DKB Sammelthread

[rodney26]

ANZEIGE

Vielleicht wäre es Zeit sich einen professionelleren Dienstleister zu suchen, als die Sparkassen IT. Da könnte man sich auch ein zeitgemäßes Kernbankensystem nutzen und müsste nicht diesen Mist von der Sparkasse nutzen, bei dem 400 Provinzbanken + Regionalverbände + Weitere Wasserköpfe mitreden wollen. Ich vermute ernsthaft, dass man seitens der Sparkassen IT so etwas nicht hat kommen sehen... Was will man auch erwarten von einem Unternehmen, was in den letzten 10 Jahren so viele Fusionen durchgemacht hat, wie die S-IT. Die sind viel zu sehr mit sich selber beschäftigt, als sich um die IT-Sicherheit zu kümmern. Man kann nur hoffen, dass die Kernsysteme ordentlich abgesichert sind...

 

[sir_hd]

Jetzt teilweise mit Captcha Abfrage um auf die Seite zu kommen: https://twitter.com/imatthias/status/1215400094557724673?s=21


Übrigens ist Sparkasse.de jetzt auch offline.

Edit: Noch mehr davon... https://twitter.com/robinhoody88/status/1215403103291432963?s=21
Anhang anzeigen 134090

 

[unregistered]

Jetzt teilweise mit Captcha Abfrage um auf die Seite zu kommen: https://twitter.com/imatthias/status/1215400094557724673?s=21

Grandios, ganz grandios!
Und damit fakt, dass sie jetzt den absoluten Notnagel genutzt haben, der ihnen scheinbar noch blieb. Freiwillig macht das keiner. Bankrotterklärung der IT-Sicherheit dort.

Übrigens ist Sparkasse.de jetzt auch offline.

Man kann ja nur spekulieren, woher die DDoS-Angriffe kommen (und aus welcher Motivation heraus), aber mich würde es nicht wundern, wenn da jetzt jemand schön die vielen Partner der FI durchprobiert.

Es ist schlimm, gerade auch für Mitarbeiter und natürlich die Kunden - aber irgendwie kann ich bei sowas fast kein Mitleid mehr haben - nicht bei einer Banken-IT.

 

[unregistered]

Der behauptet übrigens, bei den Angriffen beteiligt zu sein (oder sie selbst zu lancieren): https://twitter.com/_naifu911

Edit: DKB scheint ihn auch zu kennen. Tweets, die er retweetet werden von der DKB scheinbar gelöscht und er selbst ist geblockt. Kann natürlich auch nur ein Trittbrettfahrer sein. (Sollte der tatsächlich die DDoS-Angriffe ausführen, wäre das ehrlich gesagt noch peinlicher - das sieht ja nach 08/15 aus...)

 

[Amic]

Normal müsste die alte IP ja längst abgeschaltet und jetzt hinter Cloudflare maskiert sein, so dass nur Cloudflare weiß, wo der Server ist und als Firewall fungiert (wenn nicht, gehört für mich das IT-Team gefeuert).

Du meinst, Banken "schalten" einfach mal schnell "ab", wechseln also einfach mal so mir nicht, dir nichts, ihre IP-Adresse von Livesystemen?

 

[rodney26]

Sieht so aus, als würden demnächst bei der Sparkassen IT ein paar Jobs frei [emoji6]

 

[unregistered]

Du meinst, Banken "schalten" einfach mal schnell "ab", wechseln also einfach mal so mir nicht, dir nichts, ihre IP-Adresse von Livesystemen?

Wenn ich schon Cloudflare nutze, macht es doch überhaupt keinen Sinn, die alte IP laufen zu lassen. Die ist dem Angreifer ja mittlerweile bekannt, falls sie vorher nicht maskiert war. Sie muss unbekannt sein, damit Cloudflare überhaupt was bringt.

(Und ja, ich erwarte von Banken, dass sie ihr Livesystem (und wir sprechen hier vom Webserver) sofort abschalten können, wenn ein Angriff stattfindet. Und zwar sofort, wenn es ein denkbares Risiko darstellt. Und nein, ich erwarte nicht, dass sie sofort die IP (für ihren Webserver) ändern, aber wenn sie schon Cloudflare einsetzen müssen, dann erwarte ich, dass bis dahin ein bisschen grundsätzliche Arbeit betrieben wurde, damit der Umstieg auf so einen Drittanbieter Sinn macht. Alternativ, wie ich schon sagte, ein Redirect auf eine Landing-Page auf einen ganz anderen Server mit Status-Informationen via Cloudflare, zur Not mit Captcha, wenn man selbst scheinbar gar nichts derartiges in Stellung bringen konnte).

