[FB-LG] Präsidiums-Onlinewahl
Auf der Sitzung in Berlin wurde über die Online Wahl berichtet. Am Freitag danach hörte ich einen Vortrag über Phishing-Attacken und den Bemühungen der deutschen Kreditwirtschaft dies zu beherrschen, einzudämmen und Gegenmaßnahmen zu lanzieren. Einer der Angreifer ließ die "gephishten" Informationen auf einem FTP-Server ablegen. Die Informationen wurden direkt im IE abgegriffen, bevor sie mit SSL-Verschlüsselt wurden. Unter den Daten, die sich auf dem FTP-Server befanden, waren auch die Zugangsdaten eines GI_Mitgliedes, das gerade an der Online Wahl teilnahm. Der Geschäftsführer vom Micromata würde darüber informiert. Auch wenn kein Missbrauch stattfinden konnte, stellt sich mir die Frage, wie dies bei einer politischen Wahl bewertet worden wäre, bei der viele Nutzer zuvor "infiziert/trojanisiert" wurden?! Ich gebe diese Information bewußt NICHT auf das Forum! MfG Matthias Jänichen
Hmm, das müssen wir bei der Nachbereitung natürlich angemessen berücksichtigen. Politische Wahlen sind aus verschiedenen anderen Gründen ohnehin völlig unmöglich, aber auch bei Vereinswahlen muss klar sein, dass Manipulationen "so gut wie ausgeschlossen" sind. Daher müssen wir darüber reden. Gruß --- Rüdiger Matthias Jaenichen wrote:
Auf der Sitzung in Berlin wurde über die Online Wahl berichtet. Am Freitag danach hörte ich einen Vortrag über Phishing-Attacken und den Bemühungen der deutschen Kreditwirtschaft dies zu beherrschen, einzudämmen und Gegenmaßnahmen zu lanzieren.
Einer der Angreifer ließ die "gephishten" Informationen auf einem FTP-Server ablegen. Die Informationen wurden direkt im IE abgegriffen, bevor sie mit SSL-Verschlüsselt wurden.
Unter den Daten, die sich auf dem FTP-Server befanden, waren auch die Zugangsdaten eines GI_Mitgliedes, das gerade an der Online Wahl teilnahm.
Der Geschäftsführer vom Micromata würde darüber informiert.
Auch wenn kein Missbrauch stattfinden konnte, stellt sich mir die Frage, wie dies bei einer politischen Wahl bewertet worden wäre, bei der viele Nutzer zuvor "infiziert/trojanisiert" wurden?!
Ich gebe diese Information bewußt NICHT auf das Forum!
MfG
Matthias Jänichen
_______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg
Eine Anmerkung, da ich gerade auch von meinem Wahlrecht Gebrauch gemacht habe: Die Abwicklung über einen Dienstleister ist ja gut und schön und sicherlich vom Aufwand her sinnvoll. Micromata hat auch ein Zertifikat, das auf diese Firma ausgestellt ist, so dass SSL gegen Einsicht Dritter schützen sollte. Doch dass Micromata der richtige Dienstleister ist, steht versteckt im Informationsblatt zu den Onlinewahlen. Das findet man doch eher nur auf den zweiten Blick. M.E. wäre ein wirksamer Phishing-Schutz, den Hashwert des Zertifikats und den Dienstleister in der (schriftlichen) Wahlbenachrichtung aufzuführen, vorzugsweise gut abgesetzt und sichtbar gleich neben der PIN. Viele Grüße Ulrich Kühn On Sun, 2004-12-05 at 15:28, ruediger.grimm@tu-ilmenau.de wrote:
Hmm, das müssen wir bei der Nachbereitung natürlich angemessen berücksichtigen. Politische Wahlen sind aus verschiedenen anderen Gründen ohnehin völlig unmöglich, aber auch bei Vereinswahlen muss klar sein, dass Manipulationen "so gut wie ausgeschlossen" sind. Daher müssen wir darüber reden. Gruß --- Rüdiger
Matthias Jaenichen wrote:
Auf der Sitzung in Berlin wurde über die Online Wahl berichtet. Am Freitag danach hörte ich einen Vortrag über Phishing-Attacken und den Bemühungen der deutschen Kreditwirtschaft dies zu beherrschen, einzudämmen und Gegenmaßnahmen zu lanzieren.
Einer der Angreifer ließ die "gephishten" Informationen auf einem FTP-Server ablegen. Die Informationen wurden direkt im IE abgegriffen, bevor sie mit SSL-Verschlüsselt wurden.
Unter den Daten, die sich auf dem FTP-Server befanden, waren auch die Zugangsdaten eines GI_Mitgliedes, das gerade an der Online Wahl teilnahm.
Der Geschäftsführer vom Micromata würde darüber informiert.
Auch wenn kein Missbrauch stattfinden konnte, stellt sich mir die Frage, wie dies bei einer politischen Wahl bewertet worden wäre, bei der viele Nutzer zuvor "infiziert/trojanisiert" wurden?!
Ich gebe diese Information bewußt NICHT auf das Forum!
MfG
Matthias Jänichen
_______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg
_______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg
participants (3)
-
Matthias Jaenichen -
ruediger.grimm@tu-ilmenau.de -
U Kuehn