TLS-Gate – Online-Banking-Check

Schlechte Nachrichten für Eure Online-Banking Sicherheit:

18 von 20 getesten Online-Banking-Webseiten erlauben gebrochene Krypto!

In einem kleinen Test mit zufällig ausgewählten Online-Banking Webseiten, haben nur zwei Vertreter schon mal etwas von Security gehört. Die in der Liste grün hervorgehobenen Banken hatten nur TLS 1.2+ im Einsatz, wohin gegen die Anderen TLS 1.0 und TLS 1.1 neben TLS 1.2 erlaubt haben.

Damit sind Szenarien möglich, bei der es Angreifer schaffen, das SSL-Protokoll auf TLS 1.1 zu drücken, oder das gleich uralte Browser und Betriebssysteme zum Einsatz kommen, die von selbst mit gebrochener Krypto Verbindung zur Bank aufnehmen.

So oder so, ein Fest für Abhörer und Kriminelle.

Alle Banken hatten keine Probleme mit TLS 1.2, so daß ein aktueller Browser sich mit einer sicheren Verbindung zur Bank verbunden hat. Eure Sicherheit ist also nur dann gefährdet, wenn Euch jemand angreift und das ist genau das, was man mit guter Security verhindert. Wenn der Bankwebserver kein TLS 1.0 anbietet, würde so ein Angriffsszenario, bei dem die Verbindung derart gestört wird, daß TLS 1.2 nicht zu stande kommt, gar nicht erst funktionieren können.

Dummerweise gabs es in der Vergangenheit genug Beispiele, wie man solche Angriffe auf SSL-Verbindungen durchführt. Es ist also nicht ausgeschlossen, daß es jemand auch bei Euch schafft.

Domainname[:443]TLS 1.0TLS 1.1CA
www.commerzbank.de++Digicert
www.nordlb.de++Digicert
www.ksk-stade.de++Digicert
meine.postbank.de++Digicert
meine.deutsche-bank.de++Digicert
www.berliner-sparkasse.de++Digicert
www.bv-activebanking.deDigicert
meine.norisbank.de++Digicert
www.dkb.de++Digicert
www.sparda-b.de++QuoVadis
www.vrbankmecklenburg.de++QuoVadis
www.volksbank-demmin.de++QuoVadis
calenberger.de (Calenberger Kreditverein)++Lets Encrypt!
www.ksk-walsrode.de++Digicert
www.diebank.de++QuoVadis
www.sparkasse-celle.de++Digicert
banking.seeligerbank.deDigicert
www.sparkasse-nordhorn.de++Digicert
hbciweb.olb.de++D-Trust GmbH
www.apobank.de++QuoVadis

Wie kommt das zu Stand?

Wie man das erwarten würde, gibt es Gruppen von „Banken“ die eigentlich nur Filialen eines Konzerns sind. Mag sein, daß der eine oder andere örtliche Bankvorstand das anders sieht, aber spästens wenn jemand mal Geld nachschiessen muß, sieht man, wer mit wem verbandelt ist.

Die Sparkassen haben daraus gleich eine Tugend gemacht und einen eigenen Sparkassen Webframework gebaut. Im Prinzip ist die Online-Bankingseite für alle Sparkassen gleich, lediglich das Logo und Name & Anschrift der Bank in Texten sind angepaßt. Da Banken und Sparkassen nicht in jedem x-beliebigen Rechenzentrum hosten dürfen, gibt es nur wenige Anbieter auf die sich die Dienste verteilen.

Folge, so wie jetzt, fällt eine Webseite negativ auf, sind alle Seiten des Konglomerats betroffen.

Es ist an Euch das zu ändern in dem Ihr selbst zu Eurer Bank geht und das moniert.

Wie beweist Ihr das?

Man verbindet sich mit der Bankseite und sagt openssl nur TLS 1.0 anzubieten :

openssl s_client -connect www.apobank.de:443 -tls1

New, TLSv1.0, Cipher is ECDHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1
Cipher : ECDHE-RSA-AES256-SHA
Session-ID: 9F46E16A883DB49FA5A516BCDB23B67F24ED12E5EA6F9F83C504A6CF4CA96A24
Session-ID-ctx:
Master-Key: 4166D9B1C922F2410E6C0BF98BBE1D4B9BA03F238A6112F7FFA6B624F0BDFD8F7F759D97BDCB108CC3E4E635EBA17E24

Kommt eine Session und Key zustande, hatte man mit seiner Bank leider Pech 🙂

So sieht das aus, wenn man mit der Bank Glück hatte :

New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1563537522
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no

Keine Session. Kein Key. Kein Problem!