 

[unregistered]

Auf Twitter hat der Angreifer grad angekündigt, den Angriff bei der DKB zu stoppen und statt dessen nur bei sparkasse.de weiter zu machen.

Schauen wir mal ob's stimmt.

 

[Amic]

(Und ja, ich erwarte von Banken, dass sie ihr Livesystem (und wir sprechen hier vom Webserver) sofort abschalten können, wenn ein Angriff stattfindet. Und zwar sofort, wenn es ein denkbares Risiko darstellt.

Wer sagt, dass sie es nicht können?
Aber ist das das richtige Procedere, wenn es sich um einen "blossen" DDOS-Angriff handelt? Einfach abschalten?

Alternativ, wie ich schon sagte, ein Redirect auf eine Landing-Page auf einen ganz anderen Server mit Status-Informationen via Cloudflare, zur Not mit Captcha, wenn man selbst scheinbar gar nichts derartiges in Stellung bringen konnte).

Besonders vertrauenserweckend dürfte das für die breite Masse meines Erachtens nicht sein.
Noch weniger, als wenn sie nur "schwer" erreichbar ist.

 

[unregistered]

Wer sagt, dass sie es nicht können?
Aber ist das das richtige Procedere, wenn es sich um einen "blossen" DDOS-Angriff handelt? Einfach abschalten?

Nein, das hängt vom Angriffs-Szenario ab. Aber wenn ich schon feststelle, dass das Kind in den Brunnen gefallen ist (und ich Cloudflare davorschalte, weil nichts mehr funktioniert), dann muss ich natürlich migrieren, ansonsten macht der Umzug dahin keinen Sinn. Es spielt für den Kunden auch kaum eine Rolle. Die Webseite funktioniert effektiv eh nicht und die NS-Server müssen auch erst mal propagieren. Das dauert ab dieser Entscheidung so oder so.

Besonders vertrauenserweckend dürfte das für die breite Masse meines Erachtens nicht sein.
Noch weniger, als wenn sie nur "schwer" erreichbar ist.

Ich bin überzeugt, dass eine Landing-Page mit DKB-Logo und aktueller Status-Info für Kunden vertrauenserweckender ist als
a) gar keine Erreichbarkeit
b) Cloudflare-Fehlermeldungen (mit Cloudflare-Logo)
c) Firefall-Captchas (mittels ReCaptcha)
d) Preload-Challenges (mit Wartezeit).

 

[DerSimon]

Sieht so aus, als würden demnächst bei der Sparkassen IT ein paar Jobs frei [emoji6]

Waren doch fiese Hacker mit Überlast.

Du meinst, Banken "schalten" einfach mal schnell "ab", wechseln also einfach mal so mir nicht, dir nichts, ihre IP-Adresse von Livesystemen?

Solange man einen ausreichend großen Load Balancer davor hat, sollte das ja kein Problem sein.
Hatte man aber wohl nicht, TTL vom A Record ist aber nur 5 Minuten, da kann man schon relativ zügig wechseln.

Wer sagt, dass sie es nicht können?
Aber ist das das richtige Procedere, wenn es sich um einen "blossen" DDOS-Angriff handelt? Einfach abschalten?

Überhaupt nicht. Wenn man schon nicht genügend skalieren kann, dass man dem DDOS-Angriff standhalten kann, dann halt Stecker ziehen und statische Fehlerseite ausliefern. Aber gar nicht zu antworten?

 

[unregistered]

DKB/FI hatte vor Cloudflare wohl übrigens scheinbar auch RADware und SecurityDAM vorgeschaltet (behauptet der Angreifer auf Twitter). Erfolglos. Der Angreifer sprach davon, dass die FI nicht in der Lage war, die Anbieter sauber zu konfigurieren. Ich schätze, das wird noch ne spannende Aufarbeitung...

 

[espresso]

Momentan läuft die App wieder normal.

 

[mh5587]

Und was hat nun dieses äußerst wertvolle Mitglied unserer Gesellschaft davon? Dass Banken-IT hierzulande nicht der Bringer ist, war doch bisher schon (fast) jedem klar.

 

[banshy]

Und was hat nun dieses äußerst wertvolle Mitglied unserer Gesellschaft davon?

Nichts. Er hat auf Twitter ja bereits verlautbart, dass es ihm nur um Unterhaltung geht. Ergo: Verkorkstes Leben und zuviel Tagesfreizeit.

 

[unregistered]

Nichts. Er hat auf Twitter ja bereits verlautbart, dass es ihm nur um Unterhaltung geht. Ergo: Verkorkstes Leben und zuviel Tagesfreizeit.

