{"id":265168,"date":"2022-05-09T15:24:31","date_gmt":"2022-05-09T13:24:31","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=265168"},"modified":"2023-08-30T12:10:43","modified_gmt":"2023-08-30T10:10:43","slug":"gehrteter-online-banking-browser-s-protect-ein-totalausfall","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/05\/09\/gehrteter-online-banking-browser-s-protect-ein-totalausfall\/","title":{"rendered":"Geh&auml;rteter Online-Banking-Browser S-Protect, ein Totalausfall?"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>Es klingt gut, was der Deutsche Sparkassen- und Giroverband da angesto\u00dfen hat. Mit S-Protect legt man einen \"geh\u00e4rteten\" Browser vor, der Online-Banking-Kunden vor den Risiken bei Bankgesch\u00e4ften auf Windows PCs oder Macs besser sch\u00fctzen soll. Der Haken an der Geschichte: Zum Problem wird so etwas, wenn\u00a0 die Entwickler schlicht ihre Hausaufgaben nicht gemacht haben. Denn der \"sichere\" S-Protect-Browser ist unter Windows anf\u00e4llig f\u00fcr DLL-Hijacking und somit ein potentielles Sicherheitsrisiko erster G\u00fcte. Zudem l\u00e4sst das aktuelle Konzept den einfachen Austausch der Anwendung unter Windows zu, so dass auch dort ein Risiko besteht. Ich habe das Ganze mal etwas aufbereitet und zeige, wo es aus meiner Sicht krankt. <strong>Erg\u00e4nzung:<\/strong> Die Entwickler haben nachgebessert, siehe am Artikelende.<\/p>\n<p><!--more--><\/p>\n<h2>\"Geh\u00e4rteter\" Online-Banking-Browser S-Protect<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg02.met.vgwort.de\/na\/48bd09accf4b43b69998b761847160d6\" alt=\"\" width=\"1\" height=\"1\" \/>Problem beim Online-Banking ist, dass unvorsichtige oder unerfahrene Nutzer durch allerlei Gefahren bedroht sind. Das f\u00e4ngt bei Phishing-Nachrichten an, die Online-Banking-Kunden auf gef\u00e4lschte Anmeldeseiten umgeleitet werden, wo Betr\u00fcger die Zugangsdaten abfischen. Und das Ganze reicht bis hin zu Browsern, die durch infizierte Add-ons unsicher werden. Damit soll nun Schluss sein, denn der Deutsche Sparkassen- und Giroverband hat mit S-Protect einen geh\u00e4rteten Online-Banking-Browser entwickeln lassen, der Kunden zur Verf\u00fcgung steht.<\/p>\n<p><a href=\"https:\/\/www.sparkasse-am-niederrhein.de\/protect\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Geh\u00e4rteter Online-Banking-Browser S-Protect\" src=\"https:\/\/i.imgur.com\/xWvjOb9.png\" alt=\"Geh\u00e4rteter Online-Banking-Browser S-Protect\" \/><\/a><br \/>\nGeh\u00e4rteter Online-Banking-Browser S-Protect, <a href=\"https:\/\/www.sparkasse-am-niederrhein.de\/protect\" target=\"_blank\" rel=\"noopener\">Sparkasse am Niederrhein<\/a><\/p>\n<p>Die <a href=\"https:\/\/www.sparkasse-am-niederrhein.de\/protect\" target=\"_blank\" rel=\"noopener\">Sparkasse am Niederrhein<\/a> bewirbt den Browser S-Protect, der im Moment als Pilot-Projekt angeboten wird, auf ihrer Webseite als sichere L\u00f6sung zum Online-Banking auf dem PC mit folgenden Aussagen.