{"id":194,"date":"2010-02-28T23:38:30","date_gmt":"2010-02-28T22:38:30","guid":{"rendered":"\/Blog\/?p=194"},"modified":"2019-01-17T14:25:35","modified_gmt":"2019-01-17T13:25:35","slug":"credit-suisse-security-idiots","status":"publish","type":"post","link":"https:\/\/seegras.discordia.ch\/Blog\/credit-suisse-security-idiots\/","title":{"rendered":"Credit Suisse: Security-Idioten im E-Banking"},"content":{"rendered":"<p>Die Credit Suisse will auf ein neues <a href=\"https:\/\/www.credit-suisse.com\/ch\/privatkunden\/onlinebanking\/de\/directnet\/sms_sicherheit\/index.jsp\">SMS-Sicherheitsverfahren<\/a> umstellen. Benutzbar mit a) Einem Handy b) welches eine Schweizer Landesvorwahl hat c) eine Vorwahl von 076, 077, 078 oder 079 hat.<\/p>\n<p>Sobald man auf der DirectNet-E-Banking-Seite einzuloggen versucht wird einem mitgeteilt dass die bisherige SecurID-Authentifikation noch 7 Tage lang g\u00fcltig sei. <\/p>\n<p>Was haben die Sicherheitspezialisten der Credit Suisse geraucht? Oder sind die aus einer Anstalt entflohen? <\/p>\n<p>Wer auch nur die geringste Ahnung von &#8220;Sicherheit&#8221; hat, dem fallen sofort einige ganz gravierende Probleme (abgesehen von &#8220;Usability&#8221;-Problemen, f\u00fcr Leute im Ausland z.b.) mit diesem &#8220;SMS-Sicherheitsverfahren auf: <\/p>\n<ul>\n<li>SMS sind abh\u00f6rbar. In Real-Time. Das wurde am <a href=\"http:\/\/events.ccc.de\/congress\/2009\/Fahrplan\/events\/3654.en.html\">Chaos Computer Club Congress 2009<\/a> bewiesen (und s\u00e4mtlicher SMS-Traffic auf dem Kongress gleich live auf einem Beamer angezeigt).<\/li>\n<li>Smartphones werden immer mehr als Ziel f\u00fcr Malware interessant, je mehr sie Funktionen \u00fcbernehmen f\u00fcr die fr\u00fcher ein ausgewachsener Computer ben\u00f6tigt wurde.<\/li>\n<li>Das &#8220;Token&#8221; (das Mobiltelefon n\u00e4mlich) an das die Authentifikation gebunden ist, ist DER Gegenstand weltweit der am meisten verloren und gestohlen wird.<\/li>\n<li>Es ist eine enorme Datenschutzverletzung. Nun ist jedes Konto mit einer Telefonnummer gekoppelt. Gleichzeitig ist es auch noch m\u00f6glich den Standort von Mobiltelefonen zu Triangulieren.<\/li>\n<\/ul>\n<p>Und das ist nur das was mir sofort eingefallen ist. <\/p>\n<p>Der einzige Vorteil der ersichtlich <em>w\u00e4re<\/em>, ist dass die Authentifizierung Out-Of-Band erfolgen <em>k\u00f6nnte<\/em>, was f\u00fcr Benutzer mit kompromittierten Windows-Kisten einen Vorteil darstellen kann. Der ist aber sofort wieder weg wenn man a) dasselbe Smartphone gleich f\u00fcrs E-Banking benutzt b) sich Malware auf den Telefonen verbreitet. Aber vorallem c) muss der Code den man per SMS erh\u00e4lt so wie es jetzt implementiert ist trotzdem per Browser zur\u00fcck \u00fcbermittelt werden. Was die ganze \u00dcbung hinf\u00e4llig macht. <\/p>\n<p>Es g\u00e4be schon ideen wie man sowas wirklich sicher machen k\u00f6nnte, aber die involvieren dann <a href=\"https:\/\/web.archive.org\/web\/20110831044952\/http:\/\/www.thetechherald.com\/article.php\/200847\/2462\/Visa-offers-cards-with-keypads-to-fight-online-fraud\">Karten mit Keypads<\/a> und <a href=\"https:\/\/web.archive.org\/web\/20130801065816\/http:\/\/www.phonefactor.com\/out-of-band-authentication\">Methoden zur Out-Of-Band \u00dcbermittlung<\/a>. Und nicht dasselbe wie vorher, bloss neu nun auf einem Ger\u00e4t welches abgeh\u00f6rt, gestohlen und verloren wird. <\/p>\n<p>Es handelt sich hier um eine offensichtlich reine Gesch\u00e4ftsentscheidung. F\u00fcr die CS ist die Frage einzig und allein die: Was kostet das System, was sind die zu erwarteten Aufw\u00e4nde f\u00fcr den Token-Verlust und schlussendlich, was sind die Aufw\u00e4nde wenn es von Dritten misbraucht wird. Mit dem SecurID-System bestehen die Aufw\u00e4nde in der Ausgabe der SecurID, und den Auswechseln derselben bei Verlust. Mit dem SMS-System ist es im Betrieb das senden der SMS, der Aufwand bei Verlust ist f\u00fcr die CS geringer da der Hauptaufwand da vom Benutzer getragen wird. Bei den Aufw\u00e4nden durch Misbrauch seitens Dritten d\u00fcrfte die