# Artikel in der Computerwoche üb IP-Payment



## stieglitz (13 Januar 2006)

Auf Seite 18 der heutigen Computerwoche befindet sich ein ganzseitiger Artikel zum Thema IP-Payment. 
In diesem Artikel werden explizit die Bedenken von dialerschutz.de aufgegriffen und deren Misstrauen gegen diese Zahlungsform geteilt.
Der Arteikel steht leider nicht online.


----------



## stieglitz (16 Januar 2006)

Mehr dazu bei de.internet:
http://de.internet.com/index.php?id=2040600&section=Security


> Auf den ersten Blick scheint das neue Online-Bezahlverfahren eine sichere Zahlungsmethode zu sein: IP-Payment basiert auf der Annahme, dass jeder Internet-Nutzer anhand seiner IP-Adresse eindeutig identifizierbar ist. Werden also kostenpflichtige Seiten oder Dienstleistungen in Anspruch genommen, speichert der Provider automatisch die IP-Adresse des Nutzers und zieht über die Telefonrechnung beziehungsweise die Provider-Rechnung die entsprechende Summe ein. Doch die scheinbar sichere Abrechnungsmethode lädt zum Missbrauch ein: Gelingt es einem Fremden, in das Netz eines anderen einzudringen, kann er von dort auf dessen Kosten einkaufen gehen - hierzu benötigt der Angreifer weder Kreditkarten- noch Kontodaten seines Opfers. Ebenso gefährlich ist es, wenn die Betrüger die User unbemerkt auf zahlungspflichtige Internet-Seiten locken und durch technische Manipulationen eine Abrechnung veranlassen.


----------



## Anonymous (17 Januar 2006)

Was bedeutet denn _Wer auf Nummer sicher gehen möchte, sollte vorerst auf die Teilnahme an IP-Payment verzichten._? Heißt dass, wenn ich z.B. t-online-Kunde bin, dass ich mich zuerst für ip-payment registrieren muss?


----------



## Captain Picard (17 Januar 2006)

Soweit die jetzige Theorie, ob das so bleibt, wird man sehen 


> Darüber hinaus sei es fraglich, ob ein Nutzer wirklich eindeutig anhand der IP-Adresse identifiziert
> werden könne. So dürften beispielsweise bei Internet-Anschlüssen, die in Wohngemeinschaften
> oder Familien gemeinsam genutzt werden, die Probleme vorprogrammiert sein.


Nicht nur Familien oder Wohngemeinschaften, was ist mit Firmen, Unis? 
Überall dort wo viele User  über einen Pool von IPs in I-Net gehen.

cp


----------



## SEP (17 Januar 2006)

Auch sonst: Alle Kunden diverser DSL-Hoster werden in deren IP-Pool dynamisch hin und her verschoben - der Hoster kann zwar ggf. zurück verfolgen, aber ob er das für einen behaupteten Zahlungsanspruch brav tut?


----------



## Anonymous (22 Januar 2006)

*und die österreicher?!?*

Da für Deutschland sich alles noch im theoretischen Bereich zu bewegen scheint (also ohne das ip-payment wirklich zum einsatz kommt), wie schaut es den in der Praxis bei unseren österreichischen Nachbarn aus? Bei denen scheint es doch irgendwie zu laufen? Und Beschwerden im Bezug auf Missbrauch sind von dort hier im Forum bisher keine aufgetaucht oder?


----------



## Anonymous (27 Januar 2006)

die frage mit der uni bzw. firmennetzwerken sollte hinfällig sein. was ich bisher gelesen habe, muss man sich für ip-payment bei seinem provider anmelden. und wenn der provider keine anmeldung von der entsprechenden it-abteilung einer hochschule oder firma bekommt, stellt sich auch gar nicht die frage, ob die mitarbeiter/user mal schön auf firmen-/unikosten irgendwelche websites besuchen können. so würden sich wohl auch i-net-cafes vor missbrauch schützen.


----------



## Der Genervte (27 Januar 2006)

*Die Unsicherheit kommt mit der Zeit*

*NOCH* kann man es als halbwegs sicher bezeichnen - abgesehen von den Einwänden der Vorposter.

Nur, die Zeiten wo eine IP eindeutig und nur 1x vergeben ist, die sind schon lange vorbei.

Für einen versierten Hacker (gibt zum Glück nicht wirklich viele) ist es kein Problem auch eine IP zu fälschen !

Dann sind für einen gewissen Zeitraum 2 Rechner mit der selben IP im Internet. Erkennbar für einen Betroffenen - wenn überhapt - nur daran, das die eigene Verbindung schlechter wird und Daten (Seiten, Frames, Dateien,...) nicht mehr aufrufbar sind bzw. nur noch sehr langsam ankommen (bedingt durch die "Fehlleitung" einiger Pakete).
Nur: wer achtet auf so etwas bzw. denkt an IP-Klau? Verbindungsschwierigkeiten und Performenseinbußen hat man ja öfters mal.

