[Chaos CD]
[Datenschleuder] [42]    Sicherheit wird groß geschrieben
[Gescannte Version] [ -- ] [ ++ ] [Suchen]  

 

Sicherheit wird groß geschrieben

Ein uns allen bekannte Software--Hersteller hat seit Ende Oktober 1992 die deutsche Version ihres Finazmanagement--Programms "MS--Money für Windows 2.0" auf den Markt gebracht --- mal wieder eins der schönen bunten double--click Programme ... easy to lose.

Die Entwickler haben mit der Umsetzung der Funktionalität den richtigen Weg gewählt. So ermöglicht das Programm unter anderem Überweisungen mittels Datex--J per Knopfdruck. Voraussetzung dafür ist nur eine Zugangsberechtigung zum Datex--J.


Abbildung 1: "MS-Money" Automatische Überweisung

"MS-Money für Windows 2.0" verlangt vom Anwender, daß sämtliche Daten zur Kontenverwaltung für das Datex--J Modul angegeben werden.


Abbildung 2: MS-Money Datex-J Konto einrichten

Dazu hat sich einige Kriterien für die Sicherheit überlegt und sagen selber, daß Sicherheit groß geschrieben wird: "TANs, PINs und Kennwörter werden von Microsoft Money verschlüsselt abgespeichert und können auf dem Datenträger nicht eingesehen werden."

Sie gehen in ihrem Benutzer--Handbuch davon aus, daß eine Entschlüsselung nicht möglich ist.

Wie effektiv diese Verschlüsselung ist, können Sie selber entscheiden:

Zugangsberechtigung:
      Bei der Installation wird durch das Programm die Datei
      BTXMONEY.INI angelegt.

      Diese ASCII--Datei enthält eine Zeile, welche mit Teiln=
      beginnt. Darauf folgt eine Reihe von hexadezimalen Werten; wobei
      jeweils zwei Zeichen einem Wert entsprechen.

      Durch das Addieren bestimmter, konstanter Codes können diese Werte
      in einen lesbaren ASCII Text umgewandelt werden. Dieser Code
      wiederholt sich ständig und lautet:

      168, 123, 22, 111, 214, 129, 57, 151, 81, 69 (, 168, 123, ... )
      
      Teilnehmerkennung:
      Diese beginnt ab Position 0 und endet bei Position 23. Zu dem
      Wert von Position 0 und 1 wird dann der Code 168 addiert, dadurch
      berechnet sich der ASCII--Wert. Aufsteigend fährt man fort.

      Mitbenutzernummer:
      Diese beginnt ab Position 32 und endet bei Position 39. Zu dem
      Wert von Position 32 und 33 wird dann der Code 57 addiert.

      Anschlußkennung:
      Diese beginnt ab Position 64 und endet bei Position 87. Zu dem
      Wert von Position 64 und 65 wird dann der Code 22 addiert.

      Datex--J Kennwort:
      Diese beginnt ab Position 96 und endet bei Position 111. Zu dem
      Wert von Position 96 und 97 wird dann der Code 81 addiert.

Bankverbindung:
      Ferner wird auch beim Einrichten eines Kontos die Datei
      BTXACC.MSM angelegt.

      Diese binäre Datei enthält fast sämtliche Daten über das private Konto.
      Hier wird ein anderer Code benutzt:

      109, 79, 99, 65, 98, 69, 103 (, 109, 79, ... )
      
      Zusatz zur Kontonummer:
      Diese beginnt ab Position 2 und endet bei Position 20. Zu dem
      Wert von Position 2 wird kein Code addiert. Dies ist bereits
      lesbarer ASCII--Text.

      Kontonummer:
      Diese beginnt ab Position 22 und endet bei Position 32.

      Erste PIN--Nummer:
      Diese beginnt ab Position 34 und endet bei Position 43. Zu dem
      Wert von Position 34 wird dann der Code 109 addiert.

      Zweite PIN--Nummer:
      Diese beginnt ab Position 44 und endet bei Position 53. Zu dem
      Wert von Position 44 wird dann der Code 109 addiert. Also das
      gleiche Spiel, wie bei der ersten PIN--Nummer.

TAN--Nummern:
      Diese stehen wiederum in der Datei BTXTAN.MSM, wie man
      nur mit sehr, sehr viel Phantasie erraten kann.

      Diese sind mit den gleichen Codes wie bei den Bankdaten verschlüsselt:

      109, 79, 99, 65, 98, 69, 103 (, 109, 79, ... )
      
      Die erste TAN beginnt ab Position 4 und endet bei 13. Der Code, welcher
      zu Position 4 addiert wird ist 109. Die nächste TAN beginnt dann
      bei Position 14 usw.

Um den Spaß nicht zu verderben, haben wir einige leichte Fingerübungen übrig gelassen:

      Name der Bank
      Bankleitzahl
      Multiple Bankverbindungen durch Mandantenfähigkeit

Konny und Josen

 

  [Chaos CD]
[Datenschleuder] [42]    Sicherheit wird groß geschrieben
[Gescannte Version] [ -- ] [ ++ ] [Suchen]