Dialerfernsteuerung a.k.a. Registrierung ad absurdum

[drboe]

Den größten Schaden entwickeln doch immer "Lücken" im Betriebssystem.

Wie bitte, in welchem Rechtssystem lebst Du denn? Weil ich mein Grundstück nicht mit einer 5 m hohen Mauer, Stacheldraht und Selbstschussanlage umgebe, darf man diese "Lücken" ausnutzen und einbrechen?

Ja.

Genial! Lies das noch einmal, was Du hier bejahst. Diese Rechtsaufassung überrascht zwar nicht wirklich, daher nur zur Erinerung: dies ist die Bundesrepublik Deutschland; trotz aller Anfeindungen noch immer ein gut etablierter Rechststaat. Das StGB hilft Dir weiter, Deine Position zu überdenken. Bei Interpretationsproblemen frage bitte den Anwalt Deines Vertrauens oder kontaktiere direkt die Staatsanwaltschaft, Turmstraße 91, 10559 Berlin.

Wenn Du keine anständige Tür in Deinem Haus hast, zahlt die Versicherung nicht im Falle eines Einbruchs. Diese "Lücken" muss man selber schließen. Nicht die Versicherung.

Dann lies bitte die AGB der Hausratsversicherung. Da steht nicht, das man eine handelsübliche Tür nicht nehmen kann. Nur zur Information: Wohnungstüren in einem Mehrfamilenhaus haben fast immer einen Kern aus Pappe. Der VdS in Köln ist Dein Freund, falls Du mehr wissen willst. Außerdem ging es nicht um den versicherungsrechtilchen Aspekt des Schadenersatzes, sondern um die Frage, ob eine Straftat (Einbruch) eine Straftat bleibt, wenn der Einbruchsschutz gering oder - von mir aus - nicht vorhanden ist. Hier ist das Gesetz glasklar!

Und: Unseren Dialer bekommt man nicht, man muss ihn sich holen.

Du lebst im Wolkenkuckucksheim. Hier geht es nicht (nur) um "Euren" Dialer, da Du selbst ja in diesem Thread in schönster Allgemeinheit über "Dialer" schreibst. Und das möchte ich sehen, dass man "Euren" Dialer nicht anders verbreiten kann. Kopien auf Server zu plazieren, mit Skripten, ActiveX-Controls usw. garnieren und fertig. Sag einmal, dass das nicht geht. Du darfst für Eure Partner und deren Lauterkeit natürlich gern die "Hand ins Feuer" legen. Soll ich schon ''mal den Notarzt rufen?

M. Boettcher

 

[Reducal]

Wo bekomme ich so einen Dialer?

Frage doch mal bei QuestNet an, MC kommt ja bald aus Spanien zurück. Vieleicht kann Dir aber auch der User "IM" zeigen, was ich damit meine, doch der ist ja bekanntlich auch noch im Süden unterwegs.

 

[Counselor]

Und: Unseren Dialer bekommt man nicht, man muss ihn sich holen.

So so. Und wozu gibt es immer noch das Starinstall Plugin?

 

[Captain Picard]

Den größten Schaden entwickeln doch immer "Lücken" im Betriebssystem.

Wie bitte, in welchem Rechtssystem lebst Du denn? Weil ich mein Grundstück nicht mit einer 5 m hohen Mauer, Stacheldraht und Selbstschussanlage umgebe, darf man diese "Lücken" ausnutzen und einbrechen?

Ja.

ich hab das Gefühl, das uns Andi hier auf den Arm nimmt, so naiv oder bescheuert kann niemand sein, der lacht sich nen Ast darüber , und betrachtet "meanwhile back at the ranch" grinsend Kontenauszüge. An einer halbwegs sinnvollen Diskussion ist er anscheinend bereits wieder
nicht mehr interessiert. Das hatten wir schon mehrfach hier im Forum in der Vergangenheit, eine Weile spielt er zum Schein mit, wenn das Sperrfeuer zu heftig wird dann hat er auf einmal keine Lust mehr .

cp

 

[TSCoreNinja]

mit der neuen Generation an QuestNet-Dialern will Euer Mitbewerber den Beweis antreten, dass es sehr wohl möglich ist, entsprechende Parameter zu schützen.
Wenn ich es richtig verstanden habe, setzt QN nun kyptische Verschlüsselungen ein, die es angeblich nicht mehr ermöglichen, dass die Paramter ohne dem dazugehörigen Schlüssel und dem Original-Dialer verwendet werden können.

