Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
|
|
|
|
|
|
|
|
Sie wollen einem zwar nicht verraten, um welche Bank es sich handelt, aber sie verraten einem, daß es sich um einen MS IIS 4.0 handelt. Das reicht, um einige Banken im Vorhinein auszuschließen.
Meine Bank (DB24) ist es jedenfalls nicht, die fährt "Netscape-Enterprise/3.6"...
Und die Postbank, der ich sowas locker zutrauen würde, fährt "Apache/1.3.14 (Unix) mod_ssl/2.7.1 OpenSSL/0.9.5a mod_jk". Bei Commerz- und Dresdner Bank habe ich "Netscape-Enterprise/4.1" gefunden. (Mehr Banken möchte ich jetzt nicht austesten, sonst bekomme ich Paranoia. Außerdem gehen mir die ganzen JavaScript-Seiten auf den Keks. ;-)
Man kommt zwar meist nicht mit dem üblichen telnet auf Port 80 an die Daten aber wer OpenSSL auf seiner Kiste hat, kann mal schnell ein "s_client -connect homebanking.meine-bank.de:443" eingeben und einen kurzen HEAD- oder GET-Request absetzen. Wer's gern bequemer mag, der kann auch die SSL-Query von Netcraft nutzen. (Warum einfach, wenn's auch kompliziert geht... ;-)
Schon weiß man, ob am Sonntag noch die Gefahr besteht, daß die eigene Hausbank an die Wand gestellt wird. :-)
--
Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...
|
|
|
|
|
|
|
|
|
|
|
|
|
Dies ist eine ernstgemeinte Frage:
- Handelt diese Bank nicht (grob) fahrlässig wenn sie MS-IIS verwendet?
- Zahlt eine Versicherung im Schadensfall wenn ein Schaden für die Bank entsteht?
- Muss ich der Bank nachweisen das der negative Kontostand nicht durch mein Verschulden zustande gekommen ist?
oder muß ich nachweisen das die IT-Infrastruktur der Bank unsicher ist? NSG -- -- "In keinem Bereich menschlicher Leistungen sind so schlechte Ergebnisse erzielt worden wie in der Politik!"
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Die UBS übernimmt keine Verantwortung, wenn
ihr Server gecrackt wurde und ich plötzlich
kein Geld mehr habe...
|
|
|
|
|
|
|
|
|
|
|
|
|
Das bedeutet, Du zahlst die "Schulden" der Bank ab! Irgendwann mache ich eine Bank auf, breche bei mir ein und lasse meine Kunden bezahlen! NSG -- -- "In keinem Bereich menschlicher Leistungen sind so schlechte Ergebnisse erzielt worden wie in der Politik!"
|
|
|
|
|
|
|
|
|
|
|
|
|
Wirklich? Geht das juristisch überhaupt? In der Praxis dürfte allerdings allein schon die Presse einen derartigen Druck aufsetzen, dass die betroffene Bank kaum darum herum käme, die Schäden letztlich doch zu decken. Wirklich durchgehalten würde diese Klausel wohl nur, wenn sonst die Existenz der Bank gefährtet wäre. Aber dazu braucht es einiges...
Grüsse vom Knochen
|
|
|
|
|
|
|
|
|
|
|
|
|
Sorry habe meinen: ;-) vergessen NSG -- "In keinem Bereich menschlicher Leistungen sind so schlechte Ergebnisse erzielt worden wie in der Politik!"
|
|
|
|
|
|
|
|
|
|
|
|
|
Ich habe mal gehört, dass es in de USA ein Gesetz gibt, nach dem es unter gewissen Umständen möglich ist, von einem Server, der gehackt werden konnte, einen Dump zu verlangen.
Da könnte sich dann also irgend ein Hacker Zugang verschaffen und nachher sämtliche Daten erhalten, die auf diesem Server liegen?? Schade, wenn das gerade das Personalsystem war oder die Kundenverwaltung... dann ist die betreffende Firma wohl aus dem Geschäft.
Ich arbeite bei einer Schweizer Bank und die Sicherheitsmassnahmen (im allgemeinen und auch im Bereich IT) sind schlicht paranoid. Aber es scheint ja notwendig zu sein, weil man sonst schlagartig ruiniert ist. Naja, leben und töten lassen... oder so.
Grüsse vom Knochen
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Wobei eine schweizer Bankzulassung zu bekommen die Hölle sein muß. Ein Studienkollege von mir hat das in der Schweiz im Praxissemester miterleben dürfen. Alle anderen Bankzulassungen in Europa sind nur abgeschwächte / entschärfte Version der schweizer Zulassung
In Frankfurt habe ich eine "kleinere" dt. Großbankbank gesehen die hatten im XX-Stockwerk zu einem Rechnzentrum / Serverraum die Tür sperrangelweit offen und an den 20-25 großen Suns war überall eine root-Konsole offen. --- Soweit wegen Paranoid in einer Bank.
