Phishing bei Pollin

[Holm Tiffe]

On 01.08.2016 22:49, Hergen Lehmann wrote:

Am 01.08.2016 um 14:38 schrieb Holm Tiffe:

Wenn man also die WebmĂźhle Ăźbernommen hat, kommt man auch an die
Datenbank..immer.

Unfug. Der Denkfehler liegt schon beim WĂśrtchen "die". Eine vernĂźnftige
Sicherheitsarchitektur wird mindestens zwei Datenbankserver haben: einen
in der DMZ fĂźr das Webgeraffel und einen jenseits einer (restriktiv
konfigurierten) Firewall fĂźr die interne Buchhaltung.

Hergen

Ja, Unfug.

Da Dir die WebmĂźhle bei der Bestellung nochmal Deine persĂśnlichen Daten
anzeigt holt die die Deiner Meinung nach aus der Buchhaltung?

Reality Check please...

Holm

 

[Hergen Lehmann]

Am 02.08.2016 um 08:01 schrieb Holm Tiffe:

Da Dir die WebmĂźhle bei der Bestellung nochmal Deine persĂśnlichen Daten
anzeigt holt die die Deiner Meinung nach aus der Buchhaltung?

Meine Meinung Ăźberlassen sie bitte mir, dafĂźr brauche ich keinen Souffleur.

Kein Unternehmen, das bei Verstand ist, wird Webshop und interne
Buchhaltung auf der selben Datenbank laufen lassen. Es wird bei
Abschluss der Bestellung die Daten in die Buchhaltung kopieren und den
Rest dann mehr oder weniger gut abgeschottet hinter der Firewall abwickeln.

DarĂźber hinaus kennt jede vernĂźnftige Datenbank auch Mechanismen, mit
denen man abhängig von den verwendeten Zugangsdaten den Zugriff auf die
einzelnen Tabellen und die Datenfelder darin einschränken kann. Schau
dir mal die SQL-Befehle "GRANT" und "REVOKE" an. Die Zugangsdaten zum
Schreibzugriff in eine Datenbank zu besitzen, bedeutet nicht, das man
auch alles wieder daraus lesen kann.

> Reality Check please...

Nach meinem Kenntnisstand ist in diesem Universum das Kopieren von Daten
mĂśglich. Was in Zeiten von "Big Data" leider auch zur Folge hat, das
nicht mehr benĂśtigte Kopien (hier der Zahlungsdaten) an Orten liegen
bleiben, wo sie eigentlich nichts zu suchen haben.

Hergen

 

[Holm Tiffe]

On 02.08.2016 10:27, Hergen Lehmann wrote:

Am 02.08.2016 um 08:01 schrieb Holm Tiffe:

Da Dir die WebmĂźhle bei der Bestellung nochmal Deine persĂśnlichen Daten
anzeigt holt die die Deiner Meinung nach aus der Buchhaltung?

Meine Meinung Ăźberlassen sie bitte mir, dafĂźr brauche ich keinen Souffleur.

Du (!) bist ja ein gaaanz Schlauer. "Sie" im Usenet...

Kein Unternehmen, das bei Verstand ist, wird Webshop und interne
Buchhaltung auf der selben Datenbank laufen lassen. Es wird bei
Abschluss der Bestellung die Daten in die Buchhaltung kopieren und den
Rest dann mehr oder weniger gut abgeschottet hinter der Firewall abwickeln.

Das war ja auch nicht meine blĂśde Idee, sondern Deine.
Ich arbeite seit 1989 als Unix Systemi und bin aktuell noch ein kleiner
ISP. Erzähle mir mal weiter interessante Geschichten vom blauen Pferd...

DarĂźber hinaus kennt jede vernĂźnftige Datenbank auch Mechanismen, mit
denen man abhängig von den verwendeten Zugangsdaten den Zugriff auf die
einzelnen Tabellen und die Datenfelder darin einschränken kann. Schau
dir mal die SQL-Befehle "GRANT" und "REVOKE" an. Die Zugangsdaten zum
Schreibzugriff in eine Datenbank zu besitzen, bedeutet nicht, das man
auch alles wieder daraus lesen kann.

Loriot: "Ach!"

Reality Check please...