Allgemeiner Standard in der Kryptographie sind Public-Key (jedem zugaenglich)/Private Key(nur dem Versender zugaenglich) Verfahren, oder sogenannte asymmetrische Verschluesselungsverfahren. Damit sind 2 Methoden moeglich:

1. ich als Versender unterzeichne mit dem Private Key eine Nachricht (z.B. Parameter oder Programm), und jeder kann mit dem Public Key die Authenzitaet der Nachricht ueberpruefen.

2. ich hole mir den Public Key des Empfaengers zur Verschluesselung, und nur dieser kann mit dem Private Key die Nachricht entschluesseln

Grundannahme 1: ich kann in meinem Dialer keinen Private Key einsetzen, der dort gespeichert ist, den kann ein findiger Hacker herauskriegen durch Debugger/Disassembler. Somit bleiben (aus meiner Sicht) drei Varianten:

1. der Dialer ist mit dem Private Key unterzeichnet, und der Anwender kann dann die Authenzitaet verifizieren mit dem Public Key, was ebenso effektiv ist wie das derzeitig verwendete Hash Verfahren. Also Sackgasse, so lange nicht das Betriebssytem zwingend vorschreibt, dass alle Programme signiert sein muessen (was aus anderen Gruenden problematisch ist, siehe allgemeine Debatte um Digital Rights Management, z.B. auf http://www.eff.org ).

2. der Dialer verschluesselt mit dem Public Key Kontrollinfos, die nach Einwahl Serverseitig entschluesselt werden. Dann kann ich diese Routinen kopieren, und in meinen manipulierten Dialer stecken.

3. der Dialer erhaelt Kontrollinfos, deren Authenzitaet er verifizieren kann, und ihm Anweisungen geben, wie er sich beim Server authentifizieren muss. Problem wie 2, ein manipulierter Dialer kann diese Routinen kopieren.

Ich sehe nicht, wie ohne zusaetzlich dazwischengeschaltete Kontrollinstanz (z.B. der Benutzer oder das OS, zur Hash/Signatur Verifikation) Kryptographie an dem Problem aendert. Deshalb halte ich diese Aussage fuer Marketing Blub blub. Lasse mich uebrigens gerne eines Besseren belehren.

edit: eine Auslassung u einen Rechtschreibfehler korrigiert

 

[DialerDieter]

Allgemeiner Standard in der Kryptographie sind Public-Key (jedem zugaenglich)/Private Key(nur dem Versender zugaenglich) ... etc.

Ich sehe nicht, wie ohne zusaetzlich dazwischengeschaltete Kontrollinstanz (z.B. der Benutzer oder das OS, zur Hash/Signatur Verifikation) Kryptographie an dem Problem aendert. Deshalb halte ich diese Aussage fuer Marketing Blub blub. Lasse mich uebrigens gerne eines Besseren belehren.

Ah, endlich mal ein Auskenner! Ich stelle fest, das man sich wieder dem eigendlichen Thema nähert.

Was schlägst du also vor, wie eine gültige Zustimmungerkläreung zu verifizieren wäre, bzw. der Manipulierbarkeit entgegengewirkt werden kann?

 

[drboe]

mit der neuen Generation an QuestNet-Dialern will Euer Mitbewerber den Beweis antreten, dass es sehr wohl möglich ist, entsprechende Parameter zu schützen.
Wenn ich es richtig verstanden habe, setzt QN nun kyptische Verschlüsselungen ein, die es angeblich nicht mehr ermöglichen, dass die Paramter ohne dem dazugehörigen Schlüssel und dem Original-Dialer verwendet werden können.

Ist die Parameteränderung zum Betrug denn nötig? Das Teil wird letztlich eine Netzwerkanmeldung machen müssen, also Account und PW übertragen. Das dokumentiert ein Monitor, auf die Schnittstelle gesetzt, in einem einzigen Durchgang. Dann überträgt man den Dailer hinterrücks auf Systeme, läßt aber mittels eines anderen mit den geloggten Parametern die Verbindung aufbauen. Diese Teile löschen sich. Und dann heißt es wieder: 30 EUR - aber zack!

M. Boettcher

 

[TSCoreNinja]

mit der neuen Generation an QuestNet-Dialern will Euer Mitbewerber den Beweis antreten, dass es sehr wohl möglich ist, entsprechende Parameter zu schützen.

