Re: Deutsche Bank

[Kai Petzke <wpp@physik.tu-berlin.de>]

Die Hotline der Deutschen Bank hat folgenden Text geschrieben, den jemand
anderes auf relevante Mailing-Listen geforwardet hat:


> Allerdings bieten wir direkt im Internet einen
> Mail-Button an, eine einfache E-Mail oder ein Anruf bei unserer Hotline unter
> 01805-224200 (übrigens kostet diese Nummer 4 Einheiten pro Minute und ist
> daduch BILLIGER als ein Ferngespräch)

Na ja, es gibt inzwischen Telefonfirmen, die sind billiger als die
Telekom.  ;-)

> So, nun zu den ihnaltlichen Punkten:
> unser Sicherheitskonzept setzt, wie im Schriftverkehr richtig geschildert, auf
> SSL-Verschlüselung und einer eigenen 128-Bit RSA-Verschlüsselung auf.

*grins*

Hoffentlich setzt die Sicherheit NICHT auf 128-Bit RSA auf!!!!! 
Beziehungsweise, eigentlich sollte ich es schon hoffen, ich bin ja nicht
Deutsche-Bank-Kunde.  Als zweites sollte ich dann noch mal nachlesen, wie
das mit dem Hijacken von TCP-Verbindungen geht.  Denn bei mangelnder
Sicherheit ergeben sich da gute (wenn auch illegale) 
Verdienstmöglichkeiten. 


Um den Deutsche-Bank-Experten richtigzustellen: Wahrscheinlich meinte er,
daß ein 128-bit-session-Key mit einem wesentlich längeren RSA-Key (ich
vermute mal so um die 1024 bit) verschlüsselt wird.  Denn 128 bit RSA
leisten keinen nennenswerten Widerstand.

> Dieses
> Verfahren wird derzeit weltweit als sicher akzeptiert, das wurde bisher im
> Schriftverkehr ja auch nicht in Frage gestellt. Theoretisch besteht auch die
> Gefahr, daß durch einen manipulierten Browser mit einem gefakten Zertifikat die
> Sicherheit augehebelt wird, aber dieses Szenario wird ja schon im
> Schriftwechsel als 'paranoid' bezeichnet. Sie sollten allerdings wirklich
> Browser ausschlißlich direkt von den Browserherstellern beziehen. Ein Original
> Internet-Explorer von der Original Windows-CD ist wohl als sicher anzusehen.

Wer sonst hier auf der Liste vertraut Microsoft?  Mal abgesehen von der
Realität.  Der Explorer kommt vorinstalliert vom Computerhändler XY auf
den Rechner.  Ob das das Original von der CD oder irgendeine gepatchte
Version ist - wer weiß es?  Vor kurzem gab es ja eine ziemliche Diskussion
darüber, daß man den Explorer, einmal installiert, kaum mehr los wird ;-) 

Ich habe also meine Zweifel, daß die Sache mit der Orginal-Windows-CD so
einfach ist.  Mal abgesehen von folgendem Sachverhalt: Wer Pentiums
abschleifen und umlabeln und damit Geld verdienen kann, kann auch
Windows-CD's debuggen, an entscheidender Stelle umprogrammieren und dann
wieder in den Handel einfließen lassen. 

> Von Browsern aus anderen Quellen sollten Sie die Finger lassen, hier kann man
> nie genau sagen, was mit der Software getrieben wurde.
> DNS-Spoofing können Sie durch eine ganz einfache Methode umgehen: greifen Sie
> nicht über eine URL und einen DNS auf unser Banking zu, sondern direkt auf
> unsere IP-Adresse 193.150.167.3. Diese können Sie auch in Ihrer HOST-Datei
> eintragen um ganz sicher zu gehen.

Und was hilft das, wenn ein böser Mitarbeiter beim Online-Dienst den "man
in the middle" spielt?  Ein fachkundiger Systemverwalter kann innerhalb
von wenigen Stunden einen Proxy-Server bauen, der den kompletten
Datenverkehr auf dem SSL-Port filtert. Das nützt natürlich noch nichts, da
die Daten verschlüsselt sind.  Aber im nächsten Schritt entschlüsselt man
die Daten von der Deutschen Bank, da der Proxy einen eigenen session key
verwendet - und verschlüsselt wieder mit dem gefälschten Schlüssel, bevor
man alles an den ahnungslosen Online-Banking-Kunden weiterschickt.

> Zur Frage des Fingerprints: jeder Mitarbeiter unserer Hotline kann Ihnen diesen
> jederzeit nennen, er lautet: 15:D5:2A:1B:87:BF:CD:0E:9F:C0:19:CE:AC:97:3B:8B.
> Bei Bedarf können wir diesen auch noch telefonisch bestätigen.
> Zusätzlich gilt natürlich jederzeit, daß Sie, sobald Sie irgend einen Verdacht
> auf Mißbrauch haben, sofort Ihre PIN und oder TAN sowie den Internet-Zugang zu
> Ihrem Konto sperren können. Getätigte Transaktionen können auch nachträglich
> noch storniert werden.

Wie lange kann ein solches Storno erfolgen?  Wenn der Angreifer eine
Überweisung z.B. statt an den Vermieter auf sein eigenes Konto umlenkt,
dauert es in der Regel ja ein paar Wochen, bis man das merkt - nicht jeder
Vermieter schickt gleich am nächsten Werktag eine Mahnung raus, wenn die
Miete mal zu spät kommt. 

> Alles in allem kann man also davon ausgehen, daß unser Internet-Angebot als
> sicher bezeichnet werden kann. Derzeit geht anerkanntermaßen ein deutlich
> höheres Risiko von Scheckkartenzahlungen oder Kreditkartenzahlungen aus. Wissen
> Sie bei jeder Zahlung im Restaurant, was der Ober mit Ihrer Karte hinter dem
> Tresen macht? Aber diese Thema steht halt nicht so in der Öffentlichkeit wie
> das Internet-Banking.

Eine Sicherheitslücke mit einer anderen zu begründen war noch nie
besonders intelligent.  Im Falle des Internet besteht die Gefahr, daß ein
fachkundiges Kartell aus Hackern und Geldwäschern Milliardenbeträge
abzockt.

Bei Kreditkartenbetrug ist die Haftung des Bankkunden meist auf DM 100,-
beschränkt.  Gilt das auch bei Internet-Betrug? 

> Sollten Sie noch weitere Fragen haben, stehen wir gerne zur Verfügung. Sie
> erreichen uns telefonisch von Montags bis Freitags von 8:00 bis 18:00 unter
> obiger Telefonnummer, ansonsten per E-Mail unter:
> Online-Banking.Hotline@zentrale.deuba.com oder per Fax unter 069-91065725.
> 
> 
> Mit freundlichen Grüßen
> Online-Banking Hotline



Kai
--
Kai Petzke, Inst. fuer Theor. Physik,              
TU Berlin, Sekr. PN 7-1,                              Telefonieren '98
Hardenbergstr. 36                Alle neuen Anbieter im Tarifvergleich
10623 Berlin                 http://troubadix.physik.tu-berlin.de/tel/