von deren Rechenzentren umgewandelt...
    Was ich damit sagen möchte, ist dass eigentlich niemand so richtig weiß was ich gerade mit meine iPhone mache. Ausser T-Mobile halt.
    Auf meinem Rechner zuhause kann unter anderem jemand den Anschluss bewußt beobachten weil er weiß wer dransitzt, bzw. weil er weiß das es ein normaler privater DSL Anschluss ist.
    Sich dagegen in ein Rechenzentrum zu setzen und zu gucken auf welcher Leitung gerade meinebank.de aufgerufen wird ist schon wesentlich schwieriger.

    Versteht ihr was ich meine?
     
  5. Bananenbieger

    Bananenbieger Golden Noble

    Dabei seit:
    14.08.05
    Beiträge:
    24.564
    Verstehen wir nicht. HTTPS wird auf dem Endgerät verschlüsselt und auf dem Zielserver entschlüsselt. Da sieht niemand dazwischen unverschlüsselte Daten.
     
  6. dewey

    dewey Gewürzluiken

    Dabei seit:
    01.05.06
    Beiträge:
    5.732
    frage: weißt du was phising ist? anscheinend nicht! als phising werden zum beispiel emails bezeichnet die aussehen wie original von deiner bank und nach deinen bankdaten fragen und bei gutgläubigen menschen kann es durchaus vorkommen, dass sie ihre daten in die gefakte bankseite, die in der email verlinkt ist eingeben.
     
  7. MrWhite

    MrWhite Transparent von Croncels

    Dabei seit:
    05.02.08
    Beiträge:
    307
    Phishing ist aber auch das ausspionieren von persönelichen Daten. Auf welche Weise da geschieht spielt ja eigentlich keine Rolle.
    Fakt ist, das Phishing wenn es nicht per e-Mail kommt und man so blöd ist und die auch noch für ech hält, auf deinem Rechner stattfindet. z.B. als Trojaner oder ähnl.
    Demzufolge geht das auf dem iPhone nicht, da dort nicht die Möglichkeit besteht einen Trojaner laufen zu lassen.
     
  8. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Siehe auch: Man in the Middle Attack

    Nein ist es nicht, und ja das spielt eine Rolle- Siehe auch: Phishing
    Deine Gutgläubigkeit ist fast schon gefährlich. Paß auf was Du im Internet tust!
    Gruß Pepi
     
  9. Bananenbieger

    Bananenbieger Golden Noble

    Dabei seit:
    14.08.05
    Beiträge:
    24.564
    Das ist bei den momentanen Methoden, die die deutschen Banken einsetzen, ausgeschlossen.
     
  10. MrWhite

    MrWhite Transparent von Croncels

    Dabei seit:
    05.02.08
    Beiträge:
    307

    :) Wo siehst Du denn meine Gutgläubigkeit? Ich spreche genau von dem Gegenteil.
    Wäre ich Gutgläubig würde ich mir über dieses Thema keine Gedanken machen.
    Und über das Thema Internet weiß ich glaube ich recht gut Bescheid.
     
  11. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Ausgeschlossen ist mal rein garnichts. Im besten Fall ist etwas sehr unwahrscheinlich.

    Siehe dazu auch den realen Fall der Mountain Bank of America, nachzulesen unter anderem im Artikel The new face of phishing. In diesem Fall wurde ein gefälschtes aber gültiges SSL Zertifikat eingesetzt.

    Ich sage nicht, daß solche Attacken alltäglich sind oder einfach umzusetzen. Ich streite lediglich ab, daß sie unmöglich sind.


    Genau das meine ich mit Gutgläubigkeit. Du kannst Dir nicht vorstellen, daß ein Angreifer auch im Rechenzentrum von T-Mobile sitzt oder? Oder dort ein kompromittierter Rechner rumsteht der sich irgendwas eingefangen hat. Abwegige Vorstellung? Leider nein. Es geht auch nicht darum explizit Dich rauszufiltern. Sorry, Du bist völlig unwichtig. In solchen Fällen wird jeder der irgendwo vorbeisurft zum potentiellen Opfer. Statistisch kann es also auch Dich treffen. In einem Rechnezentrum oder am NOC isses noch viel einfacher Opfer zu finden, weil dort einfach viel mehr potentielle Opfer vorbekommen.

    Außerdem kann man speziell ein Mobiltelefon sehr viel leichter nachverfolgen als Dir offenbar bewußt ist.

    Lies bitte den Wikipedia Artikel zum Thema Phishing. Da geht es um social eningeering. Wenn Du glaubst, daß eine Seite echt ist, dann isses geschehen. Gegen eine Uniform Unicode Character Attack bist Du nicht gefeit. Du kannst das als User nicht einfach so erkennen.

