Re: Deutsche Bank

["Stefan Kalloch" <StefanKalloch.@gmx.net>]

-----Ursprüngliche Nachricht-----
Von: Bjoern Buerger <b.buerger@tu-bs.de>
An: PGP-Friends Mailingliste <pgp-friends@fiction.pb.owl.de>
Datum: Samstag, 7. Februar 1998 11:58
Betreff: Deutsche Bank
>
>Ich habe mal beim Deutsche Bank Homebanking den Test gemacht, ob
>die ihre "tollen" Sicherheitsmechanismen ueberhaupt ernst nehmen.
>Das ergebnis war VERHEEREND :-( Mit etwas technischem Aufwand sollte
>es gut moeglich sein, jemanden um sein Geld zu bringen. Und den Aufwand 
>scheuen solche Leute ja nun gar nicht (siehe Noris Bank).
>Nun, was habe ich gemacht ? Die Deutsche Bank arbeitet ueber SHTML-Seiten
>und einem Java-Codec mit 128 Bit Schluesseln, der jedesmal neu uebertragen
>wird. Ich habe mir nun einfach mal folgendes (vorsicht paranoid...) Szenario
>ausgedacht: Bevor das Java-Programm mit der eigenen Verchluesselung 
>uebertragen wird, muss eine sichere Verbindung per SSL aufgebaut werden.
>Dazu uebertraegt die bank zuallererst ihr Certifikat (quasi der Public Key), 
>welches von einer CA unterschrieben ist, deren public key beim Browser 
>mitgeliefert wir (z.B. Verisign). Was pasiert nun, wenn der Angreifer dem
>Kunden eine gefakte Netscape-Installation unterjubelt, in der nicht das 
>echte Verisign-Certifikat enthalten ist, sondern ein falsches - oder beide..
>(Wer Pornobilder auf die Zeitschriften-CD´s schmuggeln kann, kann auch
>so etwas)
>Nun versucht der zu schaedigende eine Verbindung zur Bank aufzubauen.
>Durch Domain Spoofing etc pp biegt der Angreifer den Datenstrom auf seinen 
>Rechner um, schickt sein eigenes mit dem gefakten Schluessel unterschriebenes
>DB-Certifikat ueber dn Aether und initiert seinerseits mit der DB-Zentrale
>eine Verbindung ueber das echte Zertifikat. Da der Angreifer dem Kunden nun
>alles uebertragen kann, ohne das dieser auch nur irgendwelchen Verdacht
>schoepfen wuerde (schliesslich zeigen die Browser Sichereitseinstellungen 
>gruenes Licht), kann er jetzt ein gefaktes Java-Progamm an diesen uebertragen,
>Passwort, TANs etc abfragen und seinerseits ohne Probleme mit den
>Time-Out-Mechanismen der Bank Geld abheben :-(
>
>Den Certificaten kommt also bei SSL die gleiche Bedeutung zu, wie unseren
>PGP-Schluesseln. Nun habe ich 6 (!!) Wochen lang versucht, den Fingerprint
>des DB-Certificates zu verifizieren !!!!!!!
>Da ich wissen wollte, ob die Bank das Sytem ernst nimmt, habe ich das 
>Certifikat gefaelscht und die gefaelchte Version nebst falschem Fingerprint
>ausgedruckt. Damit bin ich dann zu einer grossen Bankfiliale gegangen und
>der nette Herr am Schalter hat fast 20 Minuten lang erfolglos herumtelefoniert,
>um jemanden zu finden, der sich mit Sicherheitsfragen beim Onlinebanking
>befasst :-( Erster MINUSPUNKT. Dann gab er mir einige telefonnummern,
>ueber die ich zunaechst an eine teure, aber voellig Ahnungslose Hotline und dann
>nach zig Ferngespraechen Tatsaechlich an die richtige Abteilung geriet.
>(Zwischenzeitlich konnte ich mir die internen (nur fuer die Kollegen bestimmten)
>Anrufbeantworteransagen der einzelnen Abteilungen anhoeren etc...nerv...
>Bei der ichtigen Abteilung durchgekommen, wussten die jedoch von meinem
>Brief (nach bereits 4 Wochen !!!) erstmal gar nix (MINUSPPUNKT ZWEIeinhalb) 
>und von SSL etc hatten die "keine Ahnung" - Peinlich ! Wo es doch die zustaendige 
>Abteilung war.... (MINUSPUNKT drei). Drei oder vier Tage spaeter rief dann 
>jemand aus der Abteilung an, sie habe den Brief gefunden und wuesste nix damit 
>anzufangen... MINUSPUNKT .... Dann hat sie mich auf Lautsprecher geschaltet und
>ich habe dem ganzen Office mein Anliegen dargelegt - Von SSL, Verschluesselung etc.
>wussten die aber auch alle nur "das es absolut sicher sei - ich braeuchte mir also 
>leine Sorgen machen .... ". MINUS MINUS MINUS !!!! Dann der Lichtblick !
>Waehrend ich sprach, muss wohl ein weiterer Mitarbeiter in den Raum gekommen sein
>und der wusste wenigstens wovon ich sprach ! Er hatte - man staune - spgar
>schon mal in Netscape den Sicherheitsdialog gesehen .... 
>Kurzum, er versprach sich darum zu kuemmern. Nach sechs Wochen kam eine
>unverschluesselte E-Mail mit dem Fingerprint des Schluessels (MINUS MINUS >MINUS...) und da habe ich dann die Lust verloren ;-(( Wegen des gefaelschten >Certificates, welches ich ihnen hingeschickt habe, ist nie eine Reaktion gekommen.
>
>Wenn das alles nicht so traurig ware, wuerde ich mich koestlich darueber 
>amuesieren, aber so wird das nie was mit der Informationsgesellschaft....


