SIN-Überprüfungen

[Melmoth]

Hallo,

trotz der mehrfachen Erklärungen in den Regelwerken was genau eine SIN ist, habe ich scheinbar etwas Wichtiges übersehen. So wie ich das verstanden habe, ist eine SIN eine Art erweiterter Pass der jede Menge unterschiedlicher Informationen über die betreffende Person beinhaltet und beinahe für jede Art legaler Interaktion mit der Umwelt benötigt wird. Das Fälschen ist sehr schwierig, da die Informationen der SIN bei einer Überprüfung mit verschiedenen Datenbanken abgeglichen werden und wenn z.B. in meiner SIN ein Uniabschluss angegeben ist, der sich in den Datenbanken der betreffenden Uni nicht findet gibts Schwierigkeiten. In "Vernetzt" (S.28) steht jetzt aber, dass eine gefakte SIN nicht zwangsläufig mit den echten biometrischen Daten der Person verbunden sein muss. Ist auch irgendwie logisch, dass man nicht einen Retinascan zum Kaufen einer Busfahrkarte braucht. Andererseits folgt daraus, dass meistens offenbar nur die Echtheit der SIN, nicht aber ob sie wirklich meine ist, überprüft wird. In einer Welt wo große Teile der Bevölkerung ihre Haarfarbe, Tätowierungen etc. so leicht andern könne wie heute den Handyklingelton, sollte es also nicht schwierig sein jemanden zu finden der einem soweit ähnlich sieht, dass eine genauere Untersuchung nötig wäre um festzustellen, dass er eine fremde SIN verwendet wird. Da der größte Teil der Bevölkerung nur über Kommlinks ohne nennenswerte (soll heißen einen Hacker fordernden) Sicherheitsmaßnahmen verfügt, müsste es doch möglich sein, sich beständig neue SIN zu besorgen. Letztlich handelt es sich nur um Daten die man von einem gehackten Kommlinks kopieren kann. Zwar reichen die nicht aus um durch ernste Kontrollen zu kommen, aber überall wo ich eine Fake-SIN Stufe 3 verwenden kann müssten die doch auch ausreichen.

Ein ähnliches Problem sehe ich beim Geld. Zwar kann man es kaum fälschen, aber wenn ich ein Kommlinks gehackt habe was hält mich davon das Konto des Besitzers zu plündern. Wenn ich als autorisierter Nutzer erkannt werde, sollte es kein Problem darstellen jeden Nuyen auf ein Konto meiner Wahl zu überweisen oder?

 

Ich vermute irgendwo in meinen Überlegungen ist steckt ein Wurm und ich hoffen irgendwer von euch kann mir sagen wo.

[Goldrian]

Wie wahrscheinlich ist es das du irgendeinem soweit ähnlich bist das man dich verwechselt? Vielleicht 0,0001% durch modernes ach eben ne neue Nase usw. sind wir bei vielleicht 0,0002% wass immernoch nicht oft ist um nur mal was greifbares zu schreiben.

Wenn du ihn findest und seine Sin kopierst hast du das Problem eine art Doppelte datenspur zu erzeugen sprich die Person existiert doppelt! Was sehr auffällig im verlauf ist. Dazu kommt wenn du nicht aupasst das du bei einer groben Überprüfung "wie ist ihr geburtsdatum?" Du nicht antworten kannst ohne sie vorher ausgelesen zu haben.

 

Nun zu dem vermutlich wichtigeren das Geld. Das Geld kann nur mit einem Passcode aus dem Kommlink gegeben werden, wenn der benutzer das nicht ausschaltet aller Passwort speichern.

