Skip to content

Code finden

Der eine oder andere von euch kennt sicher Koders. Dort gibt es einiges an Quellcode zu finden. Mittlerweile hat Google eine ähnliche Seite unter dem Namen Google Codesearch gestartet. Die Suchsyntax ist recht gut ausgebaut und ich denke, hier kann man schnell eine gute wie schlechte Codezeile finden.

Zufall == Zeit bei der Citibank

Wenn ich Kunde einer Bank bin und dort Onlinebanking über PIN/TAN mache, erwarte ich, dass dieses Verfahren von seiten der Bank sicher ist. Dazu gehört, dass die PIN nicht auf einer Postkarte verschickt wird und dass die TANs nicht von beliebiger dritten Seite erraten werden können.

FX of Phenoelit erschrak bei einem Blick auf die TANs der Citibank. Denn auf den ersten Blick schien da etwas nicht zu stimmen. Die Verteilung schien regelmäßig und eine genauere Analyse bestätigte das Bild. In seinem Artikel bei Heise Security visualisiert er durch einige gnuplot-Grafiken die fehlende Entropie. Eine zweite TAN-Liste schien zwar etwas mehr Zufall zu beinhalten. Aber immer noch nicht genug.

Der Blogeintrag von FX verrät dann das die Citibank eine zeitbasierte Komponente zur Generierung der TANs benutzt. Was soll ich sagen? Als ich meinen ersten Zufallszahlengenerator schrieb, benutzte der auch eine zeitbasierte Komponente. Damals war stolz, bis ich mal die Verteilung der “Zufallszahlen” gemessen hatte. Da wurde mir schnell klar, dass diese Zahlen eher weniger zufällig waren. Das war so um die Jahrtausendwende und es war mein erster Versuch in die Richtung.

Wahrscheinlich lässt sich diese Schwachstelle noch nicht ausnutzen. Aber man sollte das auch nicht unterschätzen. In solchen Sicherheitsfragen fängt viel zunächst mit der theoretischen Idee an, dann folgt ein Proof-of-concept und schon schlagen die Scriptkiddies dann in Größenordnung zu. Ich sage nur Chip&Pin.

Was darf man bloggen?

Blogger geraten gern mal in die Abmahnmühlen. Das schürt natürlich die Unsicherheit, was man schreiben und verlinken darf und was nicht. Johnny vom Spreeblick hat unter dem Titel Darf ich das bloggen eine sehr schöne Übersicht erstellt. Ich finde, jeder Blogger sollte einen Blick auf die Liste werfen und die Hinweise auch berücksichtigen.

tweetbackcheckcronjob