Wurde von Twitter gesperrt. Aber ein neuer Account ist schon aktiv. Hat aber bislang nichts angekündigt. Der Angriff auf sparkasse.de hat jedenfalls nicht so wirklich geklappt.
Ich denke auch, es geht um Geltungssucht und Narzismus. Ermittelt wird jedenfalls auf alle Fälle, was ich so gehört habe. Ganz trivial war der Angriff wohl auch nicht, also ist er/sie technisch nicht total auf den Kopf gefallen. Selten dumm ist es natürlich trotzdem.

 

[frogger321]

Ob er es überhaupt war sei mal dahingestellt...

 

[Floridafreund]

Ergo: Verkorkstes Leben und zuviel Tagesfreizeit.

So kann man es argumentieren - oder aber auch "Aufzeigen von gravierenden Sicherheitsmängeln in hochsensiblen Bankbereichen".

 

[banshy]

Ganz trivial war der Angriff wohl auch nicht, also ist er/sie technisch nicht total auf den Kopf gefallen.

Naja. Praktisch jedem, der über die nötige kriminelle Energie verfügt, stehen entsprechende Tools zur Verfügung. Ob es "One-Click"-Lösungen großer Botnetzbetreiber sind oder Tools, um komplexere Dinge wie DNS Amplification durchzuführen (gerne auch in Verbindung mit einem Botnetz, dann kann ich dessen Wirkung um Faktor 100 erhöhen). Die Mitigation ist schwierig, gerade wenn es in den dreistelligen Gigabitbereich geht. Da kann man als Infrastruktur-Anbieter wenig machen, gerade wenn der Angriff schon meine Außenanbindung platt macht. Ich befürchte in der Hinsicht ist FI/FITS einfach schwach aufgestellt, gerade weil man es sonst nicht braucht. Und ein spezialisierter Anbieter wurde erst eingeschaltet, als es schon zu spät war.

 

[unregistered]

Und ein spezialisierter Anbieter wurde erst eingeschaltet, als es schon zu spät war.

War ja nicht nur einer. Cloudflare war am Ende nur der letzte Strohhalm, davor hatte man schon mit anderen DDoS-Spezialisten zusammengearbeitet. Was man so aus dem Umfeld hört, gab es einige spezielle Anpassungen, die bisher aus Botnetzen nicht bekannt waren, aber das kann natürlich auch nur ein Rausreden sein.

So kann man es argumentieren - oder aber auch "Aufzeigen von gravierenden Sicherheitsmängeln in hochsensiblen Bankbereichen".

Also Responsible Disclosure sieht anders aus. ;-)

 

[Mincemeat]

Lustige Sache zum Thema (paar Jahre zurück):
Kumpel hatte DSL, und sich gewundert, weshalb seine Internetverbindung am PC so langsam war: Langsamer Seitenaufbau, langsame Downloads.
Jemand mit Ahnung hatte das geprüft und festgestellt: Der PC war mit Viren und Trojanern verseucht, welche permanent nahezu die gesamte DSL-Bandbreite in Anspruch genommen hatten . Dort ist seine unfreiwillige Teilnahme an diversen Botnetzen erst durch den Traffic aufgefallen. Wenn woanders ein Botnetz nur z.B. 20% vom Traffic nutzt, merkt das oft niemand.

 

[Tantalos]

Hi Leute,

hab schon länger die Hilton Kreditkarte in Verbindung mit dem DKB Konto, die Karte aber bisher noch nie online benutzt. Heute wollte ich mein Revolut Konto mit der Karte aufladen, da kam die Meldung ich solle die Zahlung in meiner Banking App bestätigen. Also öffnete ich die DKB App in Erwartung einer Push Mitteilung, aber da war nix. Hab es mehrmals probiert, konnte aber nirgends eine Nachricht zur Bestätigung der Zahlung entdecken. Jemand einen Tipp woran das liegen könnte oder unter welchem Menüpunkt ich die Zahlung bestätigen kann?

 

[nightflight]

da ich gestern vor dem gleichen Problem stand:
Aktivierung unter
Service -> Einstellungen -> Visa Secure

Nervig, dass man darauf vor der Erstnutzung nicht hingewiesen wird

 

[hopstore]

Nervig, dass man darauf vor der Erstnutzung nicht hingewiesen wird

Hinweis worauf genau?

 

[ponyhofinsasse]

ANZEIGE

Hinweis worauf genau?

Das man VISA Secure aktivieren muss
Du weißt doch, immer schön an die Hand nehmen