Sicherheitslücke beim Bezahlen mit Sofort Überweisung und Online PIN

Immer wieder versuchen Service Anbieter neue Zahlungssysteme auf dem Markt zu etablieren. Beim  Aufladen einer Telekom XTRA Card fiel mir das neue Bezahlsystem Sofort Überweisen auf, das u.a. auch von Conrad verwendet wird. Zunächst ist es ja eine gute Idee direkt mit Onlinebanking zu bezahlen ohne Umweg über Kreditkarten, Paypal usw. Die Website ist professionell gemacht und bietet eine Demo für eine typische Überweisung an. Stutzig wird man aber,  wenn man aufgefordert wird die Bankleitzahl, die Kontonummer und den Online PIN einzugeben.

Gemäß Geschäftsbedingungen meiner Bank (LBBW) darf ich den Online PIN nicht an Dritte, speziell nicht an Bezahldienste weitergeben. Sicherheitsregeln der LBBW Bank:

Mit Kontonummer und Online PIN kann man tatsächlich keine Überweisung ausführen  So gesehen ist Sofort Überweisung recht sicher, da immer eine TAN für Überweisung benötigt wird. Allerdings kann jeder, der meine Kontonummer und meinen Onlinebanking PIN kennt, meine gesamten Bankdaten einsehen, das Profil ändern z.B. die Adresse, eMail Adresse für Benachrichtigungen, usw. Das haben auch die Verbraucher- und Datenschützer nicht bemerkt. Es hat also seinen guten Grund, dass die Bank die Weitergabe des Online PINs nicht erlaubt. Es ist unverständlich, dass die Bank überhaupt mit dem Bezahldienst Sofort Überweisung zusammenarbeitet. Da weiß die linke Hand offensichtlich nicht was die rechte Hand tut. Selbst wenn der Bezahldienst den Online PIN nicht speichert, ist damit ein Tor für Phishing Angriffe geöffnet.

Trotz dieser Sicherheitslücke hat der TÜV Saarland sowohl das System als auch das Bezahlsystem Sofort Überweisung  als sichere Systeme zertifiziert. Das ist typisch für die Zertifizierschwemme, bei der natürlich keine Garantie oder Ausfallversicherung im Falle eines Falles angeboten wird. Es werden Teilaspekte des Systems zertifiziert . Ob das Ganze aber Sinn macht wurde ja nicht untersucht, da der Auftraggeber j nicht danach gefragt und auch nicht dafür bezahlt hat. Es ist auch nicht ganz verständlich, daß ein Unternehmen, das in München ansässig ist, die Sicherheitszertifizierung vom TÜV Saarland vornehmen läßt.

Hat man diesen Bezahldienst bereits benutzt, empfiehlt es sich, den Online PIN sofort zu ändern, um Ärger mit der Bank bei Streitfällen zu vermeiden.

PS Die Behauptung, dass man bisher nicht direkt mit Überweisung bezahlen konnte,ist nicht korrekt. Bei dem von VISA propagierten 3D-Secure Verfahren kann man auch direkt mit Überweisung bezahlen. Der Kunde gibt dabei auf einem von seiner Bank verwalteten und angezeigten Formular sein Passwort ein. Auch dieses Bezahlsystem ist nach Aussagen von Experten anfällig für Phishing Attacken (wie jedes System bei dem der Kunde einen PIN oder ein Passwort eingeben muss!)

Von wo kommt meine eMail?

Der Absender einer eMail läßt sich fast genauso leicht fälschen wie der Absender auf einem Brief. SPAM oder Phishing eMail wird zunehmend mit den Namen von “Freunden” geschickt, die man ja mit relativ wenig Aufwand aus Sozialen, Netzwerken, Foren, Adressverzeichnissen usw erhalten kann. Hat man eine verdächtige eMail erhalten, sollte man sie sich in der Quelltext Ansicht ansehen.