Bislang ist die einizige Sicherheit der mangelnde Verbreitungsgrad. Ein Angreifer müßte genau die IP von einem Nutzer erwischen, der sich auch bei seinem Provider für dieses Zahlverfahren hat registrieren lassen.
Ergo: je mehr sich dieses Zahlsystem durchsetzen sollte, desto unsicherer wird es werden.

Hinweis am Rande: als Netzwerktechniker weiß ich von was ich schreibe. Die Möglichkeit der IP-Fälschung ist ein wichtiger Bestandteil der Sicherheitskonzepte.


----------



## Anonymous (28 Januar 2006)

*ip-klau*

@ der genervte

okay ...  :-?  sehe ich es dann richtig, dass es auch gut sein könnte, dass mir jemand meine ip klaut und sich damit fürs bezahlen via ip-adresse anmeldet ohne das ich die geringste ahnung davon habe?!? dann würde ich dir natürlich recht geben und der Unsicherheitsfaktor wird wieder ziemlich hoch. Denn wie soll ich denn nachweisen, dass ich nicht zu einer bestimmten uhrzeit auf einer bestimmten site war...   leider muss ich damit feststellen, dass ich eure vorbehalte gegenüber der sicherheit und transparenz des systems teile. wenn sich also t-online, arcor und konsorten für diese form der abzocke entscheiden, sind die zeiten des dsl-sorglos-surfens leider vorbei   :evil: 

ck


----------



## advisor (28 Januar 2006)

*Re: ip-klau*



			
				ck80 schrieb:
			
		

> sehe ich es dann richtig, dass es auch gut sein könnte, dass mir jemand meine ip klaut und sich damit fürs bezahlen via ip-adresse anmeldet ohne das ich die geringste ahnung davon habe?!?


Rein IP basierte Authentifizierungsmethoden sind grundsätzlich anfällig für IP Spoofing. Da hängt damit zusammen, daß das Fälschen einer IP Adresse mit Raw Sockets kein Problem ist. Raw Sockets zeichnen sich gerade dadurch aus, daß man in den IP Header reinschreiben kann, was man will.

Allerdings ist es damit nicht getan. Für den Hacker tut sich nämlich eine andere Hürde auf: Zur Kommunikation benötigt er Antworten von dem Server, dem er das Paket mit dem gefälschten Absender zugeschickt hat. Die Antworten gehen aber an den ahnungslosen Rechner mit der gefälschten Adresse. Da es sich wohl um verbindungsorientierten Datenverkehr über TCP handelt, birgt das für unseren Hacker ein Problem: Er muß dem Server antworten,  kennt aber die Sequenz- und Bestätigungsnummern nicht, die der Server in seine Antworten packt. Und die werden vom Server-Betriebssystem unter Verwendung eines Zufallsgenerators erzeugt. Ein Schuh wird allerdings für unseren Hacker draus, wenn er die Sequenz- und Bestätigungsnummern abhören kann. Möglich ist das zB, wenn der Hacker seinen Rechner im Subnetz des angegriffenen Servers platziert.

Das Problem mit dem IP Spoofing ist übrigens schon seit den 80er Jahren bekannt:
http://www.cert.org/advisories/CA-1995-01.html


----------



## Der Genervte (28 Januar 2006)

@Qck80:

Das Szenario würde so aussehen:
- Du meldest Dich bei Deinem Provider für diese Zahlungsmethode an
- wie auch immer bekommt jemand Wind davon UND ergattert Deine augenblickliche IP

Das er sich für Dich bei Deinem Provider ausgibt und für dieses Zahlsystem freischalten läßt, halte ich für eher nicht machbar.

@Advisor:

Auch beim verbindungsorientierten Datenverkehr ist es möglich 2 IP's gleichzeitig im Internet zu haben. Der eigentliche Besitzer der IP "bemerkt" es an dem nachlassenden Datenempfang - wie Du es andeutetest. Der Faker nutzt Route-Funktionen und bleibt davon verschont - überwiegend. Man kann auch Server dazu veranlassen bestimmte Route-Vorgaben für Antwortpakete zu benutzen.


----------



## advisor (28 Januar 2006)

Der Genervte schrieb:
			
		

> Auch beim verbindungsorientierten Datenverkehr ist es möglich 2 IP's gleichzeitig im Internet zu haben.


Das ist immer möglich. Egal ob Internet oder LAN.





			
				Der Genervte schrieb:
			
		

> Der Faker nutzt Route-Funktionen und bleibt davon verschont - überwiegend. Man kann auch Server dazu veranlassen bestimmte Route-Vorgaben für Antwortpakete zu benutzen.


Man kann Pakete, die Source-Routing Informationen beinhalten, anhand eines Flags einfach erkennen und abweisen. Damit ist die Gefahr eines Source-Routing Angriffs eliminiert. Bei einem Windows Rechner stellt man dazu in der Registrierungsdatenbank unter 
	
	



```
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
```
den DWORD Wert 
	
	



```
DisableIPSourceRouting=2
```
ein.

