Archive for February, 2010

Credit Suisse: Security-Idioten im E-Banking

Sunday, February 28th, 2010

Die Credit Suisse will auf ein neues SMS-Sicherheitsverfahren umstellen. Benutzbar mit a) Einem Handy b) welches eine Schweizer Landesvorwahl hat c) eine Vorwahl von 076, 077, 078 oder 079 hat.

Sobald man auf der DirectNet-E-Banking-Seite einzuloggen versucht wird einem mitgeteilt dass die bisherige SecurID-Authentifikation noch 7 Tage lang gültig sei.

Was haben die Sicherheitspezialisten der Credit Suisse geraucht? Oder sind die aus einer Anstalt entflohen?

Wer auch nur die geringste Ahnung von “Sicherheit” hat, dem fallen sofort einige ganz gravierende Probleme (abgesehen von “Usability”-Problemen, für Leute im Ausland z.b.) mit diesem “SMS-Sicherheitsverfahren auf:

  • SMS sind abhörbar. In Real-Time. Das wurde am Chaos Computer Club Congress 2009 bewiesen (und sämtlicher SMS-Traffic auf dem Kongress gleich live auf einem Beamer angezeigt).
  • Smartphones werden immer mehr als Ziel für Malware interessant, je mehr sie Funktionen übernehmen für die früher ein ausgewachsener Computer benötigt wurde.
  • Das “Token” (das Mobiltelefon nämlich) an das die Authentifikation gebunden ist, ist DER Gegenstand weltweit der am meisten verloren und gestohlen wird.
  • Es ist eine enorme Datenschutzverletzung. Nun ist jedes Konto mit einer Telefonnummer gekoppelt. Gleichzeitig ist es auch noch möglich den Standort von Mobiltelefonen zu Triangulieren.

Und das ist nur das was mir sofort eingefallen ist.

Der einzige Vorteil der ersichtlich wäre, ist dass die Authentifizierung Out-Of-Band erfolgen könnte, was für Benutzer mit kompromittierten Windows-Kisten einen Vorteil darstellen kann. Der ist aber sofort wieder weg wenn man a) dasselbe Smartphone gleich fürs E-Banking benutzt b) sich Malware auf den Telefonen verbreitet. Aber vorallem c) muss der Code den man per SMS erhält so wie es jetzt implementiert ist trotzdem per Browser zurück übermittelt werden. Was die ganze Übung hinfällig macht.

Es gäbe schon ideen wie man sowas wirklich sicher machen könnte, aber die involvieren dann Karten mit Keypads und Methoden zur Out-Of-Band Übermittlung. Und nicht dasselbe wie vorher, bloss neu nun auf einem Gerät welches abgehört, gestohlen und verloren wird.

Es handelt sich hier um eine offensichtlich reine Geschäftsentscheidung. Für die CS ist die Frage einzig und allein die: Was kostet das System, was sind die zu erwarteten Aufwände für den Token-Verlust und schlussendlich, was sind die Aufwände wenn es von Dritten misbraucht wird. Mit dem SecurID-System bestehen die Aufwände in der Ausgabe der SecurID, und den Auswechseln derselben bei Verlust. Mit dem SMS-System ist es im Betrieb das senden der SMS, der Aufwand bei Verlust ist für die CS geringer da der Hauptaufwand da vom Benutzer getragen wird. Bei den Aufwänden durch Misbrauch seitens Dritten dürfte die CS erwarten dass die in etwa dieselben bleiben, da das neue System etwa die selben Schwachstellen hat wie das alte (respektive die Kosten für neue Schwachstellen nicht von der CS getragen werden müssen, z.b. in Form von Privatsphäreverlust) und Entwicklungen wie Smartphones die das ganz Ad-Absurdum führen könnten hat man vermutlich ignoriert, da bisher noch keine entsprechenden Misbrauchsfälle aufgetreten sind. Man hat sich wohl gegen eine wirkliche Out-Of-Band-Authentifizierung entschieden, da das vermutlich wesentlich teurer würde, und sich die momentanen Aufwände bei Misbrauch offenbar in Grenzen bewegen.

Die Sicherheit für den Endbenutzer war für die CS nie das Thema. Solange sich die Kosten der CS für misbrauchte Konten im Rahmen bewegen, und sie nicht übermässig schlechte Publicity wegen mangelnder Sicherheit bekommen, hat die CS nicht das geringste Interesse daran E-Banking sicherer zu machen. Nur billiger.

Ganz schlimm ist auch dass man den Kunden offensichtlich nicht die Wahl lassen will, die für sie meist sicherere SecurID weiterzubenutzen. Wenn die nicht von Fall zu Fall einlenken (in meinem nämlich ganz bestimmt), dann werde ich das tun was man in einer Marktwirtschaft in so einem Fall tut: Mit den Stiefeln wählen gehen.