Wobei dies im Falle eines ferngesteuerten Programms auch nicht hilft.

 

[TSCoreNinja]

(...)Ich sehe nicht, wie ohne zusaetzlich dazwischengeschaltete Kontrollinstanz (z.B. der Benutzer oder das OS, zur Hash/Signatur Verifikation) Kryptographie an dem Problem aendert.

Ah, endlich mal ein Auskenner! Ich stelle fest, das man sich wieder dem eigendlichen Thema nähert.

Was schlägst du also vor, wie eine gültige Zustimmungerkläreung zu verifizieren wäre, bzw. der Manipulierbarkeit entgegengewirkt werden kann?

-Dialerverbot, und Abrechnung z.B. per Handy/SMS (oh Gott, wann gibts dann die erste Handyfernsteuerung per Bluetooth )

-ich weiss nicht, ob dies wirtschaftlich Sinn macht, aber wie waere es, wenn der Benutzer per Anruf/Code beim Telefonanbieter temporaer die 0900 freischalten kann, z.B. fuer einen Anruf

@DialerDieter, ehrlich gesagt wuerde ich Dir eine Umschulung plus Nickwechsel nahelegen Auch weil DSL Dialer vermutlich langfristig eh uninteressant machen wird.

 

[Reducal]

Lasse mich uebrigens gerne eines Besseren belehren.

Danke für die Erläuterungen um die Keys. Aber ich werden dazu nichts mehr schreiben, um nicht womöglich noch Werbung für irgendwas/-wen zu betreiben - das liegt mir auf jeden Fall fern.
Wir können davon ausgehen, dass diverse Informationen in der nächsten Zeit (aber bestimmt noch nicht in den kommenden Tagen) eintrudeln werden. Womöglich haben aber die neuesten Entwicklungen am Markt bereits neue Zeichen gesetzt, die eine weitere Diskussion um dieses Thema bereits überflüssig machen.

Ist die Parameteränderung zum Betrug denn nötig?

Um eine Änderung geht es nicht sondern um eine verschlüsselte Parameterübergabe, zu der auch das gehören wird:

dazwischengeschaltete Kontrollinstanz

 

[Reducal]

mit der neuen Generation an QuestNet-Dialern will Euer Mitbewerber den Beweis antreten, dass es sehr wohl möglich ist, entsprechende Parameter zu schützen.

Wobei dies im Falle eines ferngesteuerten Programms auch nicht hilft.

Stimmt, wenn der Täter selbst der Hersteller des Originals ist.

 

[drboe]

Ist die Parameteränderung zum Betrug denn nötig?

Um eine Änderung geht es nicht sondern um eine verschlüsselte Parameterübergabe, zu der auch das gehören wird:

dazwischengeschaltete Kontrollinstanz

Bist Du sicher? Was immer sich ein Dialer-Anbieter ausdenken mag: nach der Anwahl der Nummer des "ISP" findet die Netzwerkanmeldung nach den im PC implementierten Verfahren statt. Natürlich kann man das Verfahren "aufbohren", dann auch ein eigenes Protokoll definieren und/oder verschlüsseln, nur wird der Client dann eher mopsig, was schnelle Downloads des Dialers und die zügige Installation erschwert. Und dann läßt sich mitschneiden, was initial verhandelt wird, also vermutlich auch fälschen.
Geht man davon aus, dass ein betrügerischer Partner Geld auf sein Konto leiten will, muss man durch die Anmeldung, daran besteht kein Zweifel. Verzichtet man aber darauf, dann genügt die Anwahl der Nummer. Hier war schon zu lesen, das man die Berechnung der "Leistung" offenbar nicht unbedingt davon abhängig macht, ob es tatsächlich zum Datentransport kam. Um einen Wettbewerber zu schaden, sollte das reichen. Wer sagt, das sich die Anbieter sämtlich grün sind? Dann dient der Dialer nur dazu eine Spur zu hinterlassen. Und selbst wenn man einen Dialer unverändert einsetzt: solange die Fernsteuerbarkeit gegeben ist, die sichert allein schon der Eingabezwang, ist der Anwender nicht zu sichern. Das Verfahren "Dialer" ist damit im Paymentbereich faktisch zum Sterben verurteilt. Ist aber nicht schade 'drum!

M. Boettcher

 

[dvill]

Noch offen:

Frage 1:

Was wurde konkret unternommen, die Gefahr der Fernsteuerung für den Kunden zu beseitigen, seit sie bekannt ist?