<\/p>\n<blockquote><p>Unser S-Protect ist ein sogenannter geh\u00e4rteter Banking-Browser. Sie k\u00f6nnen ihn sich am besten als einen zus\u00e4tzlichen Schutzschirm f\u00fcrs Online-Banking vorstellen. S-Protect verhindert, dass Trojaner und andere Schadprogramme, die sich m\u00f6glicherweise auf Ihrem Computer versteckt haben, das Online-Banking ausspionieren oder manipulieren k\u00f6nnen. Die Einrichtung und Benutzung von S-Protect ist kinderleicht und verschafft Ihnen einen gro\u00dfen Sicherheitsvorteil bei allen Finanzgesch\u00e4ften.<\/p><\/blockquote>\n<p>Der Browser steht dabei sowohl f\u00fcr Windows als auch f\u00fcr macOS kostenlos f\u00fcr Kunden der Sparkasse Niederrhein auf <a href=\"https:\/\/www.sparkasse-am-niederrhein.de\/protect\" target=\"_blank\" rel=\"noopener\">deren Webseite<\/a> bereit. Die Sparkasse schreibt zu den Vorteilen von S-Protect:<\/p>\n<ul>\n<li>Schutz vor Datendiebstahl, Phishing-Attacken, gef\u00e4lschten Websites<\/li>\n<li>Kinderleichte Handhabung, keine Installation oder Konfiguration<\/li>\n<li>Funktion zur automatischen Anmeldung (Auto-Login)<\/li>\n<li>Keine Beeinflussung anderer Sicherheitsverfahren<\/li>\n<\/ul>\n<p>Liest sich wirklich gut und klingt nach dem Ende aller Sorgen f\u00fcr Online-Banking-Kunden. Man muss lediglich eine \u00c4nderung der Gewohnheiten einf\u00fchren und Online-Banking immer durch Aufruf des geh\u00e4rteten Banking-Browsers S-Protect vornehmen.<\/p>\n<p>Der Browser l\u00e4sst beispielsweise nur URLs von Banken zu, blockiert aber die URLs von Phishing-Seiten. Und ganz genial: Man braucht den S-Protect-Browser nicht mal zu installieren, der Aufruf der <em>.exe<\/em>-Programmdatei unter Windows reicht, um den Browser zu starten und sich anschlie\u00dfend in einer \"sicheren\" Umgebung zu bewegen. Dass dadurch keine anderen Sicherheitsverfahren beeinflusst werden und eine automatische Anmeldung m\u00f6glich ist (Auto-Logoin), erscheint wie das T\u00fcpfelschein auf dem i. Beim \u00dcberfliegen der obigen Angaben war ich \"hin und weg\", konnte das wirklich sein?<\/p>\n<h2>\"Sicherer Browser\" mit DLL-Hijacking-Schwachstelle<\/h2>\n<p>Ich hatte die Information zum S-Protect k\u00fcrzlich bei <a href=\"https:\/\/www.heise.de\/news\/Phishing-Schutz-mit-gehaertetem-Sparkassen-Browser-7071148.html\" target=\"_blank\" rel=\"noopener\">heise gesehen<\/a> und eigentlich geplant, das Ganze kurz in einem Beitrag vorzustellen, war aber noch nicht dazu gekommen, mir das Ganze genauer anzusehen. Bei heise klang bereits an, dass sich die Macher von S-Protect m\u00f6glicherweise weit aus dem Fenster gelehnt h\u00e4tten.<\/p>\n<p>Vor einigen Tagen erreichte mich eine E-Mail von Stefan Kanthak. Der Sicherheitsexperte hatte die Sparkasse Niederrhein per Mail kontaktiert, um auf die Unzul\u00e4nglichkeiten des Konzepts hinzuweisen, und mich auf CC gesetzt.