Nach meinem Kenntnisstand ist in diesem Universum das Kopieren von Daten
mĂśglich. Was in Zeiten von "Big Data" leider auch zur Folge hat, das
nicht mehr benĂśtigte Kopien (hier der Zahlungsdaten) an Orten liegen
bleiben, wo sie eigentlich nichts zu suchen haben.

Hergen

Du sĂźlzt herrlich herum, Dein Halbwissen bricht scheinbar aber bei
Zeiten ab.
Die Idee mit der Buchhaltung war nicht meine, den Scheiß von Firewall
und Buchhaltung hast Du erzählt.
Die Kontodaten hat halt nicht nur die Buchhaltung, sondern auch der
jeweilige Webserver, sonst kĂśnnte der die nicht bei jeder Bestellung zur
Verifikation anbieten und die Änderungen an die Buchhaltung weiter leiten.

Genau das hatte ich Ăźbrigens bereits einmal geschrieben.
Wer lesen kann ist klar im Vorteil.
Such Dir jemanden Anderen dem Du neunmalklug auf die Schuhe pissen
kannst, ich bin dazu vĂśllig ungeeignet.

Gruß,

Holm

 

[Kai-Martin]

horst-d.winzler wrote:

Ich bin da neutral. Zum Faxe verschicken brauche ich kein Faxgerät,
nur ein Modem.

Vergiß den Scanner nicht.

Ich habe keinen Scanner in meiner direkten Umgebung.
Die Bestell-Faxe gehen direkt als PDF an den Modem-Teiber. Und was in
Papierform ankommt, wird nach guter alter Sitte abgearbeitet:

* Rechnungen gehen mit einem sachlich-richtig-Stempel, Unterschrift,
und Kostenstelle per Hauspost zur Bezahlung an die RechnungsprĂźfung.

* Manches wird gelocht und in Ordnern zwischengelagert.

* Der Rest wandert direkt in die Rundablage und von da in den
Container.

In den letzten zehn Jahren musste ich genau zwei Mal das
Multifunktionsgerät des Sekretariats bemßhen. Einmal meinte eine Firma
dass ein händisch unterschriebenes Fax nÜtig sei, damit sie mit der
Bearbeitung des Auftrags beginnen (Volumen war etwa 700 EUR...). Und
das andere Mal wollte die Volkswagenstiftung fĂźr einen Antrag auf dem
Deckblatt den Institutsstempel und die Unterschriften der
Antragsteller sehen.

---&ltkaimartin(>---

 

[Nomen Nescio]

Kai-Martin <kmk@lilalaser.de> wrote:

> Die Bestell-Faxe gehen direkt als PDF an den Modem-Teiber.

Viel Glßck, in Zukunft noch einen modem-fähigen VoIP-Anschluss zu bekommen.

 

[Lutz Schulze]

Am Thu, 4 Aug 2016 14:35:54 +0200 (CEST) schrieb Nomen Nescio:

Kai-Martin <kmk@lilalaser.de> wrote:

Die Bestell-Faxe gehen direkt als PDF an den Modem-Teiber.

Viel Glück, in Zukunft noch einen modem-fähigen VoIP-Anschluss zu bekommen.

Die wenigen im Monat, die ich noch versende, gehen hier problemlos durch.

Lutz

--
Mit unseren Sensoren ist der Administrator informiert, bevor es Probleme im
Serverraum gibt: preiswerte Monitoring Hard- und Software-kostenloses Plugin
auch für Nagios - Nachricht per e-mail,SMS und SNMP: http://www.messpc.de
Messwerte nachträgliche Wärmedämmung http://www.messpc.de/waermedaemmung.php

 

[Bernd Lauert]

On Thu, 04 Aug 2016 14:35:54 +0200, Nomen Nescio wrote:

Kai-Martin <kmk@lilalaser.de> wrote:

Die Bestell-Faxe gehen direkt als PDF an den Modem-Teiber.

Viel Glßck, in Zukunft noch einen modem-fähigen VoIP-Anschluss zu
bekommen.

Das ist dank T.38 kein größeres Problem. Gibt sogar Treiber, die direkt
Fax-over-IP ohne den Umweg Ăźbers Modem versenden kĂśnnen.

