Schlagwort-Archive: RC4

Unsichere Verschlüsselungen die nächste: BigBank

Viele Banken haben sich schon drum gekümmert, doch Nachschub ist in Sicht: Die estnische BigBank glänzt üblicherweise mit hohen Zinssätzen und einer relativ guten Reputation. Leider kann sie Serverseitig dem Ruf nicht gerecht werden: 3DES und RC4 finden sich als bevorzugte SSL-Ciphers, obwohl TLS_RSA_WITH_AES_256_CBC_SHA bereits unterstützt wird und sich mit TLS_DHE_RSA_WITH_AES_256_CBC_SHA sogar Cipher mit Forward-Secrecy finden lassen. Leider geht diese Fehlkonfiguration der Cipher Suite Priority so weit, dass es teilweise sogar zu Protokollfehlern kommt und der Loginserver nicht mit jedem Browser fehlerfrei aufgerufen werden kann.

Wie üblich wurde die Bank von mir ausführlich – und mit Verweis auf BSI & Co – über meine Bedenken Informiert und um Stellungnahme gebeten. Mein Geld bekommen sie jedenfalls erst mal nicht.

eBay & RC4: Antwort des Auktionshauses

In einem vorherigem Video hatte ich mich über die Verwendung des als unsicher eingestuften RC4-Algorithmus bei eBay ausgelassen – heute erhielt ich eine Antwort auf die Nachfrage:

Guten Tag Herr Knodt,

vielen Dank für Ihre Nachricht, in der Sie uns Ihre Bedenken bezüglich der RC4 Verschlüsselung mitgeteilt haben.

Bedingt durch eine unerwartet hohe Anzahl von Mitgliederanfragen konnten wir unsere Antwortzeiten nicht wie gewohnt einhalten. Da wir Ihren Anfragen und Hinweisen in jedem Fall gründlich nachgehen, hoffen wir auf Ihr Verständnis und bitten Sie um Entschuldigung für die Verzögerung.

Nun zu Ihrem eigentlichen Anliegen:

Ich habe Ihr Anliegen an die zuständige Abteilung weitergeleitet. Sehr gern gebe ich Ihnen nun weitere Informationen.

Aufgrund den Rückmeldungen unserer Nutzer ist eBay bereits am prüfen der Verwendung von RC4 Verschlüsselung. Sollte es einer Änderung bedürfen wird eBay diese zeitnah umsetzen.

Da diese evtl. Änderung einer globalen Änderung bedarf können wir leider keinen Zeitpunkt nennen wie und wann eine Änderung erfolgen wird.
Für Ihre Geduld und Verständnis danke ich Ihnen im Voraus und wünschen Ihnen, dass Sie eBay nun sorglos nutzen können.

Mit freundlichen Grüßen nach Saffig

Aletta Sonnenschein

eBay-Kundenservice

Nun, ohne Änderung sorglos nutzen ist etwas optimistisch, aber offenbar ist das Thema bereits angekommen und wird „geprüft“ – mal schauen, ob und wann hier eine Besserung eintritt.

Ranttime #6 – eBay,RC4 und warum ich deren Sicherheit nicht traue…

Nach dem vor kurzem erfolgten Passwortklau fordert eBay alle Nutzer zur Zwangspasswortänderung auf – die Verwendeten Verschlüsselungen sind jedoch mehr als Zweifelhaft…

http://www.youtube.com/watch?v=CAqQrmC26wE

SemperVideo: https://www.youtube.com/watch?v=a11fio-H6Kc
SSLLabs-Test: https://www.ssllabs.com/ssltest/analyze.html?d=fyp.ebay.de
BSI-Richtlinie: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102-2_pdf.pdf?__blob=publicationFile

Eine Bitte um Stellungnahme ging an eBay raus – sofern eine Antwort kommt findet sich diese auf meinem Blog oder – wenn nicht ein üblicher Textblock – auch als Video.

Update: Antwort hier