<\/p>\n<h3>Das DLL-Hijacking-Problem<\/h3>\n<p>In seiner Mail wies Kanthak darauf hin, dass der \"geh\u00e4rtete\" Browser S-Protect unter einer Anf\u00e4lligkeit f\u00fcr DLL-Hijacking-Angriffe leidet. Dahinter verbirgt sich ein Problem, wie unter Windows DLL-Bibliotheken, die eine Anwendung anfordert, geladen werden. Ruft eine Anwendung eine DLL auf, versucht Windows diese DLL-Datei mit dem betreffenden Namen im Programmordner, aus dem die Anwendung gestartet wurde, zu laden. Scheitert dies, wird das Systemverzeichnis und im Anschluss das Windows-Verzeichnis nach der DLL-Datei des betreffenden Namens durchsucht. Das geht solange, bis die DLL gefunden wurde oder alle Verzeichnisse im Suchpfad abgearbeitet sind. Der erste Treffer f\u00fcr den jeweiligen Namen der Datei bewirkt, dass diese DLL in den Arbeitsspeicher geladen wird.<\/p>\n<p>Das Problem bei diesem Ansatz: Ein Angreifer braucht lediglich eine manipulierte DLL-Datei mit einem bekannten Namen im Programmordner abzulegen und zu warten, bis die DLL-Hijacking-Falle zuschl\u00e4gt. Typischerweise d\u00fcrfte der \"Programmordner\" das Verzeichnis <em>downloads <\/em>des Benutzerkontos sein, da dort alle Downloads des Nutzers landen. Dort eine <em>bcrypt.dll<\/em> abgelegt, schon \u00fcbernimmt diese die Kontrolle bei Verschl\u00fcsselungsvorg\u00e4nge. L\u00e4sst sich mit jeder DLL durchziehen, die von einer Anwendung ohne voll qualifizierte Pfadangabe f\u00fcr den Ladevorgang angefordert wird.<\/p>\n<h3>Mein Test<\/h3>\n<p>Im aktuellen Fall habe ich mal einen Test mit <em>s-protect.exe <\/em>unter Windows 7 SP1 (mit ESU-Support) durchgef\u00fchrt, wobei das Ganze in einem speziellen Test-Bett abl\u00e4uft, mit dem sich DLL-Hijacking-Angriffe einfach aufdecken lassen. Der Test h\u00e4tte auch unter Windows 8.1 oder Windows 10 erfolgen k\u00f6nnen, das Prinzip ist \u00fcberall gleich.<\/p>\n<blockquote><p>Beim Testbett handelt es sich um einen Ordner, in dem Dummy-DLLs, die typischerweise unter Windows vorhanden sind und von Anwendungen geladen werden, platziert wurden. Ruft eine Anwendung eine solche DLL auf, zeigt die Dummy-DLL das an und reicht den Funktionsaufruf im Anschluss an die eigentliche Betriebssystembibliothek weiter. Sobald also eine Warnung erscheint, bedeutet dies: Ein Angreifer h\u00e4tte das durch eine geeignete DLL missbrauchen k\u00f6nnen.<\/p>\n<p>Das Testbett wird von Stefan Kanthak bereitgestellt. Man kann sich die Datei <a href=\"https:\/\/skanthak.homepage.t-online.de\/download\/FORWARD.CAB\">Forward.cab<\/a> (ist f\u00fcr Windows 7, f\u00fcr Windows X gibt es <a href=\"https:\/\/skanthak.homepage.t-online.de\/download\/FORWARDX.CAB\" target=\"_blank\" rel=\"noopener\">ForwardX.cab<\/a>) kostenlos von seiner Webseite herunterladen und in einen Ordner entpacken. Danach f\u00fchrt man die zu testende Programmdatei ebenfalls in diesem Ordner aus. Einige Hinweise zum Testbett von Stefan Kanthak zur Ermittlung von DLL-Hijacking-Schwachstellen habe ich z.B. im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/04\/14\/die-nirsoft-tools-und-die-dll-hijacking-schwachstellen\/\">Die Nirsoft-Tools und die DLL-Hijacking-Schwachstellen<\/a> gegeben.<\/p><\/blockquote>\n<p><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/E0ZgjyR.png\" \/><\/p>\n<p>Obiger Screenshot zeigt eine der zahlreichen Sicherheitswarnungen, wo S-Protect statt der gew\u00fcnschten Windows-Bibliothek eine m\u00f6glicherweise sch\u00e4dliche DLL (hier aus meinem Testordner, beim typischen Anwender aus dem Download-Ordner) geladen h\u00e4tte.