Return-Path: <bounce@dylaide.com>
Delivery-Date: Sat, 19 Jan 2013 06:16:19 +0100
Received-SPF: pass (mxbap2: domain of dylaide.com 
designates 193.183.5.146 as permitted 
sender)client-ip=193.183.5.146; 
envelope-from=bounce@dylaide.com; helo=www2.dylaide.com;
Received: from www2.dylaide.com 
(www2.dylaide.com [193.183.5.146])

Dort findet man die IP Adresse sowohl des Absenders (Client) als auch des Servers. Ort (Location) der  IP Adresse prüfen. Für das gezeigte Beipiel erkennt man, dass die vorgetäuschte eMail aus Südamerika mit spanischem Text aus Schweden kommt. Das passt nicht zusammen! (Detaillierte eMail Analyse). Daraus sollte aber auch klar sein, dass mit jeder eMail, die ein Benutzer verschickt, seine IP Adresse dem Empfänger bekannt gemacht wird. Man sollte also keine eMails (auch wen es ein Protest gegen SPAM) ist an dubiose Adressen verschicken!

Facebook Werbung – aufpassen, deine Freunde erfahren alles!

Die neueste Werbemasche von Facebook und anderen Sozialen Netzwerkdiensten ist die Werbung für Dinge die “Freunde” gekauft haben. Die Kunden sollen Empfehlungen von Freunden eher trauen als anonymen Werbebotschaften. Das hört sich in der Theorie ja ganz gut an. In der Praxis kann das aber schnell ins Auge gehen. So sah ich plötzlich in der Facebook Werbung dass sich einer meiner “Freunde” für einen speziellen Single Club interessiert. Da kann es durchaus Rückfragen von Frau und Familie geben.

Datenschutz Empfehlung: Nie auf Facebook Werbung klicken. Falls dort wirklich etwas interessantes angezeigt wird sollte man lieber danach Googlen, oder besser noch mit PhZilla suchen.

Sicherheitslücken beim Kauf von iPhone Apps

Für mein Apple Konto zum Einkaufen im App Store verwende ich eine spezielle Kreditkarte, die nur bei meinem Apple Konto verwendet wird. Dies Karte verwende ich nicht für Online oder Offline Zahlungen. Es ist deshalb sehr verwunderlich wenn plötzlich Phishing Email mit Hinweis auf meine Kreditkarte an meine Apple Email Adresse gesendet wird, die eigentlich außer Apple niemand kennen dürfte. Da gibt es offensichtlich eine Lücke im Sicherheitssystem von Apple. Das stärkt gerade nicht das Vetrauen in das Apple Sicherheitssystem und die Dienstleister für den App Store.

Sicherheitslücke iPhone – keine Analyse von Phishing Email möglich!

Zur Zeit werden wieder Phishing Emails an Master Card Kunden verschickt. Auf dem PC schaut man sich bei verdächtigen Emails im HTML Format an. Sieht man sich da den Absender  an

Received: from mail131.elasticemail.co.uk (mail131.elasticemail.co.uk [178.33.69.131])

so kann man den Phishing Versuch leicht erkennen. Beim iPhone geht das aber nicht, da die Email Funktion (wie auch der iPhone Browser) auf dem iPhone, keine einfache Möglichkeit hat, den HTML Code der Email anzuzeigen. Steve Jobs war überzeugt, dass die Benutzer seiner Produkte so komplizierte Sachen gar nicht wollen. Die Webgauner haben das bereits erkannt und verschicken zunehmend Phishing Angriffe und Links auf  betrügerische Webseiten an Smartphones. Man hofft, dass die Benutzer unterwegs nicht so sorgfältig arbeiten wie zu Hause am PC.

Empfehlung: Verdächtige Emails auf den PC weiterleiten und dort analysieren (oder an Apple Product Security zur Analyse schicken).