NSG -- -- "In keinem Bereich menschlicher Leistungen sind so schlechte Ergebnisse erzielt worden wie in der Politik!"
|
|
|
|
|
|
|
|
|
|
|
|
|
Was für d****n haben die denn als Admins eingestellt? Bei uns im Gebäude stehen zwei Server, auf dem nur Lernprogramme und kleine Hilfsapplikationen laufen. Der Raum hat ein Schnappschloss und keine Türfalle - ist also ohne Schlüssel von aussen kaum gewaltfrei aufzukriegen.
Sogar leere Serverräume sind meist abgeschlossen ;) und wenn man eine Sitzung im nächsten Stadtteil hat (5km) kommt man gerade mal bis zum Kaffeeautomaten. Die Korridore zu den Büros und Sitzungsräumen kann man nur in Begleitung der in diesem Gebäude beschäftigten Sitzungsteilnehmer betreten.
Das meinte ich mit Paranoia... Aber diverse interessierte Kreise warten ja auch nur darauf, dass einer der Schweizer Grossbanken wieder einmal ein Lapsus passiert. In der Vergangenheit hat man das zur Genüge beobachten können. Das ist wohl auch der Grund, weshalb die Bankenkommission so genau hinschaut.
Grüsse vom Knochen
|
|
|
|
|
|
|
|
|
|
|
|
|
Ich habe mir auch gedacht, zum Glück habe ich mein Geld/Schulden :( bei einer anderen Bank. Habe den Anfang des Verfahrens mitbekommen wie ein Brokerhaus in Frankfurt eine "abgespeckte" (keine Full-Service-) Bankzulassung beantragte. 2 räumlich getrennte Rechenzentren (=Serverräume), Backup-Philosophie... und so ähnlich Sachen. NSG -- "In keinem Bereich menschlicher Leistungen sind so schlechte Ergebnisse erzielt worden wie in der Politik!"
|
|
|
|
|
|
|
|
|
|
|
|
|
Ich hab mir gerade den Ratgeber Technik in der ARD angeguckt und kann mir einfach nicht verkneifen diesen Beitrag kurz zu kommentieren:
Thomas Vosseberg wird durch die ganze Sendung als "Grosshacker" bezeichnet. Aha Grosshacker... also ein ganz toller Hecht, der dem armen Buerger jetzt sogar Hilfe ueber eine teure 0190- Nummer gibt. Ist er nicht hilfsbereit? Benutzt Scriptkiddie Tools vor der Kamera und bruestet sich auch noch damit. Natuerlich laesst er diese Gelegenheit nicht aus, um fuer sein neues Buch (hackerzbook.de) zu werben.
Zitat: "Nur mit diesen Kenntnissen, können Sie sich effektiv schützen – ansonsten bleibt Ihnen nur trügerische Sicherheit"
mhhhh und sein http server steht bei puretec/schlund und laesst sogar directory listing zu.
Das HBCI nicht 100% sicher ist, ist ja auch nichts neues. Erschreckend an dem Bericht ist nur dass die Banken nicht in der Lage sind ihre Logfiles abzusichern.
Gruss Mayan
P.S. Hat noch jemand den Bericht gesehen?
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ich habe die Sendung nicht gesehen, aber die Kommentare bei Heise sind offensichtlich weitgehend Deiner Meinung. Da hat wohl tatsächlich der Sensationsjournalismus zugehauen...
Grüsse vom Knochen
|
|
|
|
|
|
|
|
|
|
|
|
|
Ich fand den Bericht auch ziemlich "aufgebauscht".
Meiner Meinung nach war das ein 2-stufiger Angriff auf den Server der Bank und auf jeden einzelnen Kunden.
Dem Kunden hat er eine mit NETBUS infizierte Datei geschickt und sich dann damit die TAN abgegriffen.
Wie bekommt er aber (nur anhand er IP-Adresse) raus welcher User (=eMailadresse) dahintersteckt? NSG -- "In keinem Bereich menschlicher Leistungen sind so schlechte Ergebnisse erzielt worden wie in der Politik!"
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Sunday 14. October, 16:53 MET (#14)
|
|
|
|
|
jo ich hab den Bericht auch gesehen, ich fand ihn an sich informativ, obwohl ich es auch lustig fand, dass der Typ da SubSeven benutzt *g*
Ich hab leider kaum Ahnung von sowas, aber seine HP (der downloadbereich) ist nur mit dieser Internet Explorer eigenen Passwortabfrage geschützt. Das ist die, wo nen extre Fenster aufklappt wo man den scheiß eingeben soll (mit OK und Abbrechen) *g* http://212.227.188.60/pages/hackerzbook/archiv
sogar ich hab nen Prog für sowas *g* webcrack nennt sich das und nen Passwortlistengenerator hab ich auch... würd ich den rechner nen tag testen lassen, würde der das Passwort tatsächlich bekommen :) Ich habs mal an eigenen Seiten mit dem teil getestet (Jana-Server Admin-Abfrage)
Cya
H3Li0s
|
|
|
|
|