Frage 2:

Werden weiter Programme mit diesem jetzt bekannten Sicherheitsproblem ausgeliefert?

Man unterscheidet in der juristischen Welt, ob etwas unglücklich, unerkannt, fahrlässig oder wissentlich und vorsätzlich getan wird. Wir wissen jetzt sicher, dass das Problem bekannt ist. Alles weitere passiert mit Wissen.

Also: Werden diese Programme weiter - insbesondere ohne Hinweis für die Kunden auf die jetzt bekannte Unsicherheit - ausgeliefert?

Dietmar Vill

 

[Counselor]

Hier werden wirklich sichere SET-basierte Zahlungssysteme vorgestellt :
http://elab.vanderbilt.edu/research...projects/secure.payment.systems/overview.html
http://www.rsasecurity.com/press_release.asp?doc_id=813&id=1034

Erfüllt der Dialer auch die SET Kriterien an eine sichere Zahlmethode?

To be considered secure, an electronic financial transaction should satisfy the following four requirements:

1. Ensuring communications are private
2. Verifying that the communications have not been altered in transmission
3. Ensuring the server and client are who they claim to be
4. Ensuring the information to be transferred was written by the signed author

Wie man den Fachartikeln entnehmen kann, geht sicheres Micropayment ohne Dialer.

 

[DialerDieter]

SET

In der Tat ein sicheres Zahlungssystem, leider wurde vor einiger Zeit SET eingestellt (wegen Nichtakzeptanz des Kunden übrigens) deren Nachfolge wieder unsicherere Methoden antreten.

Hier gibts noch die Spuren der Vergangenheit:
http://www.heise.de/newsticker/meldung/26249
oder die alte SET headquater-domain: http://www.setco.org :-?

Zudem mutmaße ich mal, das auch eine Walletsoftware fernsteuerbar wäre, (einfach PINS durch Trojaner-GUI abfragen und das unsichtbare Wallet ansteuern)


@dvill
Zu deinen Fragen: Momentan wird geprüft, welche Massnahmen gegen bösartige Programme auch zum Erfolg führen würden, eine Zwischenbilanz wäre verfrüht, allerdings würde ich Erwartungen nicht zu hochschrauben.

<sarcastic>Selbstverständlich nehmen wir alle Dialer vom Netz, schicken die Belegschaft in unbezahlten Urlaub und vertrösten alle Anbieter auf das Weihnachtsgeschäft, bis "sichere" Dialer programmiert und registriert wurden. </sarcastic> :roll:

@TSCoreNinja

... Dialerverbot ...

wie enttäuschend, ich hatte schon fast geglaubt du hast den Stein der Weisen gefunden.... :cry:

 

[Counselor]

Zudem mutmaße ich mal, das auch eine Walletsoftware fernsteuerbar wäre, (einfach PINS durch Trojaner-GUI abfragen und das unsichtbare Wallet ansteuern)

Das wäre sicher möglich. Nicht aber bei RSA. Bei RSA muß der User im Besitz eines Tokens sein, daß beim Anbieter des VPN Zugangs auf seinen Namen registriert ist. Ohne manuelle Eingabe des ständig wechselnden Zifferncodes auf dem Token durch den User in den VPN Client ist kein VPN Zugang möglich. Daher ist bei dieser Authentifizierungsmethode nichts fernsteuerbar.

Außerdem feht noch die Antwort auf die Frage, wie die folgenden Punkte bei einem Dialer umgesetzt sind

1. Ensuring communications are private
2. Verifying that the communications have not been altered in transmission
3. Ensuring the server and client are who they claim to be
4. Ensuring the information to be transferred was written by the signed author

 

[TSCoreNinja]

@TSCoreNinja

... Dialerverbot ...

wie enttäuschend, ich hatte schon fast geglaubt du hast den Stein der Weisen gefunden.... :cry:

@DialerDieter

leider nein, und wenn, dann haette ich das nicht hier gepostet, sondern wuerde eine Konkurrenzfirma aufmachen . Der potenzielle Markt fuer so ein System geht definitiv weit ueber Euren derzeitigen Markt hinaus Ich hab an und fuer sich nichts gegen Bezahlen per Telefon/Mehrwertrufnummer, ich halte nur Dialer fuer extrem missbrauchsanfaellig (und sehe hier mal ganz von dem Kritikpunkt der Deutlichkeit von Kostenhinweises ab).

