TAN-Generatoren mit Solarzelle ...

[Rupert Haselbeck]

Thorsten BĂśttcher schrieb:

Marc Stibane:
Thorsten BĂśttcher wrote:

Sinnvoll wäre eine USB-Anschluß zur Stromversorgung.

Bloß nicht. Der wäre doch garantiert darüber angreifbar.

Um angreifbar zu sein, mĂźsste es Ăźber USB ansprechbar sein.
Wenn man nur die Spannungsversorgung anschließt, ist das genauso
unsicher wie der Toaster in der Steckdose.

Die ganz paranoiden würde dann einfach ein USB-Netzteil anschließen,
anstatt das Gerät in den PC zu stecken.

Macht es denn aus rein wirtschaftlichen Überlegungen überhaupt Sinn, ein
Gerät mit einer USB-Schnittstelle auszustatten und die Stromversorgung
darĂźber zu realisieren, wenn es offensichtlich unproblematisch mĂśglich ist,
die Energieversorgung mittels zweier Knopfzellen fĂźr einige Jahre zu
ermĂśglichen?
Und so ganz nebenbei hat man einen Angriffsvektor, mag er auch auf den
ersten Blick eher theoretischer Natur sein, vollständig eliminiert, wenn die
Verbindung nach außen völlig fehlt

MfG
Rupert

 

[Eric Bruecklmeier]

Am 27.03.2020 um 10:24 schrieb Axel Berger:

Eric Bruecklmeier wrote:
wie das Problem Logitech Präsenter
unlängst wieder gezeigt hat.

--verbose bitte. Nie gehĂśrt.

Danke

https://www.heise.de/security/meldung/Angreifbare-Logitech-Presenter-Hersteller-tauscht-gefaehrliche-USB-Empfaenger-aus-4423627.html

 

[Eric Bruecklmeier]

Am 27.03.2020 um 09:55 schrieb Thorsten BĂśttcher:

Am 27.03.2020 um 09:31 schrieb Eric Bruecklmeier:
Am 27.03.2020 um 09:27 schrieb Thorsten BĂśttcher:
Am 27.03.2020 um 08:54 schrieb Eric Bruecklmeier:
Am 27.03.2020 um 07:08 schrieb Thorsten BĂśttcher:
Am 26.03.2020 um 19:10 schrieb Marc Stibane:
Thorsten BĂśttcher <thorsten_nospam@gmx.net> wrote:

Sinnvoll wäre eine USB-Anschluß zur Stromversorgung.

Bloß nicht. Der wäre doch garantiert darüber angreifbar.

Um angreifbar zu sein, mĂźsste es Ăźber USB ansprechbar sein.
Wenn man nur die Spannungsversorgung anschließt, ist das genauso
unsicher wie der Toaster in der Steckdose.

Das stimmt so nicht, suggeriert es doch, Ăźber die Versorgungsspannung
kĂśnnte keine Information abgegriffen werden. Allerdings wĂźrde ein
solcher Angriff ein lausiges Design (kann ich mir gut vorstellen) und
einen USB Anschluß mit recht präziser Strommessung (eher weniger)
voraussetzen...

Ok, wahrscheinlich ließen sich unter Laborbedingungen Daten mitlesen,

Das ist so, BTDT - allerdings schon ein paar Jährchen her.

aber unter realen Bedingungen halte ich das fĂźr unmĂśglich, wenn man
keinen physischen Zugriff auf die Geräte hat.
Und selbst wenn er die Daten mitlesen kann, hilft das ja erstmal nichts,
solange er sie nicht verfälschen kann.

Das ist ein Irrtum, denn Ăźber solche Angriffe kann man an interne
SchlĂźssel kommen, wenn das Design des Kryptokontrollers entsprechend
schlecht ist.

Ok, wieder was gelernt.
Wie wahrscheinlich wäre ein solcher Angriff, wenn man das Gerät mit
einem Steckernetzteil in der Steckdose versorgt?

Auf freier Wildbahn geht die Wahrscheinlichkeit das sowas funktioniert
wohl gegen Null. Und ehrlicherweise richten sich solche Angriffe meist
auf interne Schlßssel im Labor. Aber man sollte eben grundsätzlich
nichts von vorneherein ausschließen, wie das Problem Logitech Präsenter
unlängst wieder gezeigt hat.

