[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Sicherheit in T-online

Hallo Klaus und die anderen,
hier noch ein Nachtrag aus der C'T-Redaktion. Die Adresse sollte man
sich uebrigens merken und gelegentlich aufsuchen. Sie ist ein Muss fuer
diejenigen, die sich fuer taeglich aktuelle Nachrichten aus der
Computerwelt interessieren.
 
Quelle: http://www.heise.de/newsticker/
 
   [NEWSTICKER]
 
   ---------------------------------------
 
T-Online-Update haelt nicht
 
   Die neue Version der T-Online-Zugangssoftware ist kaum sicherer als
   ihre Vorgaengerin. T-Online hatte das Online-Update am heutigen
   Dienstag um 11 Uhr bereitgestellt und erklaert, damit wuerden "die
   aktuellen Angriffspunkte beseitigt", die zwei 16jaehrige Schueler
   unlaengst gefunden und gegenueber c't und dem ARD-Magazin Plusminus
   aufgedeckt hatten.
 
   Nur wenige Stunden spaeter erwies sich jedoch, dass auch die neue
   Version nicht gegen das Ausspionieren der Zugangsdaten schuetzt: Aron
   Spohr, einer der beiden T-Online-Hacker, konnte sowohl das Passwort als
   auch die Zugangskennung einer testweise von c't uebertragenen
   passwort.ini-Datei in wenigen Minuten dekodieren. Dazu musste er
   lediglich die darin enthaltenen Daten etwas umsortieren, um das
   verschluesselte Passwort direkt vom T-Online-Dekoder angezeigt zu
   bekommen.
 
   Eine erste Analyse ergab: Die neue T-Online-Software baut zwar nicht
   laenger auf eine verraeterische Windows-Routine, die Verschluesselung der
   verschiedenen Datensaetze bleibt aber weiterhin "austauschbar". Dadurch
   kann man den Dekoder dazu bringen, statt der T-Online-Nummer das
   Passwort im Klartext anzuzeigen. Sobald einem Angreifer dieses zur
   Verfuegung steht, kann er ausspionierte passwort.ini-Dateien verwenden
   und auf fremde Kosten T-Online-Dienste nutzen.
 
   An der grundsaetzlichen Gefahr, dass ein "Trojanisches Pferd" (ein
   Programm mit einer versteckten Schad- oder Spionage-Funktion)
   vertrauliche Daten an Unbefugte uebermitteln koennte, vermag T-Online
   ohnehin nichts zu aendern. Es bleibt daher bei der dringenden
   Empfehlung, keine Passwoerter, PINs oder TANs zu speichern. Doch selbst
   dann besteht weiterhin ein grosses Risiko, da das Trojanische Pferd die
   Daten auch waehrend der Eingabe abfangen koennte.
 
   (ct/nl)
 
   07.04.98
 
                      HEISEONLINE NEWSTICKER KONTAKT
     _________________________________________________________________
 
   (c) Copyright by Verlag Heinz Heise GmbH & Co KG
   NewstickerAdmin Version 2.2
   Program last updated by R. Schleevoigt / 11.03.98
 
           <***  hk  >***