 |
 |
 |
 |
 |
| + Produkte |
| · · · · · · · · · · · · · · · · · · · · · · · |
| + Lösungen |
| · · · · · · · · · · · · · · · · · · · · · · · |
| + Knowledge Base |
| · · · · · · · · · · · · · · · · · · · · · · · |
| + Service |
| · · · · · · · · · · · · · · · · · · · · · · · |
|
|
| |
|
|
|
|
|
|
|
|
 |
| · · · · · · · · · · · · · · · · · · · · · · · |
|
| · · · · · · · · · · · · · · · · · · · · · · · |
|
| · · · · · · · · · · · · · · · · · · · · · · · |
|
| · · · · · · · · · · · · · · · · · · · · · · · |
|
| · · · · · · · · · · · · · · · · · · · · · · · |
|
|
|
|
|
 |
|
|
|
 |
|
|
 Bill Gates verkündet das Ende der Passwörter
|
Der Passwort-Klau geht um! |
| |
|
Cryptas, Wien, 9.7. 2004
Das Jahr 2003 war das erste Jahr wo erste Epidemien mit Viren und Würmern mit Keylogging Funktionalität auftauchten und somit auch als Trojanisches Pferd zu klassifizieren waren. Diese Malicious Codes setzen auf Überwachung der Tastatur und spionieren so eingebene Passwörter und Pins aus. Diese Methoden werden nach weiter verfeinert und zielen mittlerweile gezielt auf Online-Banking-Passwörter ab.
|
|
|
|
Zusätzlich zur Passwortbedrohung durch Viren/Trojaner werden Social Attacks häufiger. Phishing (Password Fishing) E-Mails täuschen Autoritäten vor und fordern zur Eingabe von Passwörter, Kreditkartennummern, etc. auf. Bei aufwendigen Varianten könnte die Eingabe auf gefälschten Seiten erfolgen, wobei der Browser z.B. eine falsche URL anzeigt (URL-Vulnerabilities) und das Opfer in Sicherheit wiegt, oder es werden Fehler in der Same Origin Policy der Browser ausgenützt, z.b. die Originalseite mit dem Login wird in einem HTML inline-Frame auf der Seite des Angreifers geladen, wobei der inline-Frame den ganzen Browser aufüllt und von der Angreiferseite somit nichts zu sehen ist. Durch die fehlerhafte Implementation kann die Angreiferseite auf Komponenten der Originalseite zugreifen. Doch auch die einfachen Varianten funktionieren bei vielen Leuten.
Update 15.7: Der neue Trojaner VBS/Inor verbreitet sich über einen inline-Frame in HTML Seiten, über den der Download des Trojaners gestartet wird. E-Mails mit solch präparierten HTML haben kein Attachment.
Doch Viren/Trojaner, die auf Online-Banking Passwörter, abzielen sind verbreiteter: Korgo ein Sasser Nachkomme, Phatbot ein Alleskönner, der Trojaner WebMoney sind einige Beispiele dafür, die Tastaturen gezielt abhören, wenn Online-Banking Seiten aufgerufen werden.
Besonders tückisch ist der Trojaner Scob ("Scob", "Download.Ject", "Toofer" und "Webber.P") der sich über Webseiten eines infizierten IIS-Webservers verbreitet und sich als "Browser Helper Object" in den Internet Explorer einnistet. Diese Varianten lässt auch direkten Zugriff auf Passwortfelder wobei auch SSL ins Leere läuft, möglich erscheinen.
|
Was schafft Abhilfe? |
Gegen Soziale Attacken helfen nur Aufklärung und Bewußsteinsbildung oder die Elimination von Passworten, neben der Pflicht des Betriebs eines Virenscanners, einer Firewall sowie das regelmäßige Einspielen von Patches.
Einige Banken bieten virtuelle Tastaturen an, wo Passwörter per Mausklicks eingegeben werden können - das schafft etwas Abhilfe genause wie Programme, die Passwörter speichern und ausfüllen. Aber Speicherung auf der Festplatte ist wiederum risikoreich - Passwortverschlüsselungen werden mitgesnifft. Tatsächliche Sicherheit bietet nur eine Mehr-Faktor Authentisierung.
|
|
Authentisierung mit PKI und SmartCard ist die sauberste Lösung - aber auch die Kombination von Passwortbasierten Verfahren und Chipkarten schafft Abhilfe. Bei Safenet Axis werden die Passwörter für verschiedenste Logins auf einer Chipkarte gespeichert, die mit einer PIN freischaltet werden muss. Um wie bei einer sicheren Digitalen Signatur ganz sicher zu gehen sollte die PIN nur auf einen Klasse 2 Leser mit eigener Tastatur eingegeben werden.
|
|
|
Linktipps |
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
|
|
 |
 |
| |
Lesen Sie aktuelle Neuigkeiten aus der Branche! |
|
| |
· · · · · · · · · · · · · · · · · · · · · · · · · · · · |
|
| |
Neuheiten aus aller Welt |
|
| |
|
|
|
|
|
|
|
|
|
|
 |
|
|
|
Impressum