<\/p>\n<blockquote><p>In obigem Screenshot wird beispielsweise die Datei <em>bcrypt.dll<\/em> gelistet, die aus dem S-Protect-Programmordner geladen wurde. In der Praxis d\u00fcrfte dies bei der \u00fcberwiegenden Anzahl an Windows-Nutzern das <em>downloads<\/em>-Verzeichnis des Benutzerkontos sein. Ben\u00f6tigt wird aber die Windows-Bibliothek gleichen Namens aus dem Windows-Unterordner <em>System32<\/em>. Die Bibliothek enth\u00e4lt API-Aufrufe zur Verschl\u00fcsselung von Daten. L\u00e4dt eine Anwendung die \"falsche\" DLL, k\u00f6nnten Angreifer beliebigen Schindluder in API-Aufrufen von exportierten Bibliotheksfunktionen treiben.<\/p><\/blockquote>\n<h3>Grunds\u00e4tze der sicheren Programmierung verletzt<\/h3>\n<p>Software-Entwickler k\u00f6nnen dieses DLL-Hijacking-Problem vermeiden, indem sie beim Aufruf solcher exportierten Funktionen sicherstellen, dass sie einen vollst\u00e4ndigen Pfad auf die gew\u00fcnschte Quelle der DLL-Datei im Programmcode vorgeben. Das ist alles keine Raketenwissenschaft sondern seit 25 Jahren als gute Praxis bekannt. Kanthak weist in der (bisher unbeantworteten) Mail an die Sparkasse Niederrhein auf diesen Sachverhalt hin und verlinkt auf folgende Fundstellen:<\/p>\n<p><a href=\"https:\/\/cwe.mitre.org\/data\/definitions\/426.html\" target=\"_blank\" rel=\"noopener\">CWE-426: Untrusted Search Path<\/a><br \/>\n<a href=\"https:\/\/cwe.mitre.org\/data\/definitions\/427.html\" target=\"_blank\" rel=\"noopener\">CWE-427: Uncontrolled Search Path Element<\/a><br \/>\n<a href=\"https:\/\/capec.mitre.org\/data\/definitions\/471.html\" target=\"_blank\" rel=\"noopener\">CAPEC-471: Search Order Hijacking<\/a><\/p>\n<p>Auch Microsoft gibt seit Jahren Sicherheitsempfehlungen zur Vermeidung dieses Sicherheitsproblems (wobei deren Entwickler das inzwischen ebenfalls wohl nicht mehr kennen). Kanthak hat als Hilfestellung folgende Microsoft-Seiten verlinkt.<\/p>\n<p><a href=\"https:\/\/web.archive.org\/web\/20190508180320\/https:\/\/blogs.technet.microsoft.com\/srd\/2014\/05\/13\/load-library-safely\/\" target=\"_blank\" rel=\"noopener\">Load Library Safely<\/a><br \/>\n<a href=\"https:\/\/support.microsoft.com\/en-us\/kb\/2533623\" target=\"_blank\" rel=\"noopener\">KB2533623: Microsoft Security Advisory: Insecure library loading could allow remote code execution<\/a><br \/>\n<a href=\"https:\/\/support.microsoft.com\/en-us\/kb\/2389418\" target=\"_blank\" rel=\"noopener\">KB2389418: Secure loading of libraries to prevent DLL preloading attacks<\/a><br \/>\n<a href=\"https:\/\/technet.microsoft.com\/en-us\/library\/2269637.aspx\" target=\"_blank\" rel=\"noopener\">Microsoft Security Advisory 2269637<\/a><br \/>\n<a href=\"https:\/\/msdn.microsoft.com\/en-us\/library\/ms682586.aspx\" target=\"_blank\" rel=\"noopener\">Dynamic Link Library-Suchreihenfolge<\/a><br \/>\n<a href=\"https:\/\/msdn.microsoft.com\/en-us\/library\/ff919712.aspx\" target=\"_blank\" rel=\"noopener\">Dynamic-Link Bibliothekssicherheit<\/a><\/p>\n<p>Damit hat sich das Konzept des sicheren, geh\u00e4rteten S-Protect-Browsers binnen Sekunden in seine Einzelteile zerlegt. Ein Programm, welches nicht sicherstellen kann, dass wenigstens die erwarteten DLL-Betriebssystem-Bibliotheken l\u00e4dt, ist schlicht nicht vertrauensw\u00fcrdig.