 

[Guido Grohmann]

Thorsten BĂśttcher schrieb:
> Ich hab gesucht, aber der Thread ist mittlerweile recht groß.

https://shop.reiner-sct.com/tan-generatoren-fuer-sicheres-online-banking/tanjack-usb

Ich weiß dass es auch TAN-Generatoren mit USB Anschluß gibt, aber das
ist etwas anderes als der hier angedachte Umbau.

Und man darf heutzutage nicht erwarten, daß eine Firma einen
TAN-Generator mit USB-Stromversorgung auf den Markt bringt - weil zu
100% irgendeine Pappnase das Ding Ăśffentlich runtermacht, weil die Daten
nicht Ăźber USB Ăźbertragen werden. Das wĂźrde sich einfach nicht verkaufen.

Also Eigenbau, wie du vorschlägst.

Guido

 

[Guido Grohmann]

Thorsten BĂśttcher schrieb:

Aber beim OP scheint ja genau das nicht zu funktionieren, das Gerät mit
den Batterien fĂźr einige Jahre zu versorgen.

Ich habe eine Vorgängerversion (im Bank-Desigen) von dem hier:
https://shop.reiner-sct.com/tan-generatoren-fuer-sicheres-online-banking/tanjack-optic-sr

und der funktioniert klaglos seit 2011 mit dem ersten Satz Knopfzellen.

Ich wurde seinerzeit im Kollegenkreis ausgelacht, weil ich so ein
"teures" Ding gekauft hatte - das gabs doch auch vieeel billiger.

Guido

 

[Rupert Haselbeck]

Thorsten BĂśttcher schrieb:

Rupert Haselbeck:
Macht es denn aus rein wirtschaftlichen Überlegungen überhaupt Sinn, ein
Gerät mit einer USB-Schnittstelle auszustatten und die Stromversorgung
darĂźber zu realisieren, wenn es offensichtlich unproblematisch mĂśglich
ist, die Energieversorgung mittels zweier Knopfzellen fĂźr einige Jahre zu
ermĂśglichen?

Nein.
Aber beim OP scheint ja genau das nicht zu funktionieren, das Gerät mit
den Batterien fĂźr einige Jahre zu versorgen.
Ich bin mir recht sicher der Thread wĂźrde nicht existieren, wenn der OP
die Batterien nur alle 2-3 Jahre wechseln mßsste, und das Gerät danach
wieder funktionieren wĂźrde.

Dem mĂśchte ich mich anschliessen.
Aber auch wenn sich sogleich der Gruppenspinner hier zu Wort melden wird, um
auf die Erhaltung alten Schrotts zu drängen, so mÜchte ich doch einwerfen,
dass es sich lohnen kĂśnnte, eine Investition in ein neues, tauglicheres
Gerät in Erwägung zu ziehen und das bisherige in die Ecke zu legen oder
besser gleich wegzuwerfen.
Der von mir vor etlichen Jahren, in 2015, erworbene TAN-Generator kostete
beim Hersteller damals 12 Euronen. Bei der eigenen Bank erworben kĂśnnten es
vielleicht sogar nur noch 8 oder 10 Euro sein, was man dafĂźr ausgeben
mßsste. Und da sind, wie schon erwähnt, noch immer die mitgelieferten
Batterien drin.
Mein ja nur...

MfG
Rupert

 

[Gerrit Heitsch]

On 3/27/20 10:24 AM, Axel Berger wrote:

Eric Bruecklmeier wrote:
wie das Problem Logitech Präsenter
unlängst wieder gezeigt hat.

--verbose bitte. Nie gehĂśrt.

https://heise.de/-4370489

Gerrit

 

[Eric Bruecklmeier]

Am 27.03.2020 um 10:55 schrieb Axel Berger:

Na gut. Man kann mit Eingabegeräten auf den fremden Rechner zugreifen.
Wenn ich eine Präsentation zeige, dann ist ein Bildschirm angeschlossen
und ich habe ihn ständig im Blick.

Genau diese allwissende Arroganz fĂźhrt immer wieder zu erfolgreichen
Angriffen...