So wird ihr Handy (und Sie) eindeutig identifiziert

Bei PCs erfolgt die eindeutige Identifikation des Benutzers über eine IP Adresse, die vom Internet Anbieter (Provider) an den Benutzer beim Anschalten ans Internet vergeben wird. Zusätzlich benutzen Anwendungen Cookies um den Benutzer zu identifizieren. Diese Cookies kann der Benutzer löschen oder die Speiecherung per Einstellung am Browser sperren.

Bei Mobiltelefon kann die eindeutige Identifikation der Hardware über den UUID (Universal Unique Identifier) erfolgen. Meist erfolgt die Identifikation des Benutzers aber über einen ID, der vom Betriebssystem (z.B. Android_ID oder UDID beim iPhone) bei der Installation generiert wird. Anwendungen (Apps) benutzen diesen ID um den Benutzer eindeutig zu identifizieren und anwendungsspezifische Daten auf dem Mobiltelefon zu speichern. Etwa 18% der iPhone Apps verschlüsseln die gespeicherte Information bei der Speicherung und bei der Übertragung. Man weiß also nicht, welche Informationen auf dem Gerät gespeichert werden. So kann man z.B. gesetzliche Regelungen über die Speicherung von persönlichen Daten geschickt umgehen.

PC System Administration in der Cloud – Windows Intune

Kleine Firmen, Vereine, Selbständige usw haben oft große Probleme mit der Verwaltung ihrer PCs. Einhaltung von Sicherheitsvorschriften und saubere Verwaltung der Software sind meist problematisch. Manche große Vereine arbeiten mit Programmen auf den PCs der Mitglieder, die weder sauber lizenziert sind noch regelmäßig gewartet werden. Dadurch entstehen neben Problemen bei den Anwendungen auch systematische Sicherheitslücken. PC Verwaltungssoftware ist aber für viele kleinere Unternehmen zu komplex und zu teuer. Microsoft bietet nun eine PC Administration in der Cloud Windows Intune an, bei der nur der Client auf den administrierten PCs installiert werden muss.  Die gesamte Verwaltung läuft über den Browser in der Cloud und über das Internet und ist auch von Normalverbrauchern zu bedienen. Man kann das Paket mit einem Windows Live ID ausprobieren (zum Windows Intune Trial).  Der Service kostet 11$/Benutzer bei < 25 Benutzer und ist damit relativ teuer. Interessant wird das Angebot dadurch, dass im Preis ein kostenloser Upgrade auf Windows 8 enthalten ist, der demnächst auf den Markt kommt. Ob das alle Kunden von Windows Intune wollen, ist allerdings fraglich. Auf alle Fälle ein interessantes Cloud Angebot, das auch für Selbständige interessant ist, die PCs von Firmen warten, deren Mitarbeiter viel unterwegs sind.

Neu in Firefox 4 – Detailinformation über Seite

in der neuen Version 4 des Firefox Browsers gibt es eine sehr schöne neue Funktion mit der man sich schnell und einfach über viele Aspekte u.a. Sicherheit, Cookies, Feeds, Media der Seite informieren kann. Hierfür klickt man einfach mit der linken Maustaste auf das Seitensymbol vor der URL der Seite
Mit Click auf More Information erhälte man dann z.B. eine Übersicht zur Sicherheit der Seite

Hier kann man sich z.B. ansehen ob man für diese Seite selbst ein Passwort für diese Seite gespeichert hat und welche Cookies die Seite abspeichert. Man kann dann selbst entscheiden, ob man die Rechte der Seite begrenzen will. Damit ist Sicherheitsinformation zur Seite übersichtlich verfügbar. Das muss man sich bei anderen Browsern und auch bei FF3 mühsam zusammensuchen.

Als kleiner Nachteil kommt mit FF4 auch ein kleiner Bug: mit der Mitteltaste kann man nicht mehr scrollen. Vorschläge für Abhilfe gibt’s im Netz – man wartet aber besser auf einen Update von FF4.