<\/p>\n<h3>Noch eine Schwachstelle<\/h3>\n<p>Auf die \u00dcberlegung, dass b\u00f6se Buben ja die Programmdatei <em>s-protect.exe <\/em>\u00fcberschreiben und so das Sicherheitskonzept komplett aushebeln k\u00f6nnten, bin ich erst erst nach dem Verfassen des Artikels gekommen. Im Grunde h\u00e4tte es meinem obigen Testlauf im Testbett nicht gebraucht.<\/p>\n<p>Das Problem: B\u00f6se Buben k\u00f6nnten S-Protect clonen, patchen und dann bei einer Infektion des Zielsystems die Originaldatei \u00fcberschreiben. Da braucht es in bei portablen Anwendungen nicht mal administrative Berechtigungen. Der Anwender bekommt nicht mit, was passiert und glaubt mit dem vermeintlich sicheren S-Protect zu arbeiten. Einen besseren Trojaner, der Banking-Zugangsdaten und mehr abfischt, kannst Du gar nicht bekommen. Bei einem \"sicheren Browser\" geht das in meinen Augen gar nicht.<\/p>\n<h3>Blindflug in S-Protect?<\/h3>\n<p>Fun-Fakt am Rande: Der S-Protect-Browser brauchte in meiner Windows 7-Umgebung, nachdem ich alle Warnungen des Testbetts best\u00e4tigt hatte, unendlich lange zum Laden. <strong>Erg\u00e4nzung:<\/strong> In dieser Zeit versucht S-Protect einen Abgleich mit Update-Servern. Stellt der S-Protect Browser eine fehlende Internetverbindung fest, verweigert er die Arbeit und zeigt eine entsprechende Meldung. Bei bestehender Internetverbindung meldete sich das Programm auf meinem Testsystem anschlie\u00dfend mit einer Mitteilung, dass die Systemvoraussetzungen nicht erf\u00fcllt seien.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/QneS9Ix.png\" \/><\/p>\n<p>Das ist erst einmal gut.\u00a0Windows 7 wird zwar als unterst\u00fctzt angegeben, aber ich erhalte keinen Hinweis, was st\u00f6rt. Ich tippe darauf, dass S-Protect festgestellt hat, dass eines der letzten Updates noch fehlt (das ist mir bewusst), was aber so nicht angezeigt wird. Hier bleibt der Nutzer r\u00e4tselnd zur\u00fcck.<\/p>\n<p>Meine Hoffnung, die betreffenden Informationen \u00fcber die Schaltfl\u00e4che <em>Log-Protokoll in die Zwischenablag kopieren<\/em> zu erhalten, und dann analysieren zu k\u00f6nnen, zerstoben aber sofort. Denn die Protokolldatei wird in verschl\u00fcsselter Form gespeichert &#8211; da wollte jemand auf \"Nummer Sicher\" gehen. Ich habe also &#8211; ohne genauere Analyse &#8211; keine M\u00f6glichkeit, festzustellen, woran es hakt. Das ist an dieser Stelle auch nicht mehr erforderlich, da das Grundkonzept, Sicherheit \u00fcber einen \"geh\u00e4rteten Browser\" zu gew\u00e4hrleisten, nicht greift.<\/p>\n<h3>Weitere Fragen<\/h3>\n<p>Ich habe an dieser Stelle den Test von S-Protect abgebrochen, da das Ganze alleine aus Sicherheitsgr\u00fcnden keinen weiteren Sinn mehr ergibt. Auf die Aspekte:<\/p>\n<ul>\n<li>Traue ich einer Anwendung aus einer \"unbekannten Quelle\" wie der <a href=\"https:\/\/www.sparkasse-am-niederrhein.de\/protect\" target=\"_blank\" rel=\"noopener\">Sparkasse Niederrhein<\/a>, die einen Entwickler beauftragt hat, was zusammen zu kl\u00f6ppeln?