 

Das sind zumindest meine gedanken dazu

[Melmoth]

Den Punkt mit Ähnlichkeit sehe anders: Man darf seine SIN sicher nicht selbst editieren, sonst wäre die ganze Sache sinnlos. Und es ist davon auszugehen, dass die "amtlichen" Aktualisierungsintervalle nicht zu kurz sind. Mein Pass heute gilt zehn Jahre und er gilt genauso wenn ich mir eine Glatze schere, 15 Kilogramm zunehme und mir einen Bart wachsen lasse. Und in der sechsten Welt kann ich mit relativ geringem Aufwand mein Gesicht aussehen lassen wie ich will (Nanitencreme). Natürlich funktionieren diese SIN's nur recht kurz, aber der Aufwand eine neue zu stehlen ist viel geringer als immer alle Datenspuren löschen zu müssen.

In "Vernetzt" steht, dass viele Zahlung wie Bustickets schon automatisch erledig werden, also ohne Eingabe diverser Code. Selbst wenn die Eingabe bei größeren Beträgen notwendig ist, müsste sich dieser Zugang doch auch hacken lassen. Wenn das Kommlink das Verhindern könnte dann doch auch das es überhaupt hacke oder?

[NeoLaRoche]

Wenn ich dich richtig verstehe, dann willst du die SIN einer zufälligen Person kopieren und dich entsprechend verkleiden. Das ist zwar auf den ersten Blick leicht machbar, bringt aber ein paar Probleme mit sich.

Du hast z.B. zwar über die SIN Zugriff auf die Konten einer Person, kannst aber wegen zusätzlicher Authorisierung (Passwort, Fingerabdruck, Retina, DNA) nichts überweisen oder abheben. Das heißt deine Zahlungen passen nicht in das Schema des SIN-Eigentümers und führen im schlechtesten Fall zu dir. Zudem bist du praktisch zur gleichen Zeit an zwei Orten und hinterlässt somit eine Datenspur auf den Namen des Opfers, die früher oder später auffällt, soweit du den eigentlichen SIN-Inhaber nicht auslöscht. Und das ist ja auch so nicht unproblematisch.

[Goldrian]

Etwas vielleicht weitaus Fataleres ist, das die Seriennummer deines Kommlinks also heute würde man deine MAC-Adresse sagen. Zum Orginal nicht passt aber bei den SINs die du benutzt mehrfach zu sehen ist. d.h. irgendwo steht unter deiner MAC-Adresse etliche SINs was ebenfalls sehr auffällig ist, sobald man das überprüft und dann kannst du dein schönes getuntes Kommlink Wegwerfen. Dazu kannst du was in GRW auf seite 215 lesen. "[...]Jedes Kabellose Gerät [...] besitzt eine einzigartige Seriennummer, die vom Hersteller vergeben wird(und Häufig auch bei örtlichen Telekom-Behörden registriert ist)."

[Titan]

Also lasse ich die Person, der ich ähnlich sehe und deren SIN ich benutzen will verschwinden und ändere meine NetzID. Und bei ner Überprüfung hacke ich das andere Gerät.

 

Auch der Zusammenhang zwischen zeitlichem Aufwand laut Vernetzt eine SIN zu erstellen und den Kosten, wenn man sie sich kauft passt nicht so ganz...

[Goldrian]

Abgesehen davon das wenn er/sie Frau/Ehemann/Kind oder gute Freunde haben die das verwanten weitergeben, das Konto wohl binnen einer Woche eingefroren ist und es auffällt und während du im Stuffer dich wunderst das deine Zeitung nicht bezahlt wird, die nächste Polizeidrohne schon Bilder vond dir schießt. Während sich einsatzkräfte nähern. Prost Mahlzeit...

Ich find eine SIN kostet nicht soviel, wenn du die regelmäßig wechselt was nicht so teuer ist, deine Kommlink ID regelmäßig änderst ist das weitaus günstiger weniger Zeitintensiv und gefährlich und man kann problemloser arbeiten.