    Und erkläre mir und allen anderen hier bitte warum es nicht möglich sein soll auf einem iPhone einen Trojaner laufen zu lassen. (Mal abgesehen davon, daß das nichts mit Phishing zu tun hat.) Jeder Dodl installiert ohne auch nur ansatzweise nachzusehen jedes Packet vom AppTapp Installer. Weist Du was das Packet im Hintergrund noch alles tut? Ob es andere Software nachlädt? Was das Installationsskript tut? Ob es irgendwelche DNS Einträge umbiegt, sonstigen Dummsinn macht? Woher weißt Du, daß eine Software das nicht tut? So gesehen ist das iPhone die ideale Platform für einen Trojaner.

    Ich hoffe Dir ist nun langsam klar was ich mit Deiner Gutgläubigkeit meine. Du glaubst, daß Du Dich im Internet gut auskennst. Du kannst Dir aber auch simple Angriffsvektoren nicht vorstellen.

    Simples Beispiel (ohne reale Gefahr in diesem Fall) (Wers mir glauben mag… :) )

    Um welche Buchstaben handelt es sich hier?

    a, а, р, с wenn ich sie beispielsweise für einen beliebten Micro Payment anbieter verwende.

    Paypal, oder Pаypal oder Pаypаl ? Welches stimmt nun tatsächlich?

    Geht auch mit Sрarkasse, Sparkasse, Spаrkasse oder auch mit Sраrkаsse. Welche ist echt?

    Gruß Pepi
     
    #11 pepi, 15.06.08
    Zuletzt bearbeitet: 15.06.08
    Bananenbieger gefällt das.
  12. Bananenbieger

    Bananenbieger Golden Noble

    Dabei seit:
    14.08.05
    Beiträge:
    24.564
    Das ist doch ein ganz anderer Angriffsvektor. Fakt ist: Zwischen Bankserver und Endkundengerät gibt es keine Klartextübertragung. Da kann also in einem Rechenzentrum niemand sitzen und was ausspionieren.
    Abhörattacken in Rechenzentren sind bei HTTPS-Übertragung nicht möglich. Da müsste man entweder den Bankserver oder das Endgerät des Benutzers kapern. Der Bankserver wird schwer, aber das Endgerät des Benutzers kann man gut austricksen. Endweder per Keylogger alles protokollieren oder dem Nutzer vorgaukeln, dass er auf der Online-Banking-Seite ist.
     
  13. Bananenbieger

    Bananenbieger Golden Noble

    Dabei seit:
    14.08.05
    Beiträge:
    24.564
    Hier hingegen stimme ich Dir voll zu. Auch wenn es offiziell keine Hintergrund-Apps gibt: Bei iPhones mit Jailbreak ist dies dennoch möglich.
    Deshalb ist mein iPhone auch noch im Originalzustand.
     
  14. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Opfer - Angreifer - Bank
    WO ich dazwischen bin, ist völlig egal. Das ist der Witz an einer MITM Attacke. Das Opfer baut eine SSL Verbindung zum Angreifer auf. Somit wird die Kommunikation zwischen Opfern und Angreifer mit einem SSL Zertifikat (dem des Angreifers) verschlüsselt. Dieser ist natürlich als Endpunkt in der Lage die Daten des Opfers zu entschlüsseln und kann nun seinerseits eine Verbindung zur Bank aufbauen die dann mit dem echten Zertifikat der Bank verschlüsselt wird.

    Die einzige Hürde dabei ist es dem Opfer das entsprechende SSL Zertifikat des Angreifers auf seinem System als Trsuted unterzujubeln (zB per Trojaner oder anderer Sicherheitslücke) oder auf dessen Dummheit zu hoffen, daß er den Warndialog (wie 10.000 andere Dialoge unter Windows) ebenfalls in rekordverdächtiger Minimalzeit einfach wegklickt (und nicht merkt, daß er da einem Angreifer aufliegt).

    Das kann ich irgendwo auf der Verbindung zwischen Opfer und seiner Bank tun. Ob ich dabei an einem NOC oder sonsteinem Knoten sitze, oder einfach nur sein WLAN gekapert habe (was mit einem Rogue Accesspoint nicht wirklich schwierig ist) ist dabei egal.

    Der Angreifer hat immer den Vorteil, daß er sich Ort und Zeitpunkt des Angriffs aussuchen kann und somit über viel Zeit verfügt. Ein potentielles Opfer muß immer auf der Hut sein.
    Gruß Pepi
     
  15. Alberich

    Alberich Weigelts Zinszahler (Rotfranch)

    Dabei seit:
    04.04.08
    Beiträge:
    250
    Hallo,

    ich habe bislang Online-Banking vom Imac mit Kabel gebundenem DSL-Anschluss gemacht.

    Fürs Iphone (nicht gejailbreaked) nutze ich neben Edge und UMTS (unterwegs) auch zuhause mein Wlan (WPA2) - bislang aber noch nicht fürs Online-Banking.

    Mich würde nun interessieren, ob das Banking von meinem Iphone aus unsicherer ist, als vom meinem Imac aus.

    100% sicher ist wohl weder das Banking per Iphone noch per Imac, denn auf dem Imac laufen ja auch Fremdprogramme genau wie auf dem Iphone.

    Gruß...
     

Diese Seite empfehlen