<\/li>\n<li>Bin ich mir sicher, dass f\u00fcr S-Protect eine Aktualisierung in Bezug auf Bugs und Sicherheit auf l\u00e4ngere Zeit gew\u00e4hrleistet wird?<\/li>\n<\/ul>\n<p>bin ich erst gar nicht eingestiegen. Auch habe ich mich nicht mit der Frage befasst, ob S-Protect die Funktionalit\u00e4t bietet, die zum Online-Banking meiner Sparkasse ben\u00f6tigt wird.<\/p>\n<h2>Kleines Fazit<\/h2>\n<p>Das Konzept ist gem\u00e4\u00df meinen obigen Ausf\u00fchrungen bereits im Ansatz gescheitert. Hier nochmals einige Gedanken zusammen gefasst.<\/p>\n<h3>Idee gut, Umsetzung gescheitert<\/h3>\n<p>Die grunds\u00e4tzlichen Ideen sind ja nicht schlecht. Ein Browser, der nur Links verifizierter Banken als URL zul\u00e4sst. Eine \u00dcberpr\u00fcfung des Systems auf Sicherheitsupdates etc. macht schon Sinn. Aber am Ende des Tages z\u00e4hlt halt das Gesamtpaket. Es n\u00fctzt nichts, wenn ich die Vordert\u00fcre mit allerlei Vorh\u00e4ngeschl\u00f6ssern sichere, der Hintereingang aber faktisch offen steht.<\/p>\n<p>Unter diesem Aspekt ist der gesamte Ansatz in meinen Augen gescheitert und ich vermag nicht zu erkennen, wie das mit dem portablen Ansatz grunds\u00e4tzlich sicherer gemacht werden kann (es kann ja nicht sein, dass einem Benutzer die Anwendung unbemerkt und ohne Administratorenberechtigungen \u00fcberschrieben werden darf). Daher kann es f\u00fcr unbedarfte Benutzer, die Zielgruppe dieser L\u00f6sung sind, momentan nur hei\u00dfen \"Finger weg\".<\/p>\n<p>An dieser Stelle mein Dank an Stefan Kanthak f\u00fcr den Hinweis &#8211; ich h\u00e4tte das Thema vermutlich noch einige Tage d\u00fcmpeln lassen (auch wenn es seit Erscheinen des heise-Beitrags auf meiner Agenda stand). Und bin mir auch nicht sicher, ob ich S-Protect sofort \u00fcber mein Sicherheits-Test-Bett gejagt h\u00e4tte &#8211; nachdem ich bei Tools einfach zu oft auf diesen Sachverhalt gesto\u00dfen bin, traten diesbez\u00fcglich \"Erm\u00fcdungseffekte auf\" (Du kannst x Mal darauf hinweisen, die Masse interessiert das nicht und die Entwickler machen munter weiter &#8211; was auch f\u00fcr Microsoft gilt). Mal schauen, was in diesem Fall am Ende des Tages bei heraus kommt.<\/p>\n<h2>Der Entwickler<\/h2>\n<p><strong>Erg\u00e4nzung:<\/strong> Auf Grund der <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/09\/gehrteter-online-banking-browser-s-protect-ein-totalausfall\/#comment-125461\">nachfolgenden Kommentare<\/a> sieht es so aus, als ob die IT-Firma Coronic GmbH in Kiel als Entwickler fungiert. Nachfolgend ein Screenshot der Webseite dieses Entwicklers &#8211; liest sich auf den ersten Blick sehr gut.