 

[Axel Berger]

Eric Bruecklmeier wrote:
> https://www.heise.de/security/meldung/Angreifbare-Logitech-Presenter-Hersteller-tauscht-gefaehrliche-USB-Empfaenger-aus-4423627.html

Na gut. Man kann mit Eingabegeräten auf den fremden Rechner zugreifen.
Wenn ich eine Präsentation zeige, dann ist ein Bildschirm angeschlossen
und ich habe ihn ständig im Blick. Am Ende ziehe ich den USB-Adapter ab,
allein schon, weil er stört.

Ich halte den Angriff für hypothetisch. Selbst wer nicht erkennt, was
los ist, wird annehmen, der Rechner spinnt, und einen Reset auslösen.


--
/Ż\ No | Dipl.-Ing. F. Axel Berger Tel: +49/ 221/ 7771 8067
\ / HTML | Roald-Amundsen-Straße 2a Fax: +49/ 221/ 7771 8069
 X in | D-50829 Köln-Ossendorf http://berger-odenthal.de
/ \ Mail | -- No unannounced, large, binary attachments, please! --

 

[Thorsten BĂśttcher]

Am 27.03.2020 um 10:30 schrieb Rupert Haselbeck:

Thorsten BĂśttcher schrieb:

Marc Stibane:
Thorsten BĂśttcher wrote:

Sinnvoll wäre eine USB-Anschluß zur Stromversorgung.

Bloß nicht. Der wäre doch garantiert darüber angreifbar.

Um angreifbar zu sein, mĂźsste es Ăźber USB ansprechbar sein.
Wenn man nur die Spannungsversorgung anschließt, ist das genauso
unsicher wie der Toaster in der Steckdose.

Die ganz paranoiden würde dann einfach ein USB-Netzteil anschließen,
anstatt das Gerät in den PC zu stecken.

Macht es denn aus rein wirtschaftlichen Überlegungen überhaupt Sinn, ein
Gerät mit einer USB-Schnittstelle auszustatten und die Stromversorgung
darĂźber zu realisieren, wenn es offensichtlich unproblematisch mĂśglich ist,
die Energieversorgung mittels zweier Knopfzellen fĂźr einige Jahre zu
ermĂśglichen?

Nein.
Aber beim OP scheint ja genau das nicht zu funktionieren, das Gerät mit
den Batterien fĂźr einige Jahre zu versorgen.
Ich bin mir recht sicher der Thread wĂźrde nicht existieren, wenn der OP
die Batterien nur alle 2-3 Jahre wechseln mßsste, und das Gerät danach
wieder funktionieren wĂźrde.

 

[Eric Bruecklmeier]

Am 27.03.2020 um 12:07 schrieb Axel Berger:

Marc Haber wrote:
Ich glaube Dir das nicht.

Vermutlich zu recht. Dann bleibt nur noch das letzte Argument im
Rückzugsgefecht: Wer so gut ist, daß er das hinbekommt, der hat es kaum
auf ausgerechnet mich abgesehen.

So gut muß der gar nicht sein - ein erfolgreicher Angriff ist kein
Zufall, sondern in der Regel gut geplant. Einer (evtl. sogar eine)
stellt eine komplizierte oder interessante Zwischenfrage und schon ist
auch unser Wunderkind Axel so abgelenkt, daß...

Abgesehen davon finden viele Vorträge nicht nur auf einem Medium statt,
sondern z.B. zwischendurch auch an einer Tafel. Und schon...

 

[Guido Grohmann]

Thorsten BĂśttcher schrieb:

Am 27.03.2020 um 11:40 schrieb Guido Grohmann:

Ich habe eine Vorgängerversion (im Bank-Desigen) von dem hier:
https://shop.reiner-sct.com/tan-generatoren-fuer-sicheres-online-banking/tanjack-optic-sr


und der funktioniert klaglos seit 2011 mit dem ersten Satz Knopfzellen.

Ich wurde seinerzeit im Kollegenkreis ausgelacht, weil ich so ein
"teures" Ding gekauft hatte - das gabs doch auch vieeel billiger.

Teures Ding?
Was hast Du denn bezahlt?

Weiß ich nicht mehr, so grob zwischen 15 und 20 Euro. Obs 15,99 oder
16,99 oder gar 18,99 waren, das weiß ich nimmer.