+49 69 4310097

Falls jemand Probleme hat raus zubekommen, wer Ihn da ständig auf seinem Handy beglückt, es ist ein Tochterunternehmen der Commerzbank namens…

Commerz Systems GmbH
Helfmann-Park 5, 65760 Eschborn
Telefon: +49 69 43100

Stand: 15.7.2019

Da ist die Absichtserklärung schon im Unternehmesnamen verankert. In den „Datenschutzhinweise für Kunden und andere Betroffene“ heißt es auf Seite 3 ..

Widerspruchsrecht gegen eine Verarbeitung von Daten für Zwecke der Direktwerbung

Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden wir Ihre personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten

Der Widerspruch kann formfrei mit dem Betreff „Widerspruch“ unter Angabe Ihres Namens, Ihrer Adresse und Ihres Geburtsdatums erfolgen und sollte gerichtet werden an:
…Adresse siehe oben…

Böse Zungen könnten jetzt die Behauptung ableiten, daß der Widerspruch zu einer ohnehin nach DS GVO nicht zulässigen Verarbeitung(Opt-Out zu einer nur per Opt-In zulässigen Verarbeitung), nur dafür da ist, um die Daten zu verifizieren oder gar erst zu erlangen.

Wer wissen will wie die Rechtslage ist:

https://www.call-center.de/callcenter-service/recht/telemarketing/privat.html

Essenz: „Anruf zur Geschäftsanbahnung ist nur mit ausdrücklicher ( Opt-In ) Einwilligung legal.“ Diese Einwilligung liegt nicht vor.

Wie könnte man darauf kommen?

Im aktuellen Fall gibt es nur die Telefonnummer ohne Namen, einen Anruf und keine Nachricht auf der Mailbox der Nummer.  Mit dem Widerspruch zu Speicherung, Verarbeitung und dem Verbot des vermutlichen Telefonspams der Nummer, würde der vermeindliche Spammer auch noch valide Daten erhalten: Name, Adresse und (komplett überflüssig) Geburtsdatum der Person hinter der bespammten Nummer. Also eine klare WIN Situation für den Spammer.

Da bereits Zweifel an der Seriosität bestehen, da Cold-Calls bei Verbrauchern zu Marketingzwecken gar nicht mehr erlaubt sind, darf auch bezweifelt werden, daß die zum Widerspruch gehörenden Angaben ordnungsgemäß vernichtet werden, wenn der Widerspruch bearbeitet wurde. Die Begründung wird sein, daß man ja ohne die Datenspeicherung gar nicht wüßte, wen man nicht anrufen soll.

Wenn allerdings nur korrekt erhaltene Daten von Kunden verarbeiten würden, die eine Zustimmung dazu gegeben haben, ergäbe sich das Problem gar nicht erst.

Munin: Could not draw graph

Kommt Euch bekannt vor ? „Could not draw graph „/var/lib/munin/cgi-tmp/munin-cgi-graph/…png?&lower_limit=&upper_limit=&size_x=800&size_y=400“

Wenn Ihr Upper & Lower – Limit auch nicht gesetzt habt, dann prüft doch mal , ob in der /var/www/cgi-bin/munin-cgi-graph das hier drinsteht: so um Zeile 462

my $upper_limit = CGI::param("upper_limit");
if ( $upper_limit eq "" ) {
   $upper_limit = "100000000";
}
push @params, "--upper_limit", $upper_limit if defined $upper_limit;

my $lower_limit = CGI::param("lower_limit");
if ( $lower_limit eq "" ) {
     $lower_limit = "0";
}
push @params, "--lower_limit", $lower_limit if defined $lower_limit;Falls nicht

Falls nicht, dann fixt das doch mal eben selber 😉  Seitdem geht unser Munin wieder.

 

Wir erpressen Sie jetzt mal..oder so :D

Herzlich Willkommen zu einer neuen Ausgabe von „Erpresser – Man muß sie einfach gern haben“ .. wieso? na weil ich dann wieder was zu schreiben habe und Ihr was zu Lachen 😀

Kommen wir zu dieser Erpresser-Spam:

Ich markiere mal die Anekdoten farblich…

Return-path: <junko@kotorinouta.com>
Envelope-to: <#### eine unserer echten Adressen####>
Delivery-date: Mon, 08 Jul 2019 11:44:24 +0200
Received: from www1765.sakura.ne.jp ([112.78.112.75])
	by XXXXXXXXXXX.de with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
	(XXXXXXXXXXXXXXXXXXXXXXXXXX)
	(envelope-from <junko@kotorinouta.com>)
	id XXXXXXXXXXXXXXXXX
	for <#### eine unserer echten Adressen####>; Mon, 08 Jul 2019 10:44:23 +0200
Received: from [127.0.0.1] (dynamic-189-45-26-22.webnet.psi.br [189.45.26.22])
	(authenticated bits=0)
	by www1765.sakura.ne.jp (8.15.2/8.15.2) with ESMTPSA id x585vAi13157658
	(version=TLSv1 cipher=DHE-RSA-AES256-SHA bits=256 verify=NO)
	for <#### eine unserer echten Adressen####>; Mon, 8 Jul 2019 17:44:21 +0900 (JST)
	(envelope-from junko@kotorinouta.com)
To: <#### eine unserer echten Adressen####>
From: Mylah <junko@kotorinouta.com>
MIME-Version: 1.0
Message-ID: <2b514q3322k452d@kotorinouta.com>
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset=UTF-8
Date: Mon, 8 Jul 2019 12:56:54 +0300
List-Help: <http://friend.kotorinouta.com/help/forsubscribers>
X-EVENT_NAME: trxzzkst
X-Virus-Flag: YES
Subject:  Security Alert. Your accounts were hacked by a criminal group.

Hello!

I am a hacker who has access to your operating system.
I also have full access to your account.

I've been watching you for a few months now.
The fact is that you were infected with malware through an adult site =
that you visited.

If you are not familiar with this, I will explain.
Trojan Virus gives me full access and control over a computer or other=
 device.
This means that I can see everything on your screen, turn on the camer=
a and microphone, but you do not know about it.

I also have access to all your contacts and all your correspondence.

Why your antivirus did not detect malware?
Answer: My malware uses the driver, I update its signatures every 4 ho=
urs so that your antivirus is silent.

I made a video showing how you satisfy yourself in the left half of th=
e screen, and in the right half you see the video that you watched.
With one click of the mouse, I can send this video to all your emails =
and contacts on social networks.
I can also post access to all your e-mail correspondence and messenger=
s that you use.

If you want to prevent this,
transfer the amount of $500 to my bitcoin address (if you do not know =
how to do this, write to Google: "Buy Bitcoin").

My bitcoin address (BTC Wallet) is:  3HsB65YE6xgdt6x8Nnrxjck1YMNK1kMka=
L

After receiving the payment, I will delete the video and you will neve=
r hear me again.
I give you 50 hours (more than 2 days) to pay.
I have a notice reading this letter, and the timer will work when you =
see this letter.

Filing a complaint somewhere does not make sense because this email ca=
nnot be tracked like my bitcoin address.
I do not make any mistakes.

If I find that you have shared this message with someone else, the vid=
eo will be immediately distributed.

Best regards!

Solche Emails gibt es ja zu Hauf, der braucht man inhaltlich keine große Aufmerksamkeit schenken. Wir schauen uns mal an, was wir so über den Möchtegernerpresser herausbekommen:

1. Die Einlieferung der Email stammt aus Brasilien, DSL Anschluß, ergo gehackter PC oder seine echte IP 🙂

from [127.0.0.1] (dynamic-189-45-26-22.webnet.psi.br [189.45.26.22])

2. Was auch immer da per SMTP die Email in Japan eingeliefert hat, es hält nicht viel von moderner Software:

(version=TLSv1 cipher=DHE-RSA-AES256-SHA bits=256 verify=NO)

3. Es handelt sich möglicherweise um eine Mailingliste bei einer Kinder-Sozialhilfe:

List-Help: <http://friend.kotorinouta.com/help/forsubscribers>

Google kennt zu der Domain folgende Info:

Poesie-Kindergarten für das Sozialhilfswerk Koori no Uta-Kindergarten Chigasaki-Stadt, privater Kindergarten der Präfektur Kanagawa

Also ein ziemlich fieser Charakter dieser Erpresser, wenn er einen Kindergarten als Tarnung für seine Aktivitäten benutzt.

4. Offensichtlich hat der Erpresser auch von der Technik keine Ahnung:

Filing a complaint somewhere does not make sense because this email cannot be tracked like my bitcoin address. I do not make any mistakes.

Der erste Fehler war, die Email an uns zuschicken. Fehler Nummer 2, natürlich kann man Emails bis zur Sender IP  verfolgen, wobei man das gar nicht muß, da uns der Erpresser freundlicherwiese seine Bitcoinadresse genannt hat

Bitcoin Adressen, und damit Bitcoins, lassen sich durch die Blockchain tracken, egal ob Bitcoin Mixer im Spiel sind oder nicht. Die Blockchain ist nicht anonym und der Benutzer auch nicht, im Gegensatz zu echtem Bargeld, das ist bis auf die Fingerabdrücke und DNS Spuren anonym! Es ist nämlich im wahrsten Sinne waschbar 🙂

Wenn man Bitcoins waschen will, muß man damit ins Spielcasino gehen. in China nehmen viele Casinos auch Digitales Geld an und man muß es ja nicht zwangsweise verlieren 😉

Es hat wohl noch niemand bezahlt

Stand 13:30 Uhr hat wohl niemand etwas auf dieses Konto überwiesen, was mich nicht wundert, die Scamwelle schappt ja schon seit jetztem Sommer durchs Netz:

https://www.blockchain.com/de/btc/address/3HsB65YE6xgdt6x8Nnrxjck1YMNK1kMkaL

oder auch

https://www.bitcoinabuse.com/reports/3HsB65YE6xgdt6x8Nnrxjck1YMNK1kMkaL

Wie immer …

Ab in die digitale Müllhalde damit!