[Melmoth]

Okay der SIN-Teil ist klar, der Geld-Teil aber nicht. Es ist ineffizient, einfach fremde Konten zu benutzen, aber was spricht gegen einzelne Überweisungen? Natürlich fällt so was schnell auf. Aber wenn ich in ein paar Stunden 40 Comlinks hacke, den möglichen Maximalbetrag auf ein anderes Konto überweise und von dort auf einen bestätigten Kredstick buchen lassen, müsste sich damit viel Geld machen lassen. Irgendwie muss so was möglich sein, da "virtueller Raubüberfall" (ebenso wie der vorher besprochen ID-Diebstahl) zu den häufigsten Matrixverbrechen gehört.

[Tycho]

Kommlink hacken reicht nicht um aufs Konto zuzugreifen, dafür musst du die Bank hacken (und das dürfte etwas aufwendiger und schwerer werden).

 

cya

Tycho

[Medizinmann]

man kann halt,selbst wenn man einen Admin Account hat,nur über einen bestimmten Rahmen seines Geldes verfügen (So in Richtung Dispokredit) wenn man den überziehen will müsste man die Bank hacken,was etwas schwieriger sein sollte als ein normales Comlink.Das ist alles Machbar,es ist aber auch (z.B.) Machbar wäre auch sich mit Autoklauen viel Geld (mehr Geld als mit Runs) zu verdienen.Die Frage ist halt,ob man das als Shadowrunner machen möchte ??

 

mit Schattentanz statt Autotanz

Medizinmann

[Melmoth]

Banken hacken dürfte beinahe unmöglich sein, aber warum ist so etwas notwendig? Ein Zahlungsvorgang in der 6. Welt sieht doch so aus:

 

1. Zahlungsanweisung des Käufers

2. Bank des Käufers überweist das Geld an die Bank des Verkäufers

3. Verkäufer bekommt von seiner Bank die Bestätigung über den Zahlungseingang

 

Manipulation bei Punkt 2 und 3 würden es erforderlich machen die Bank zu hacken. Aber bei Punkt 1 muss ich doch lediglich dem Kommlink vorgaukeln ich sei der rechtmäßige Besitzer. Ein heutiges Äquivalent wäre es (so wie ich das verstanden habe) einen E-banking Account zu hacken - sprich als eine andere Person einloggen und mit deren Konto Unsinn anzustellen. Dafür ist es auch nicht notwendig die Bank zu hacken.

 

Um nicht falsch verstanden zu werden: Wäre es so einfach, würde die weltinterne Logik zusammenbrechen und daher gehe ich davon aus dass es nicht funktioniert. Ich verstehe nur noch nicht ganz warum.

[Goldrian]

Ein heutiges Äquivalent wäre es (so wie ich das verstanden habe) einen E-banking Account zu hacken - sprich als eine andere Person einloggen und mit deren Konto Unsinn anzustellen.

 

 

mal 1-2 kleinere Beträge fallen im großen und ganzen nicht auf. aber wenn du die ganze Zeit das machst. Dein Kommlink hinterlässt ne Datenspur die wenn du sie nicht jedesmal gleich mit bereinigst zu dir zurück führt außerdem:

 

Transactions require verification such as a passcode, a correct originating access ID (p. 225), and/or biometric authorization.

All transactions are encrypted (Rating 6+).

 

heißt für mich du musst, neben dem richtigen Passwort und Benutzername, vom richtigen Komlink aus fragen und bei hoher Sicherheit der Bank oder hohen beträgen nen Fingerabdruck abgeben. Die Accountdaten sind allle Verschlüsselt mit 6 und mehr.