Mein TanJack optic cx hat vor 2 Jahren 14.90€ gekostet, und andere
vergleichbare Geräte gab es auch nicht signifikant gßnstiger.

Es gab auch welche von anderen Herstellern fĂźr 6,99 oder 7,99 seinerzeit
- also noch deutlich unter 10 Euro. Was ich nicht mehr weiß ist, ob das
der Ausgabepreis von irgendwelchen Banken im Zusammenhang mit Werbung
fĂźrs Onlinekonte war oder ein Internetpreis.

Guido

 

[Thorsten BĂśttcher]

Am 27.03.2020 um 11:40 schrieb Guido Grohmann:

Thorsten BĂśttcher schrieb:

Aber beim OP scheint ja genau das nicht zu funktionieren, das Gerät mit
den Batterien fĂźr einige Jahre zu versorgen.

Ich habe eine Vorgängerversion (im Bank-Desigen) von dem hier:
https://shop.reiner-sct.com/tan-generatoren-fuer-sicheres-online-banking/tanjack-optic-sr

und der funktioniert klaglos seit 2011 mit dem ersten Satz Knopfzellen.

Ich wurde seinerzeit im Kollegenkreis ausgelacht, weil ich so ein
"teures" Ding gekauft hatte - das gabs doch auch vieeel billiger.

Teures Ding?
Was hast Du denn bezahlt?
Mein TanJack optic cx hat vor 2 Jahren 14.90€ gekostet, und andere
vergleichbare Geräte gab es auch nicht signifikant gßnstiger.

 

[Axel Berger]

Marc Haber wrote:
> Ich glaube Dir das nicht.

Vermutlich zu recht. Dann bleibt nur noch das letzte Argument im
Rückzugsgefecht: Wer so gut ist, daß er das hinbekommt, der hat es kaum
auf ausgerechnet mich abgesehen. Aber Ihr habt alle recht, ein
Angriffsvektor soll gar nicht da sein, "wird schon gutgehen" reicht
nicht.


--
/Ż\ No | Dipl.-Ing. F. Axel Berger Tel: +49/ 221/ 7771 8067
\ / HTML | Roald-Amundsen-Straße 2a Fax: +49/ 221/ 7771 8069
 X in | D-50829 Köln-Ossendorf http://berger-odenthal.de
/ \ Mail | -- No unannounced, large, binary attachments, please! --

 

[Eric Bruecklmeier]

Am 27.03.2020 um 11:53 schrieb Marc Haber:

Axel Berger <Spam@Berger-Odenthal.De> wrote:
Eric Bruecklmeier wrote:
https://www.heise.de/security/meldung/Angreifbare-Logitech-Presenter-Hersteller-tauscht-gefaehrliche-USB-Empfaenger-aus-4423627.html

Na gut. Man kann mit Eingabegeräten auf den fremden Rechner zugreifen.
Wenn ich eine Präsentation zeige, dann ist ein Bildschirm angeschlossen
und ich habe ihn ständig im Blick. Am Ende ziehe ich den USB-Adapter ab,
allein schon, weil er stĂśrt.

Ich halte den Angriff fĂźr hypothetisch. Selbst wer nicht erkennt, was
los ist, wird annehmen, der Rechner spinnt, und einen Reset auslĂśsen.

Ein kurz mal aufblitzendes schwarzes Fenster in einem Vortrag, das
nach weniger als einer Sekunde wieder zu ist? Dann bist Du
unmenschlich cool. Ich glaube Dir das nicht.

Es ist doch hier schon fast die Regel, daß die größten
Wohnzimmertheoretiker immer ganz genau wissen, was Sache ist und wie man
was zu machen hat... Mei, wenns glĂźcklich macht.

 

[Axel Berger]

Eric Bruecklmeier wrote:

Genau diese allwissende Arroganz fĂźhrt immer wieder zu erfolgreichen
Angriffen...

Wahrscheinlich hast Du recht und auf jeden Fall mehr Erfahrung und
Überblick als ich.



