Wir starten die Sendung mit Betrachtungen zum neuen Studio. Dort gab es früher einen Rechner ohne Internetanschluss und einen mit. Dies hat sich geändert und wir diskutieren, ob dies sicherer oder nicht ist.
Der erste große Themenblock dreht sich um mTANs. Wir erklären zunächst TANs und iTANs. Danach gehen wir auf die Schwachstelle ein, mit der sich Kriminelle Zugriff auf Konten verschaffen.
Schließlich diskutieren wir die Lücke in Intel vPRO CPUs.
Musik
Tobias hat von seinem Projekt Megalmodas ein paar neue Stücke mitgebracht.
Shownotes
- Risikokompensation
- Kann ich meinem Hirn trauen? (9. Teil – Risikokompensation)
- Warum ein wenig Unsicherheit die Sicherheit verbessert
- Antivirus unter GNU/Linux
- Donate a Twitter token
- Datenrecherche: Offizielle AfD-Accounts retweeten Neonazi-Kanal auf Twitter
- Postfach-Aufräumdienst Unroll.me verkauft Nutzerdaten: Chef erstaunt über Ärger
- Unroll.me Service Faces Backlash Over a Widespread Practice: Selling User Data
- Albert Heijn
- WDR Servicezeit: Datensammeln im Einzelhandel
- How Companies Learn Your Secrets
- Wenn Ihr Zahnarzt weiß, dass Sie pleite sind. Oder: Warum Scoring die Gemeinschaft zerstört
- LNP220: Street Clickability (Streaming ist illegal)
- LdN053 Bundeswehrsoldat, Sozialwahl, Frankreich-Wahl, Diesel-Gate, Kriminalstatistik 2016, AfD, Videotreaming
- SS7: Locate. Track. Manipulate.
- 31C3: SS7: Locate. Track. Manipulate.
- Interview mit Tobias Engel zu Handytracking – „Entwicklung eines eigenen Systems ist nicht besonders schwierig“
- Betrüger tricksen mTAN-Verfahren aus
- Rundschreiben 4/2015 (BA) – Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI)
- [Aufreger]Abschaffung des iTan Verfahrens? Wollen die mich verarschen?
- Intel’s Remote AMT Technology
- Intel Active Management Technology, Intel Small Business Technology, and Intel Standard Manageability Escalation of Privilege
2 Antworten auf „RIS14: Überweisungen abfangen“
Kurze Anmerkung zu dem „TAN-Generator“ bei (einigen?) holländischen Banken.
Als ich vor knapp 10 Jahren eine Weile in Holland gelebt habe, bekam ich auch so ein Ding kostenlos mit meinem Bankkonto mitgeliefert.
Das Ding war so groß wie ein kleiner Taschenrechner und man musste seine Bankkarte einstecken, damit es funktionierte.
Also zwei getrennte Systeme, PC und dieser kleine „Taschenrechner“, dazu dann noch ein dritter Faktor (EC-Karte) und das lief dann über Challenge-Response.
Die Online-Banking Website gab einem eine Zahlenfolge vor, diese tippte man ein und der TAN.Generator gab einem eine Zahlenfolge als Ergebnis, welches man dann auf der Seite eintippen musste.
Ob allerdings TAN-Generator und Karte aneinander gekoppelt waren, kann ich leider nicht sagen, das hätte ich damals echt ausprobieren sollen (= eigene Karte mit „Taschenrechner“ von jemand anderem verwenden).
Sah aber auf jeden Fall auf den ersten Blick vom Ansatz her deutlich sicherer aus als TAN per SMS, da das Zusatzgerät offline funktioniert.
Thomas Hochstein hat in seinem Blog weitere Informationen zu der AMT-Lücke: https://netz-rettung-recht.de/archives/1993-Lenovo-Laptops-und-Intels-AMT.html