Der Faker mit der doppelten IP hat aber auch ein Problem mit dem ARP Cache des angegriffenen Servers (bzw seines Standardgateways). Je nach dem welche IP gerade mit welcher MAC in dieser ARP Tabelle gelistet ist, werden die Antworten mal zum Angreifer und mal zu dem anderen Rechner geschickt. Dh der Faker muß zusätzlich zum IP Spoofing auch ARP-Spoofing betreiben und diesen ARP Cache manipulieren, damit er die Pakete zu seinem PC geroutet bekommt. Das ist zwar mittels zB fragroute möglich. Aber: Intelligente IPS Systeme sowie Router und Switches erkennen solche Angriffe und können sie neutralisieren. Wenn ein solches System Signaturen eines Fragroute Angriffes aufzeichnet, kann es den Angreifer durch automatische Umkonfiguration der Firewall ausgesperren.


----------



## Anonymous (28 Januar 2006)

eines ist mir aber noch nicht klar. ich habe dsl-flat, stelle aber jedesmal eine neue verbindung her, wenn ich ins i-net möchte. man bekommt doch jedesmal eine neue ip-adresse aus einem pool zugewiesen, oder? auf diese ip-adresse kann man sich aber doch nur einhacken, wenn ich gerade online bin, oder?


----------



## Reducal (28 Januar 2006)

Dein Computer stellt eine neue Verbindung zum Router her, die IP wird wohl 24 Stunden am Router anstehen. Einmal pro Tag gibt es eine Zwangstrennung vom Provider. Das bedeutet, Du hast jeden Tag eine neue IP aber den Tag über immer die selbe.


----------



## Captain Picard (28 Januar 2006)

Reducal schrieb:
			
		

> Dein Computer stellt eine neue Verbindung zum Router her, die IP wird wohl 24 Stunden am Router anstehen.


wo steht was von einem Router? 


			
				ck80 schrieb:
			
		

> . ich habe dsl-flat, stelle aber jedesmal eine neue verbindung her, wenn ich ins i-net möchte. man bekommt doch jedesmal eine neue ip-adresse aus einem pool zugewiesen,


Wer ohne  Router seine I-Net  Verbindung herstellt, bekommt bei jedem Anmeldevorgang
 eine andere IP zugewiesen.
Das dürfte nach wie vor die Mehrzahl aller privaten Nutzer sein.

Wenn ich meinen PC runterfahre und danach alles  auch den Router ausschalte, 
(Das ganze Standbydgedöns läppert sich auch ) 
holt der sich beim Wiedereinschalten auch  eine neue IP. 

cp


----------



## Anonymous (28 Januar 2006)

auch wenn es keine ultimative sicherheit darstellt, das aus und wiedereinloggen verschafft mir ein bisschen mehr?


----------



## christian in wien (28 Januar 2006)

@ ck80

teoretisch erhälst du bei jeder einwahl eine neue IP-Adresse, aber eben nur teoretisch. wenn du einen router hast und der auf "immer online" gestellt ist dann erhälst du nur nach der zwangstrennung alle 24 stunden ne neue IP-adresse. wenn du direkt über ein modem eingelogt bist, dann erhälst du in der regel nach jedem auslogen und wiedereinlogen eine neue ip-adresse. verlass dich aber nicht darauf, hier in wien z.B. bekommt man ohne es zu wissen eine feste ip zugewiesen, bei anderen providern mag das auch in deutschland gelten. zudem hilft dir das eventuell wenig, da der provider speichert wer wann mit welcher ip unterwegs war.


----------



## Captain Picard (28 Januar 2006)

christian in wien schrieb:
			
		

> verlass dich aber nicht darauf, hier in wien z.B. bekommt man
> ohne es zu wissen eine feste ip zugewiesen, bei anderen providern mag das auch in deutschland gelten. .


ich habe noch nie nach dem Wiedereinloggen dieselbe IP bekommen, es sei denn jemand geht 
über Proxies ins I-Net bevorzugt z. B bei AOL und CbC-Providern.  Das dürfte der Grund für 
die o.g. Situation sein. Was will aber ein "man-in-the middle" mit einer Proxie-IP? 

cp


----------



## christian in wien (28 Januar 2006)

Bin ohne proxy im internet, trotzdem hab ich seit 2 wochen die selbe ip-adresse. ich nehme an das das modem hier immer eine verbindung zur gegenstelle bereithält, sich also nicht trennt bzw getrennt wird und dadurch bleibt die ip-adresse die selbe


----------



## Captain Picard (28 Januar 2006)

der Proxie wird ohne dein  Zutun, Wissen und Willen dir vom Provider aufs Auge gedrückt.
Wenn ich bei Gast-PCs über CbC oder AOL  ins I-Net gehe, bekomme ich bei bestimmten 
Providern auch oft dieselbe IP nämlich die Proxie-IP.

cp


----------