--
/Ż\ No | Dipl.-Ing. F. Axel Berger Tel: +49/ 221/ 7771 8067
\ / HTML | Roald-Amundsen-Straße 2a Fax: +49/ 221/ 7771 8069
 X in | D-50829 Köln-Ossendorf http://berger-odenthal.de
/ \ Mail | -- No unannounced, large, binary attachments, please! --

 

[Marc Haber]

Axel Berger <Spam@Berger-Odenthal.De> wrote:

Eric Bruecklmeier wrote:
https://www.heise.de/security/meldung/Angreifbare-Logitech-Presenter-Hersteller-tauscht-gefaehrliche-USB-Empfaenger-aus-4423627.html

Na gut. Man kann mit Eingabegeräten auf den fremden Rechner zugreifen.
Wenn ich eine Präsentation zeige, dann ist ein Bildschirm angeschlossen
und ich habe ihn ständig im Blick. Am Ende ziehe ich den USB-Adapter ab,
allein schon, weil er stĂśrt.

Ich halte den Angriff fĂźr hypothetisch. Selbst wer nicht erkennt, was
los ist, wird annehmen, der Rechner spinnt, und einen Reset auslĂśsen.

Ein kurz mal aufblitzendes schwarzes Fenster in einem Vortrag, das
nach weniger als einer Sekunde wieder zu ist? Dann bist Du
unmenschlich cool. Ich glaube Dir das nicht.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

 

[Thorsten BĂśttcher]

Am 27.03.2020 um 12:25 schrieb Guido Grohmann:

Thorsten BĂśttcher schrieb:

Mein TanJack optic cx hat vor 2 Jahren 14.90€ gekostet, und andere
vergleichbare Geräte gab es auch nicht signifikant gßnstiger.

Es gab auch welche von anderen Herstellern fĂźr 6,99 oder 7,99 seinerzeit
- also noch deutlich unter 10 Euro. Was ich nicht mehr weiß ist, ob das
der Ausgabepreis von irgendwelchen Banken im Zusammenhang mit Werbung
fĂźrs Onlinekonte war oder ein Internetpreis.

Ok, es kann durchaus sein dass ich mich bei der Suche auf Geräte von
Kobil und Reiner konzentriert habe, und den Billigkram ignoriert habe.

 

[Eric Bruecklmeier]

Am 27.03.2020 um 16:28 schrieb Hans-Peter Diettrich:

Bei genauer Betrachtung ist das hier eher ein akademisches Problem mit
Anwendung im Labor.

Schrieb ich ja.

 

[Hans-Peter Diettrich]

Am 27.03.2020 um 09:31 schrieb Eric Bruecklmeier:

Ok, wahrscheinlich ließen sich unter Laborbedingungen Daten mitlesen,

Das ist so, BTDT - allerdings schon ein paar Jährchen her.

aber unter realen Bedingungen halte ich das fĂźr unmĂśglich, wenn man
keinen physischen Zugriff auf die Geräte hat.
Und selbst wenn er die Daten mitlesen kann, hilft das ja erstmal
nichts, solange er sie nicht verfälschen kann.

Das ist ein Irrtum, denn Ăźber solche Angriffe kann man an interne
SchlĂźssel kommen, wenn das Design des Kryptokontrollers entsprechend
schlecht ist.

Was wäre mit einer Spule, die den Stromverlauf verschleift?
Aber schon wenn Addition und Subtraktion eine gleiche Leistungssignatur
hätte, wird es mit einer korrekten Auswertung schwierig.

Zudem braucht man ein USB-Netzteil, das irgendwo mit der notwendigen
Spionage Hard- und Software ausgestattet ist. Sind jemand derartige PCs
oder Chipsets bekannt, die bereits in Serie produziert wurden und
ausreichend Verbreitung gefunden haben?

Der größte Fehler bei solchen Designs ist grundsätzlich die Annahme:
"Das brauchen wir nicht näher zu untersuchen, ßber den Weg kommt eh
keiner rein..."

Bei genauer Betrachtung ist das hier eher ein akademisches Problem mit
Anwendung im Labor. Die Erfolgsmeldungen stammen hauptsächlich von
denjenigen, die damit Aufträge zu generieren hoffen.

Deshalb kann man IMO ziemlich sicher sein, daß einer dieser Forscher
Alarm schlägt, sobald eine reale Gefahr gefunden wurde.

DoDi