Games: Sam & Max sind wieder da!

Wie wir aus informierten Kreisen erfahren haben, sind die brutalsten Ermittler der 80er und 90er Jahre wieder im Einsatz. Diesmal ermitteln Sie gegen die Untergrundmafia. Ermittler Max dazu: „Dieser Hamster fühlt sich bereits an wie Gummi!“ Das verwundert kaum, da besagter Hamster bereits seit über 4 Stunden in der Hand des als gewaltbereit geltenden Max ist. Zeugen des Verhöres konnten ein Bild aus dem Tollhaus schmuggeln:

Weiterhin wurde bekannt, daß ein bekannter Mediziner in die Ermittlungen von Sam & Max involviert ist. Der als verschroben geltende Doktor betreibt ein erfolgloses Landhotel in der Nähe von Freelance, in dem einst der Strom entdeckt wurde und einige andere, etwas bizzare Dinge. Doktor E. , dereinst von dem Physikstudenten B.B. aus Freelance, eines Umweltverbrechens überführt, scheint heute als Unschuldiger in den Akten geführt zu werden, was bezweifelt werden darf, traut man den Insiderinformationen einer gewissen Laverne, nebenfalls von Beruf Studentin.

Im Fokus der Ermittlungen steht ein Hamster, der ohne Beweise von Sam & Max in einem der Hotelzimmer verhört wird. Dies wird solange der Fall sein bis laut Sam: „Jemand einen anderen Verdächtigen beschafft.“ Wir wissen nicht, wer diesen Verdächtigen „besorgen“ soll. Kennen Sie zufällig so jemanden?

Hallo und herzlich willkommen zu …


…dem Prologue zum Fanspiel von David Schornsheim und Stefanie Enge. Ihr hattet jetzt Sam & Max II erwartet oder? Reingelegt 🙂 Aber, die kommen natürlich auch vor, sonst hätte ich das nicht erwähnt 😉 Das Spiel ist für Linux verfügbar, da es mit der Unity Engine gemacht wurde, die für alle Majorplattformen eine Version erstellen kann. Wer sich ein Bild von der Sache machen will, kann sich ein kleines Let’s Play von mir ansehen. Lediglich die erste halbe Stunde wird gezeigt, das noch nicht ganz fertige Spiel dauert aber bequem 2 Stunden und hält eine Reihe von wahnsinnigen Stunts bereit 😀

Der inoffizielle Nachfolger von Day of the Tentacle  macht dem Original alle Ehre und kommt in moderner 3k Auflösung daher, die man aber auf eigenen Wunsch hin, wieder in die Zeit der 80er Jahre verwandeln kann 🙂 Genau wie in Day of the Tentacle dreht sich alles um zeitreisende Hamster, ein verschrobenes Genie, dicke Bandmitglieder und eine Lila Tentakel! Das Nicht-Seefood will wieder die Welt erobern und ist noch mächtiger und böser als im ersten Teil, denn diesmal steht auch das Schicksal des Universums auf dem Spiel! Gemäß dem Schurken Motto: „Die Welt ist nicht genug!“

Genug der Worte, lasst Bilder sprechen !! Mu har har !!!

 

Return of the Tentacle ist noch nicht ganz fertig, da die zweite Hälfte des Spiel noch in der Mache ist. Bis dahin haben wir aber locker 2 Stunden Spielspaß vor uns! Wer Day of the Tentacle kennt,  wird sich gleich richtig zurecht finden, besonders da die Steuerung des Spiel sagenhaft einfach geworden ist. „Nimm“ „Gib“ „Benutze“ usw. sind einer intuitiven Maussteuerung gewichen, was leider zum einzigen Schwachpunkt des Spiels wird: Touchpads, und damit Tablets, kann man leider nicht benutzen.

Wer das (unfertige) Spiel downloaden will, kann das hier tun:

https://catmic.itch.io/return-of-the-tentacle

Neben Deutsch und Englisch als Tonspur sind eine Menge übersetzte Untertitel für eine Vielzahl von Sprachen verfügbar.

Ich wünsche allen ganz viel Spaß mit dem Spiel! Und DANKE an die Macher!