Sind meine Daten bei Google sicher?

Google scheut bei der Sicherheit seiner Systeme keine Ausgaben. So baut Google seine Server Systeme selbst und ist damit Server Hersteller #4 in der Welt. Google kann auch die besten Sicherheits Spezialisten anheuern und gut bezahlen. Die technischen Systeme sind auf einem vorbildlichen Stand. Die Frage “Sind meine Daten bei Google sicher?” kann man mit JA beantworten. Die Frage  “Sind meine Daten vor Google sicher?” muss man dagegen mit einem klaren Nein beantworten. Auf alle Fälle sollte man sich einmal bei Google sein Profil genau anschauen und gegebenenfalls Details entfernen. Wie immer im Leben muss man Nutzen und Schaden gegeneinander abwägen und einen Kompromiß suchen.

Ein Beispiel:
Ein Nerd in einem Research Labor in USA lief auch innerhalb des Gebäudes immer mit einem Hut herum. Er wollte sein wichtigstes Körperteil, seinen Kopf immer gut schützen. Eines Tages saß er mit einem Bauarbeiter Helm beim Mittagessen. Nach dem Essen wollte er ausnahmsweise einen Spaziergang im Freien machen – dort sind die Gefahren für den Kopf ja größer als um Gebäude und erfordern besseren Schutz!

BSI: Sicherheitscheck für Browser – Praktikabel machen

Über die Jahre haben sich die Empfehlungen des BSI zur Nutzung von Browsern im Internet wesentlich verbessert. Man fragt sich allenfalls warum eine Behörde so lange braucht bis ein einigermaßen vernünftiges Ergebnis erreicht wird. Die Empfehlungen des BSI sind brauchbar und auch so dargestellt, dass sie ein durchschittlicher Internet Benutzer verstehen und nachvollziehen kann. Empfohlen wird die Grundeinstellungen gemäß der Empfehlungen des BSI vorzunehmen und danach Erweiterungen überlegt und gezielt zu machen.

Probleme gibt es eigentlich nur mit zwei Empfehlungen für Java Scripts und Speicherung von Cookies. Erlaubt man wie vom BSI empfohlen keine Java Scripts und keine Speicherung von Cookies, dann kann man fast an keiner interaktiven Internet Anwendung (Bestellen, Web 2.0 Anwendungen, Facebook …) teilnehmen. Häufig werden die Web Seiten auch so gestaltet (z.B. http://www.forbes.com), dass sie überhaupt nicht funktionieren wenn man Cookies oder Java Script sperrt. Das BSI empfiehlt Java Scripts und Cookies nur selektiv zu erlauben. Damit sind die meisten Benutzer aber meist überfordert. Als Kompromiss empfehle ich, Cookies generell zuzulassen aber das Speichern von Drittanbietern Cookies (die werden massenhaft z.B. von  Google Anzeigen produziert die beim Suchen auftauchen) – zu sperren. Man sollte sich aber regelmäßig im Rahmen der PC Kehrwoche die Cookies ansehen und kontrollieren. Man wird überrascht sein wieviele Cookies sich in kuzer Zeit ansammeln selbst wenn man Cookies von Drittanbietern nicht erlaubt.

Um das Sicherheitsrisiko beim “wilden Surfen oder Suchen” im Web zu minimieren, verwende ich einen zweiten Browser, bei dem ich JavaScript gesperrt und die Cookies beim Verlassen des Browsers gelöscht werden. Zum Arbeiten werwende ich z.B. Firefox und für das Suchen und informieren z.B. Internet Explorer, der mit höherer Sicherheitsstufe arbeitet. Das ist für Normalsterbliche eventuell ein bischen mühsam. Für professionelle Nutzer und für Mitarbeiter von Firmen, die häufig im “wilden” Netz unterwegs sein müssen, ist das aber eine praktibale Sicherheitsmassnahme.