 

[Arno Welzel]

Bernd Lauert, 2016-07-29 19:15:

On Fri, 29 Jul 2016 19:02:53 +0200, horst-d.winzler wrote:

Am 29.07.2016 um 18:55 schrieb Bernd Lauert:
On Fri, 29 Jul 2016 18:20:28 +0200, Bernd Mayer wrote:

"Phishing-Angriff auf Pollin-Kunden"
http://www.heise.de/newsticker/meldung/Phishing-Angriff-auf-Pollin-

--- Herr Pollin darf sich auf Schadenersatzforderungen einstellen.
Seine Hausbank wird sicher auch ein WĂśrtchen mit ihm zu reden haben.


Die Konten sind gesperrt. Die Kunden mĂźssen ein neues Passwort
installieren.

Du kapierst das Problem nicht. Bei Herrn Pollin wurden komplette
Postanschriften, Packstationsanschriften, Geburtsdaten und zugehĂśrige
Bankverbindungen (!) im Klartext rausgetragen, weil sie auf dem Onlineshop-
Server unverschlĂźsselt abgelegt waren und womĂśglich noch sind.

Dann erkläre mal, wie man als Kunde dort seine Daten vor der endgßltigen
Beauftragung einer Bestellung prßfen und ggf. ändern kÜnnen soll, wenn
sie nicht im Shop-System zugänglich wären?

Und Pollin selbst muss die Daten ja auch kennen, um die Waren
verschicken und Lastschriften etc. ausfĂźhren zu kĂśnnnen.

Man kann natĂźrlich ein System erdenken, dass die Daten nur bei Bedarf
aus einer externen Datenbank bekommt - aber wenn der Shop von einem
Angreifer Ăźbernommen wurde, ist der Zugriff auf ein weiteres Sysem, dass
mit dem Shop in Verbindung steht, auch keine große Hürde mehr.

So ein System muss einfach sicher betrieben werden - und dazu braucht es
nicht nur Technik sondern auch entsprechende Abläufe bei den Leuten, die
fĂźr den Betrieb verantwortlich sind.



--
Arno Welzel
http://arnowelzel.de
http://de-rec-fahrrad.de
http://fahrradzukunft.de

 

[Arno Welzel]

Bernd Lauert, 2016-07-31 02:32:

On Sat, 30 Jul 2016 23:50:06 +0200, Marc Haber wrote:

Bernd Lauert <m8r-9vv4fj@mailinator.com> wrote:
Für den entstandenen Aufwand durch Datenmißbrauch (z. B. unberechtigte
Konto-Abbuchungen, RĂźckbuchungen, Inkasso-Mahnungen, Kreditscore-
Beschädigung) kÜnnen die Betroffenen sich natßrlich natßrlich finanziell
an ihm schadlos halten. Wenn's dumm läuft ist, ist er dadurch bald
insolvent.

Lall. Der Nachweis dĂźrfte schwierig zu fĂźhren sein.

Das o. g. läßt sich leicht nachweisen.

Wie weist Du nach, dass die Daten, die fĂźr Konto-Abbuchungen missbraucht
wurden, exklusiv nur von Pollin entwendet wurden und der Angreifer sie
garantiert aus keiner anderen Quelle hat?


--
Arno Welzel
http://arnowelzel.de
http://de-rec-fahrrad.de
http://fahrradzukunft.de

 

[Arno Welzel]

Axel Schwenke, 2016-07-31 15:36:

On 29.07.2016 19:15, Bernd Lauert wrote:
Du kapierst das Problem nicht. Bei Herrn Pollin wurden komplette
Postanschriften, Packstationsanschriften, Geburtsdaten und zugehĂśrige
Bankverbindungen (!) im Klartext rausgetragen

So weit korrekt.

weil sie auf dem Onlineshop-
Server unverschlĂźsselt abgelegt waren und womĂśglich noch sind.

Woher beziehst du diese Weisheit? MĂśglicherweise sind diese Daten ja
verschlĂźsselt _gespeichert_. BlĂśderweise braucht Pollin die Daten bei einer
Bestellung unverschlüsselt. Also muß da irgendwo auch der Schlüssel für die
Daten liegen. Wenn die Hacker aber Komplettzugriff auf den Server hatten,
dann haben sie am Ende so oder so Klartext.

