Hallo Banken: PHOTOTAN ist hackbar.
1. Wie mnipuliere ich zwo endgeräte?
Wenne s auch die Maipulation von gelich zwo endgeräten voraussetzt. Das ist möglich indem man am dsl-anschluß der genutzt wird um das handy mit softwarupdates per usb-ladekabel zu versorgen falsche Updates einspielt. (Smartphone mit Download am PC updaten per mitgelifetrer Herstellersoftware - deshalb nutze/installiere ich alles features die über ein usb-mass-storage device hinausgehen nie. enwteder das gerät funzt ohne zusatztreiber out of the box indem es von sich aus Schnitstelenstandrs einhält [usb-mass-sorage ist opens ource] oder es ist fall für die mülltonne) geräte die software benütigen die per autorun irgendwas undefinierbares starten - kalender sync - wenn man sie an ladekable hängt sind schrott. macht die kalnder lieber ins web udn ruft sie realtime ab, dann können die mit ner firmen-db synchronisierten daten auch nicht beim smartphoen-diebstahl mitgestohlen werden. dann muss ich ebenein notepad aufmachen und die daten scbschriebn so wei man fürher auch auf nen notizzettel aus der kartei abgeschieben hat. dann war nur der nitizzettel weg und nicht die komplett in eienen notizblock fotokpiete karteikiste mita ellen kudendaten. leiebr ÜEBRALL ETZ und realtime reischauen (inklusive der info der gerade telfoierenden sekrtöse ?anruf gespräschspartenr vorhin: termin zweichnezitlich verlegt?) der nicht mitsycnhornisiert wird aber bei realtime ansehen scon lesbra ist udnkeien zsuazanruf benötogt. SYNC=Müll (es sei denn als backup aber das bitte auf fiesystem ebene)
2. Ich tippe auf dem gehckten PC ein A ein, die Bank bekommt aber ein B übermittelt udn nicemand kann es debuggen weil verchlüsselt.
Ich kann einfach satt dem
wirklichen Screen ein manipuliertes QR einbelenden weil das QR
nichtHUMAN Readable ist. Ähnlich wie ich gesagt hatte daß der einfachste
weg ist eine SSL-Cert vorzutäscuehn idnem man eien Open-Souce Browser
verbieget oder ?IE als Object fernstreuert? http://tuts4you.de/87-programmieren/csharp/153-c-webbrowser-automatisch-per-code-steuern-klicken-lassen und den output in nem eignen fenster anzeigt daß so tut als wäre es der ie) statt dem Feld daß die Cert Details
anzeigt einfach HARDCODED nen falschen - DEN ERWARTETEN - Cert Hash
einblendet je nach Domäne nicht aber was wirklich passiert. Man würde
dann ienfach eien Teil des screens mit eigen Informationen
überschreiben. Wer nicht galubt daß man den IE nutzenkann um HTML in eigenen Programme zu rendern und ast´´rzstellen schaue etwa mal unter Slimbrowser nach. https://en.wikipedia.org/wiki/Trident_(layout_engine)
3. Sicherheit auf Transport(Router-) anstatt Appliaktionsebene.
gehacktes SSL funktionert über jeden Transportweg. Mact erst ein gerät am ethernet port die Verchlüsselung kan ich dort Klar-text debiggen/ENTWANZEN.
im verdachtsfalle einfach ein intrusion detection system dazswischenstöpseln. auf isolierter hardware.
Daher: bestätigungs - SMS - Muss ?Human Readable? menschenlesbar sein.
Und am besten auch so druch die Leitung gehen, weisen sie mal nach was per einem SSL Datenstrom wirklich zwichen zwo Endpunkten übertragen wird - die Screenhst der Remote Control-Session der ?NSA??.
4. KIS Keep it simple
und für den Empfang dieser SMS kein Smartphone das sich eien virus
fangen oder umprogrammiert werden kann. Je dümmer das Gerät für die
Bestätigungs TAN desto besser.
Klar daß bei so nem Endgerät erstmal UTF-32 implementiert werden muss (Untertüzung ägytischer Hieroglyphen). ;o)
5. Software Automatisierung - Push oder Pull
IE Automatisierung statt Crytsal reports automatisierung mit dem sicheren HDAXS - ne art ajax - wär das nicht passiert! Es genügt wenn ich weiß was im Browser angezeigt wird (
AJAX im Browser ist müll das funktioniert nur im lan zuverlässig - per AJAX in der textverarbeitung / Tabellenkalkulation daten als csv aus dem Web saugen die per browser selektiert wurden (etwa READ ONLY WINDOWTITLE iteration) ist der bessere weg.
man spart sich das einffallstpr des fesrneteuraren browesers der genutzt werden kann gernderte websiten in fremden fenstern auszugeben. shcondie ersten viren im netzt nutzten fengetseurte internet explorer
[0] "201608221053-149315813833-0.jpg"