CS erwarten dass die in etwa dieselben bleiben, da das neue System etwa die selben Schwachstellen hat wie das alte (respektive die Kosten f\u00fcr neue Schwachstellen nicht von der CS getragen werden m\u00fcssen, z.b. in Form von Privatsph\u00e4reverlust) und Entwicklungen wie Smartphones die das ganz Ad-Absurdum f\u00fchren k\u00f6nnten hat man vermutlich ignoriert, da bisher noch keine entsprechenden Misbrauchsf\u00e4lle aufgetreten sind. Man hat sich wohl gegen eine wirkliche Out-Of-Band-Authentifizierung entschieden, da das vermutlich wesentlich teurer w\u00fcrde, und sich die momentanen Aufw\u00e4nde bei Misbrauch offenbar in Grenzen bewegen.<\/p>\n<p>Die Sicherheit f\u00fcr den Endbenutzer war f\u00fcr die CS nie das Thema. Solange sich die Kosten der CS f\u00fcr misbrauchte Konten im Rahmen bewegen, und sie nicht \u00fcberm\u00e4ssig schlechte Publicity wegen mangelnder Sicherheit bekommen, hat die CS nicht das geringste Interesse daran E-Banking sicherer zu machen. Nur billiger. <\/p>\n<p>Ganz schlimm ist auch dass man den Kunden offensichtlich nicht die Wahl lassen will, die f\u00fcr sie meist sicherere SecurID weiterzubenutzen. Wenn die nicht von Fall zu Fall einlenken (in meinem n\u00e4mlich ganz bestimmt), dann werde ich das tun was man in einer Marktwirtschaft in so einem Fall tut: Mit den Stiefeln w\u00e4hlen gehen. <\/p>\n<p>Addendum: Ich habe angerufen, und scheinbar haben sie nun die Laufzeit f\u00fcr meine SecurID verl\u00e4ngert. Mir wurde aber mitgeteilt dass sobald eine andere L\u00f6sung f\u00fcr nicht-schweizer Mobiltelefone etc. exisitert, das SecurID-System abgeschaltet w\u00fcrde. <\/p>\n<p>Addendum Zwei: Seit ich das im April 2010 geschrieben habe, haben endlich auch andere bemerkt dass das eine schleichte Idee ist: <a href=\"http:\/\/www.itnews.com.au\/News\/322194,telcos-declare-sms-unsafe-for-bank-transactions.aspx\">Telcos declare SMS &#8216;unsafe&#8217; for bank transactions<\/a> Selbstverst\u00e4ndlich wird es auch schon misbraucht <a href=\"https:\/\/web.archive.org\/web\/20130817073429\/http:\/\/www.berlin.de\/polizei\/presse-fahndung\/archiv\/377949\/index.html\">Pr\u00e4ventionshinweis f\u00fcr Onlinebanking im mTAN-Verfahren<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Credit Suisse will auf ein neues SMS-Sicherheitsverfahren umstellen. Benutzbar mit a) Einem Handy b) welches eine Schweizer Landesvorwahl hat c) eine Vorwahl von 076, 077, 078 oder 079 hat. Sobald man auf der DirectNet-E-Banking-Seite einzuloggen versucht wird einem mitgeteilt dass die bisherige SecurID-Authentifikation noch 7 Tage lang g\u00fcltig sei. Was haben die Sicherheitspezialisten der [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2,6,67],"tags":[77,76,80,101,78,79],"class_list":["post-194","post","type-post","status-publish","format-standard","hentry","category-computers","category-politics","category-security","tag-blunder","tag-credit-suisse","tag-dummheit","tag-security","tag-sicherheit","tag-stupidity"],"_links":{"self":[{"href":"https:\/\/seegras.discordia.ch\/Blog\/wp-json\/wp\/v2\/posts\/194","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/seegras.discordia.ch\/Blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/seegras.discordia.ch\/Blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/seegras.discordia.ch\/Blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/seegras.discordia.ch\/Blog\/wp-json\/wp\/v2\/comments?post=194"}],"version-history":[{"count":18,"href":"https:\/\/seegras.discordia.ch\/Blog\/wp-json\/wp\/v2\/posts\/194\/revisions"}],"predecessor-version":[{"id":1194,"href":"https:\/\/seegras.discordia.ch\/Blog\/wp-json\/wp\/v2\/posts\/194\/revisions\/1194"}],"wp:attachment":[{"href":"https:\/\/seegras.discordia.ch\/Blog\/wp-json\/wp\/v2\/media?parent=194"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/seegras.discordia.ch\/Blog\/wp-json\/wp\/v2\/categories?post=194"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/seegras.discordia.ch\/Blog\/wp-json\/wp\/v2\/tags?post=194"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}