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone\" title=\"Coronic GmbH\" src=\"https:\/\/i.imgur.com\/0shIR7O.png\" alt=\"Coronic GmbH\" width=\"640\" height=\"371\" \/><\/p>\n<p>F\u00fcr S-Protect haben der Deutsche Sparkassen- und Giroverband (DSGV) und die Coronic GmbH in Kiel im April 2022 eine Kooperation unterzeichnet &#8211; siehe <a href=\"https:\/\/www.coronic.de\/dsgv-kooperation\/\" target=\"_blank\" rel=\"noopener\">diesen Blog-Beitrag<\/a> auf der Webseite des Anbieters. Der Anbieter wirbt auch mit dem Browser-Check\u00a0<em>Visor <\/em>f\u00fcr Banken, wie man <a href=\"https:\/\/www.coronic.de\/visor\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> nachlesen kann. Ein weiteres T\u00e4tigkeitsfeld ist Software-H\u00e4rtung und mobile Sicherheit, wie auf <a href=\"https:\/\/www.coronic.de\/mobilsecurity\/\" target=\"_blank\" rel=\"noopener\">dieser Webseite<\/a> erkl\u00e4rt wird.<\/p>\n<p>An dieser Stelle ging mir schon der Gedanke \"liegst Du mit deinen Bedenken einfach nur meilenweit daneben, oder hat da ein Anbieter (m\u00f6glicherweise unbewusst) ein <a href=\"https:\/\/de.wikipedia.org\/wiki\/Potemkinsches_Dorf\" target=\"_blank\" rel=\"noopener\">Potemkinsches Dorf<\/a> gebaut\" durch den Kopf. Aber die obigen Tests sind eindeutig &#8211; wer im Bereich Sicherheit unterwegs ist, sollte die grunds\u00e4tzlichen Klippen kennen und ber\u00fccksichtigen.<\/p>\n<h3>Ziemlich ersch\u00fcttert<\/h3>\n<p>Das war dann der Punkt, wo ich ziemlich ersch\u00fcttert war. Da gibt es eine Firma, die mit Sicherheitssoftware punkten m\u00f6chte. Ich bin also davon ausgegangen, dass die viel mehr \u00fcber Sicherheit wissen, als meine Wenigkeit. Und dann stelle ich aber fest (zumindest, wenn ich nicht g\u00e4nzlich falsch liege), dass deren Entwickler in der Implementierung ziemliche Patzer hinlegen. Fehlt die Erfahrung oder wollte\/konnte man das nicht besser?<\/p>\n<p><strong>Erg\u00e4nzung:<\/strong> Nachdem Stefan Kanthak bei diversen Sparkassen wohl keine Antwort auf seine Mails erhielt, habe ich die Firma kontaktiert und erfahren, dass man den Artikel hier kennt und das Ganze momentan nachstellt. Details zum Sachstand kenne ich bisher nicht.<\/p>\n<p>Der Vorfall erinnert mich an diverse Projekte im Gesundheitswesen, an das <a href=\"https:\/\/borncity.com\/blog\/2018\/09\/05\/sicherheit-possen-um-das-anwaltspostfach-bea\/\">besondere elektronische Anwaltspostfach<\/a> oder an die Luca-App, die von der <a href=\"https:\/\/borncity.com\/blog\/2022\/01\/11\/luca-app-irre-teuer-technisch-kaputt-unsicher-und-nutzlos\/\">Umsetzung und vom Sicherheitsansatz<\/a> ein Alptraum waren. Ich hatte das Grundproblem k\u00fcrzlich im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2022\/01\/30\/60-jahre-software-entwicklung-ein-alptraum-der-mit-grottiger-qualitt-und-im-chaos-endet\/\">60 Jahre Software-Entwicklung: Ein Alptraum, der mit grottiger Qualit\u00e4t und im Chaos endet<\/a> angerissen.\u00a0Wenn ich einen Architekt mit der Planung meines Hauses beauftrage und dieser einen Baustatiker hinzuzieht, muss ich mich darauf verlassen k\u00f6nnen, dass das Ergebnis stimmt. Wenn der T\u00fcv ein Fahrzeug oder eine technische Einrichtung sicherheitstechnisch abnimmt, kann ich davon ausgehen, dass da essentielle Punkte abgepr\u00fcft wurden.