 

[DialerDieter]

leider nein, und wenn, dann haette ich das nicht hier gepostet, sondern wuerde eine Konkurrenzfirma aufmachen . Der potenzielle Markt fuer so ein System geht definitiv weit ueber Euren derzeitigen Markt hinaus Ich hab an und fuer sich nichts gegen Bezahlen per Telefon/Mehrwertrufnummer, ich halte nur Dialer fuer extrem missbrauchsanfaellig (und sehe hier mal ganz von dem Kritikpunkt der Deutlichkeit von Kostenhinweises ab).

Auch das ist genauso unsicher. Wird der Telefon-Verteilerkasten direkt angezapft (diese Fälle gab es bereits), haben wir die gleiche Situation. Es gibt meines Wissen nach keinen Schutz vor Man-In-The-Middle-Attacks bei der Verwendung eines einseitigen Schlüsselpaares. SET zB. arbeitet mit zwar clientseitiger Authentifizierung, bietet aber trotzdem Angriffsmöglichkeiten, die ein Trojaner ausnutzen kann. Das Kernproblem ist dabei: wie kann ein Programm SICHER überprüfen, ob Userinteraktionen von der angeschlossenen Hardware stammen oder von einem Programm. Einen Tastendruck zu simulieren ist unter Windows (lt. MS) sogar ein Feature. Falls noch jemand n SET-Wallet hat, versuch das Teil dochmal per VNC oder Remotedesktop zu bedienen, ich habs zwar nich probiert, aber ich will wetten das klappt.

Missbrauch wird schon deshalb immer möglich sein, weil Sicherheit für den User verständlich sein muss, da es das nich kann (is ist nunmal kompliziert), muss der Durchschnitts-DAU dem glauben was er sieht und versteht. Solange du ihm ein gelbes Schloss vor Augen hälts und behauptest das ist von Microsoft und Windows unterstützt und für sicher befunden, kannst Du jedem die Daten von der Platte klauen.

Ich will auch nicht den Dialer aus der Missbrauchsmöglichkeit rauswinden, (also bitte spart die Aufforderungen, ich solle erklären ob der Dialer da und dafür sicher wäre) Ich sage die Ursache des Betruges ist die kriminelle Energie und Handlung, und nicht die letztendlich austauschbare Methode.

 

[Captain Picard]

Ich sage die Ursache des Betruges ist die kriminelle Energie und Handlung, und nicht die letztendlich austauschbare Methode.

Und deswegen sind Schusswaffen hier verboten (in Deutschland ca 300 Opfer pro Jahr
in USA ca 30000 Opfer pro Jahr )

Dialeropfer gibt´s ins USA definitiv weniger, was aber hier nicht zur Debatte steht,
warum in den USA ein Menschenleben weniger Beachtung findet als eine überhöhte Telefonrechnung
das ist deren Bier....

cp

 

[dvill]

Momentan wird geprüft, welche Massnahmen gegen bösartige Programme auch zum Erfolg führen würden, eine Zwischenbilanz wäre verfrüht, allerdings würde ich Erwartungen nicht zu hochschrauben.

Mir soll es letztlich egal sein, mit welchen Qualitätsansprüchen an Dialern gewerkelt wird. Es sind jedenfalls die richtigen Konsequenzen zu ziehen aus dem, wie es getan wird.

Ich habe bereits an anderer Stelle als ein Beispiel angeführt, dass Dialer sind gegen einfache Fernsteuerung auf wsh-Script-Ebene schützen können. Das erzeugt natürlich nicht wirkliche Sicherheit gegen Manipulation. Es ist auch nicht meine Aufgabe, die technische Lösung aufzuschreiben.

Eine Konsequenz aus der Teleflate-Affäre ist jedenfalls, dass fernsteuerbare Dialer "echt" aussehende Dateien, Registry-Einträge und Protokolle erzeugen, ohne dass es hierzu einen zustimmende Verbraucheraktion gegeben hätte. Die Fernsteuerungskomponenten können "flüchtig", d.h. nicht nachweisbar sein. Es macht übrigens keinen Unterschied, ob die Auslösung der Anwahl durch Ausnutzung eines Sicherheitslochs oder durch untergeschobene Programme geschieht, die der Verbraucher in Unkenntnis der verborgenen Funktionen selbst startet.

Dietmar Vill