Hallo Björn

Voranstehende Nachricht habe ich (ohne Absenderadresse usw.) der Deutschen Bank weitergesandt. Unten folgt die Antwort.


-----Ursprüngliche Nachricht-----

Sehr geehrter Herr Kalloch,

vielen Dank für Ihre Mail und die Anregungen und Anmerkungen, ich hoffe, daß
ich zu allem zufriedenstellende Angaben machen kann.
Zunächst kann ich nur bedauern, daß der Kunde aus dem unten aufgeführten
Schriftverkehr so lange in der Bank 'herumgereicht' wurde und nicht direkt bei
unserer Hotline gelandet ist. Allerdings bieten wir direkt im Internet einen
Mail-Button an, eine einfache E-Mail oder ein Anruf bei unserer Hotline unter
01805-224200 (übrigens kostet diese Nummer 4 Einheiten pro Minute und ist
daduch BILLIGER als ein Ferngespräch) hätte ihn sofort zum richtigen
Ansprechpartner gebracht. Sicher ist nicht jeder Mitarbeiter der Deutschen Bang
AG (zusammen ca. 60.000) ein Experte im Internet, aber aus diesem Grund gibt es
ja auch uns, die in solchen Fragen gerne Antworten liefern.

So, nun zu den ihnaltlichen Punkten:
unser Sicherheitskonzept setzt, wie im Schriftverkehr richtig geschildert, auf
SSL-Verschlüselung und einer eigenen 128-Bit RSA-Verschlüsselung auf. Dieses
Verfahren wird derzeit weltweit als sicher akzeptiert, das wurde bisher im
Schriftverkehr ja auch nicht in Frage gestellt. Theoretisch besteht auch die
Gefahr, daß durch einen manipulierten Browser mit einem gefakten Zertifikat die
Sicherheit augehebelt wird, aber dieses Szenario wird ja schon im
Schriftwechsel als 'paranoid' bezeichnet. Sie sollten allerdings wirklich
Browser ausschlißlich direkt von den Browserherstellern beziehen. Ein Original
Internet-Explorer von der Original Windows-CD ist wohl als sicher anzusehen.
Von Browsern aus anderen Quellen sollten Sie die Finger lassen, hier kann man
nie genau sagen, was mit der Software getrieben wurde.
DNS-Spoofing können Sie durch eine ganz einfache Methode umgehen: greifen Sie
nicht über eine URL und einen DNS auf unser Banking zu, sondern direkt auf
unsere IP-Adresse 193.150.167.3. Diese können Sie auch in Ihrer HOST-Datei
eintragen um ganz sicher zu gehen.
Zur Frage des Fingerprints: jeder Mitarbeiter unserer Hotline kann Ihnen diesen
jederzeit nennen, er lautet: 15:D5:2A:1B:87:BF:CD:0E:9F:C0:19:CE:AC:97:3B:8B.
Bei Bedarf können wir diesen auch noch telefonisch bestätigen.
Zusätzlich gilt natürlich jederzeit, daß Sie, sobald Sie irgend einen Verdacht
auf Mißbrauch haben, sofort Ihre PIN und oder TAN sowie den Internet-Zugang zu
Ihrem Konto sperren können. Getätigte Transaktionen können auch nachträglich
noch storniert werden.
Alles in allem kann man also davon ausgehen, daß unser Internet-Angebot als
sicher bezeichnet werden kann. Derzeit geht anerkanntermaßen ein deutlich
höheres Risiko von Scheckkartenzahlungen oder Kreditkartenzahlungen aus. Wissen
Sie bei jeder Zahlung im Restaurant, was der Ober mit Ihrer Karte hinter dem
Tresen macht? Aber diese Thema steht halt nicht so in der Öffentlichkeit wie
das Internet-Banking.

Sollten Sie noch weitere Fragen haben, stehen wir gerne zur Verfügung. Sie
erreichen uns telefonisch von Montags bis Freitags von 8:00 bis 18:00 unter
obiger Telefonnummer, ansonsten per E-Mail unter:
Online-Banking.Hotline@zentrale.deuba.com oder per Fax unter 069-91065725.


Mit freundlichen Grüßen
Online-Banking Hotline