<\/p>\n<p>Nur im Bereich Software scheint jeder freifliegend werkeln zu d\u00fcrfen. Das ist einer der Gr\u00fcnde, warum ich niemals in diesem Bereich aktiv geworden bin &#8211; denn mir fehlt &#8211; auch wenn ich gelegentlich hier \u00fcber Sicherheitsthemen blogge &#8211; das Gen der sicherheitstechnischen Denke, die jeden Schritt und jede Entscheidung grunds\u00e4tzlich und immer hinterfragt. Vielmehr glaube ich viel zu oft an das, was da versprochen wird &#8211; und nur ganz selten schaue ich genauer hin. Daher bin ich dann h\u00e4ufig ersch\u00fcttert, wenn Sicherheitsversprechen mit einigen simplen \u00dcberlegungen pulverisiert werden.<\/p>\n<h2>Erg\u00e4nzung: Entwickler haben nachgebessert<\/h2>\n<p>Da sich in der Berichterstattung weiterer Medien auf diesen Blog-Beitrag bezogen wird, m\u00f6chte ich noch ein vorl\u00e4ufiges Status-Update geben. Ich stehe seit dem 17.5.2022 mit den Entwicklern von Coronic im Austausch und habe zus\u00e4tzliche Informationen erhalten. Vorab eine Kurzfassung des aktuellen Stands:<\/p>\n<ul>\n<li>Der Starter S-Protect.exe des geh\u00e4rteten Browsers war f\u00fcr DLL-Hijacking anf\u00e4llig (siehe obige Ausf\u00fchrungen). Das Modul ist ein Starter und wohl auch ein Updater.\u00a0Diese Schwachstelle wurde von den Entwicklern, laut eigener Aussage in einer neuen Version behoben (habe ich aus Zeitmangel noch nicht getestet).<\/li>\n<li>Nicht untersucht wurden (von Herrn Kanthak und mir) der separate Browser, der durch den Starter auf das System auf dem System eingerichtet wird. Die obigen Ausf\u00fchrungen lassen, so die Entwickler, in der vorliegenden Form keinen Schluss auf die Sicherheit des Browsers zu. Der Browser ist, laut Entwicklern, mit mehreren Sicherheitsmethoden\u00a0 gesch\u00fctzt. Eine geladene DLL im Starter stellt keinen erfolgreichen Angriff auf den Browser da.<\/li>\n<\/ul>\n<p>Dem kann ich nach aktuellem Kenntnisstand nicht widersprechen oder zustimmen, denn zur endg\u00fcltigen Beurteilung des gesamten Sachverhalts muss ich mir das aktualisierte Paket aber noch anschauen und testen (sofern dies m\u00f6glich ist). Ein Folgeartikel mit weiteren Details und ggf. weiteren Testergebnissen befindet sich noch in der Planung, konnte aus Zeitmangel aber noch nicht abgestimmt und ver\u00f6ffentlicht werden.<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Es klingt gut, was der Deutsche Sparkassen- und Giroverband da angesto\u00dfen hat. Mit S-Protect legt man einen \"geh\u00e4rteten\" Browser vor, der Online-Banking-Kunden vor den Risiken bei Bankgesch\u00e4ften auf Windows PCs oder Macs besser sch\u00fctzen soll. Der Haken an der Geschichte: &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/09\/gehrteter-online-banking-browser-s-protect-ein-totalausfall\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-265168","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265168","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=265168"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265168\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=265168"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=265168"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=265168"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}