Und nein, dagegen gibt es genau gar keinen Schutz. Auch das Ăźbliche
Paßwort-Hashing ist viel weniger wert als allgemein angenommen.

Pollin muss die Daten ja nicht mit einem schwachen Passwort des Kunden
verschlĂźsseln, sondern kann dies mit tauglicheren Verfahren tun. Aber
sowas einzufĂźhren und zu nutzen kostet Geld und wenn der Shop glaubt,
seine IT-Systeme wären schon sicher genug, vermeidet man eben solche
Ausgaben.


--
Arno Welzel
http://arnowelzel.de
http://de-rec-fahrrad.de
http://fahrradzukunft.de

 

[Arno Welzel]

Bernd Lauert, 2016-07-29 20:31:

On Fri, 29 Jul 2016 20:21:06 +0200, Johannes Bauer wrote:
[...]
Und erklär gleich
mit, wo die entsprechenden SchlĂźssel liegen.

Der zum VerschlĂźsseln liegt auf dem Webserver.
Der zum EntschlĂźsseln gesichert in der Buchhaltungssoftware.

Und wenn der Kunde seine eigenen Daten im Shop einsehen und ggf. ändern
will? BlĂśd - dann muss der Webserver sie auch entschlĂźsseln kĂśnnen.

Kreditkartenunternehmen haben nicht umsonst entsprechend strenge PCI-
Richtlinien, wenn man Zahlungen Ăźber sie abwickeln will.

Richtig. Siehe auch <https://www.pcisecuritystandards.org>

Da wird aber keine konkrete Aufteilung von Servern etc. verlangt,
sondern ein *Ablauf* der Sicherheit gewährleistet.

Dass der Webserver frĂźher gespeicherte Kontonummern anzeigen kann,
verstößt übrigens nicht dagegen.


--
Arno Welzel
http://arnowelzel.de
http://de-rec-fahrrad.de
http://fahrradzukunft.de

 

[Arno Welzel]

Bernd Lauert, 2016-07-29 21:23:

[...]

Die Mißbrauchsprävention ist bei Kreditkarten inzwischen übrigens deutlich
besser bis hin zu automatischer Erkennung und Abweisung mißbräuchlicher
Transaktionen. Die Arbeit mit den unberechtigten SEPA-Belastungen bleibt
hingegen beim Opfer selbst hängen.

Die kĂśnnen einfach widerrufen werden. BTDT - mehrfach.

Der Abbucher muss im Fall von SEPA nämlich *beweisen*, dass er dazu
berechtigt ist. Allein die Kenntnis der IBAN wird dazu nicht ausreichen.


--
Arno Welzel
http://arnowelzel.de
http://de-rec-fahrrad.de
http://fahrradzukunft.de

 

[Arno Welzel]

Bernd Lauert, 2016-07-29 22:33:

On Fri, 29 Jul 2016 21:46:25 +0200, Johannes Bauer wrote:
[...]
Und welche Software fĂźr's Backend kennst du, die fĂźr einen
X-beliebigen popeligen Webshop sowas umsetzt? Oder willst du dir die
entsprechenden Module selber bauen?

Das Pollin-Teil ist ein amateurhafter Eigenbau. Deshalb ist auch geknackt
worden.

Du kennst die verantwortlichen Leute dafĂźr bei Pollin persĂśnlich? Oder
woher weißt Du das?



--
Arno Welzel
http://arnowelzel.de
http://de-rec-fahrrad.de
http://fahrradzukunft.de

 

[Bernd Laengerich]

Am 06.08.2016 um 17:40 schrieb Arno Welzel:

Der Abbucher muss im Fall von SEPA nämlich *beweisen*, dass er dazu
berechtigt ist. Allein die Kenntnis der IBAN wird dazu nicht ausreichen.

Das war auch vor SEPA bereits so. Zur Einreichung von Lastschriften ist ein
entsprechender Vertrag mit der Bank zu unterzeichnen. Ein Privatgirokonto
reicht dazu i.d.R nicht aus.

Bernd
--
Meine Glaskugel ist mir leider unvorhersehbarerweise vom Balkon gefallen.
P.Liedermann in defa