Addendum: Ich habe angerufen, und scheinbar haben sie nun die Laufzeit für meine SecurID verlängert. Mir wurde aber mitgeteilt dass sobald eine andere Lösung für nicht-schweizer Mobiltelefone etc. exisitert, das SecurID-System abgeschaltet würde.

Addendum Zwei: Seit ich das im April 2010 geschrieben habe, haben endlich auch andere bemerkt dass das eine schleichte Idee ist: Telcos declare SMS ‘unsafe’ for bank transactions Selbstverständlich wird es auch schon misbraucht Präventionshinweis für Onlinebanking im mTAN-Verfahren

Aufstand der Toten — per Urheberrecht

Friday, February 12th, 2010

Tote erzählen keine Geschichten

Zumindest nicht bevor sie nicht seit 70 Jahren tot sind.

Denn erst 70 Jahre nach dem Tod des Urhebers läuft das Urheberrecht und die zugehörigen Nutzungsrechte aus. Zumindest in der Schweiz, der EU und der USA. Mit dem Erfolg dass kein Rechteinhaber ein Interesse hat mässig erfolgreiche Werke, auch wissenschaftliche, nachzudrucken, da diese in Konkurrenz mit neuen Werken stehen könnten, und gleichzeitig niemand anders die Werke nachdrucken darf, bis die Zombies nach 70 Jahren endlich wirklich tot und begraben sind und das Werk gemeinfrei wird.

Wer die Toten weckt…

Die Konsequenz dieser absurden Frist ist auch dass nun das ganze Urheberrecht von einem Grossteil der Bevölkerung nicht mehr ernst genommen wird, wie schon Thomas Babington Macauley 1841(!) gewarnt hat: “And you will find that, in attempting to impose unreasonable restraints on the reprinting of the works of the dead, you have, to a great extent, annulled those restraints which now prevent men from pillaging and defrauding the living.”

In Deutsch: “Und ihr werdet herausfinden, dass ihr mit der Versuch unvernünftige Restriktionen über das Nachdrucken von Werken von Toten einzuführen, zu einem grossen Teil die Hemmungen die heute die Leute davon abhalten die Lebenden zu Plündern und zu Betrügen, annuliert habt.”

Und er hat recht behalten. Die einzig sinnvolle Konsequenz daraus kann nur sein die Urheberrechtsfristen rigoros zu kürzen. Weder ein drakonisches Urheberrechts-Regime noch immer längere Fristen werden diesen Respekt zurückbringen im Gegenteil; mit jeder Verschärfung und Verlängerung verliert das Urhberrecht noch mehr an Glaubwürdigkeit.

Mehr Lebendig als Tot

Die zweite Konsequenz kann nur mit absoluter Dummheit und Ignoranz seitens der Gesetzgeber erklärt werden. Aus der Tatsache dass diese Rechte über den Tod hinaus geltend sind leitet sich nämlich ein Erbrecht ab. Und damit ist die Büchse der Pandora geöffnet die das ganze Urheberrecht selbst seiner Funktion beraubt.

In einem Forum sucht ein Erbe in der 4. Generation herauszufinden wer denn sonst noch Erbe eines bestimmten Malers sein könnte, von dem er im Rahmen eines Zeitschriftenartikels Werke veröffentlichen wollte. Mit anderen Worten, die Urheber- und Nutzungsrechte für diese Werke sind nun auf beliebig viele Personen verteilt, Anzahl unbekannt, es könnte eine Person sein, aber auch 50. Jede dieser Personen hat kein Recht selber etwas davon zu veröffentlichen, aber jede davon hat ein Recht jegliche Veröffentlichung zu verhindern. Und das ist noch nicht der schlimmste Fall. Bei Werken die von mehreren Urhebern gemeinsam geschaffen wurden wurden gilt dies für sämtliche Beteiligten, respektive deren Erben. Was bei Filmen durchaus hunderte Personen sein können.

Tot und Begraben

Das ist das was diese Schutzfrist über den Tod hinaus schon lange sein sollte.

  • Sie verhindert Nachdrucke in dem sie es Verlegern ermöglicht die mit neuen Werken um die Aufmerksamkeit des Konsumenten buhlende alte Werke unter Verschluss zu behalten.
  • Sie vernichtet aus obigem Grund auch gleich alte Zellulose-Azetat-Filme welche zwischenzeitlich zu Essig werden. Und manchmal auch andere Werke die entweder nur in Kleinauflagen vorhanden waren, oder noch gar nicht publiziert waren und Opfer eines Brandes oder einer anderen Katastrophe werden.
  • Sie verhindert Publikationen durch Aufspaltung von Erbmasse. Und vernichtet damit ebenfalls Kultur, da auch diese Werke Opfer einer Katastrophe werden können.
  • Sie verzögert Neubearbeitungen von älteren Werken und führt damit ebenfalls zu einem geringeren Korpus an Publikationenen.
  • Sie vermindert den Respekt gegenüber dem Gesetz selbst.