Re: iTAN

Denis Jedig <dj@xxxxxxxxxxxx>:
On Sat, 26 Aug 2006 21:21:42 -0400 Andreas Kohlbach wrote:

Was hält man von mTAN?

Verfügbarkeit als Problem wurde bereits angeschnitten. Dazu ist die
"Verschlüsselung" von GSM bekanntermaßen völlig unbrauchbar. Die mTANs sind
also bei entsprechend ausgestatteten Angreifern in Funkreichweite unsicher.

Die Verschluesselung von GSM ist nicht das Problem. Denn
Verschluesselt wird eh nur in der Luft (wenn ueberhaupt). Und das ist
uninteressant. (Auch wenn das eh ein Witz ist, und eine MitM Attacke
unbemerkbar nicht nur die Verschluesselung einfach abschalten,
sondern auch die Daten beliebig manipulieren kann.)

Dass die SMS zwischen Bank und der Basisstation, an der die dir
naechste Antenne haengt unverschluesselt ueber exponierte Datennetze
transportiert wird, ist IMO das eigentliche Problem.

Einzig die sehr hohe Komplexitaet und das fuer einen Angreifer
noetige hohe technische Know-How, die noetig sind um diese Datennetze
(das ist nix Internet, das ist das weltweite SS7 Datennetz) anzugreifen,
sind eine spuerbar hohe Huerde. (Es gibt noch kaum potentielle Angreifer,
die sich mit der Technologie auskennen).
Aber in Zukunft soll dieses Netz ja durch IP ersetzt werden und
einfach ueber das Internet laufen. Weil ist ja vieeeeele billiger!!11elf.

Die Zukunft sieht sehr rosig aus fuer meinen Berufsstand.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
.