[Mahagon]

Also man kann sowas Fälschen, steht auch im Vernetzt drin, und wenn der Kommlink auch noch son sichherheitssystem und nen Retinascan hat, würd ich sagen muss man dem nur vorgaukeln das der User grad auf irgendwas Kostenplichtiges geklickt hat und jetzt 254 NuYen aufs Konto von (HIER sollte jetzt ein NR-Konto stehen was keine Verbindung zum Runner aufzeigt) überweisen muss, der Passkey und Encryption an die Bank ist dann egal, und den Retinaskan würde auch des Verifikationsmodul vom Link übernehmen. Wenn jemand so lasche Sicherheitseinstellungen hat mag das gehen, aber wenn er für ne Transaktion nen OK Popup haben will, dann musst du wieder durch die Verschlüsselung. Die Sicherheitsstruktur einer Bank steht auch im Vernetzt... Also bis auf FW 8 und so klang des nach ner Option

[Jackhammer]

Ich denk das was Medizinmann sagt ist nur dann ein Problem wenn der Sl nicht aufpasst. Wenn man seinen Spielern einfach genug Geld gibt das sie so etwas nicht machen müssen spart man sich dieses Zeit. Mann soll niemanden mit Geld zuschütten aber die Tatsache das Runner Autos klauen oder Kommlinks für GEld hacken sollen klingt für mich nach einem Spieler-Meister Problem und nicht nach einem InGame fehler.

 

MfG Jakchammer

[JujuManiac]

Ich sehe da mehrere Probleme in der Methode fremde Konten zu plündern. Selbst wenn man mal davon ausgehst, dass Du überhaupt die Überweisungen getriggert bekommst (was ja wie bereits erwähnt SEHR schwierig sein dürfte).

 

Zum einen brauchst Du ja ein Zielkonto, dass Du irgendwie anlegen musst, also auf eine andere SIN und dafür brauchst Du wieder eigene biometrische Daten, die nunmal zu Dir gehören, es sei denn Du täuscht wieder unter einen anderen SIN sowas vor. Dann hat Dein Konto aber eine maximale Halbwertzeit von einer Woche, bevor der Typ, dem Du diese SIN geklaut hast als verschwunden oder Doppelgänger entlarvt wirst.

 

2072 arbeiten in Banken - und davon darf man ausgehen, da es solche Systeme bereits jetzt gibt - sehr hochentwickelte Plausibilitätsprüfungen (nenn es Knowbots). Wenn ein Konto, das vor 24h Stunden eröffnet wurde plötzlich von dutzenden anderen Privatkonten hohe Überweisungen empfängt und kaum 48h nach Eröffnung jemand in der Bank erscheint und das gesamte Konto als Bargeld abheben möchte, dann darfst Du davon ausgehen, dass die bankinterne Software einen Alarm ausspuckt, der zumindest zu einer SEHR gründlichen Identitätsprüfung führt. Es ist eben eine nicht plausibel-legal erklärbare Aktion, dass auf einem frischen Konto sofort hohe Summen von Privatkonten eingehen, die man Bar abheben möchte. Das ist plausibel nur durch Geldwäsche erklärbar, zumindest in 19 von 20 Fällen, so dass Du damit rechnen darfst, dass sich die Bank Deine SIN mit dem Mikroskop ansieht.

 

Größere Transaktionen mit Bargeld (oder dem Äquivalent) dürften Banken zudem ähnlich wie heute hauptsächlich mit dauerhaften Stammkunden betreiben. Du bekommst ja von Deinem Giro in der Bank auch erst nach 24h Voranmeldung mehr als 2000 auf einmal raus.

 

Zum anderen habe ich auch Credsticks so verstanden, dass sie zwar wie Bargeld funktionieren, aber eben auch wie Bargeld eindeutig "codiert" sind, also eine Art Seriennummer haben. Wie bei normalem Bargeld spielt das im Regelfall keine Rolle, solange der Herausgeber selbst (in dem Fall die Bank) das Geld nicht im Nachhinein als Betrugsbeute meldet. Dann dürfte es so sein, dass zumindest jede andere Bank das Geld als gestohlen erkennt, es sich also nicht mehr auf Konten überweisen bzw. einzahlen lässt, ähnlich wie als gestohlen gemeldete Seriennummern bei heutigem Bargeld. Wenn ein Schieber einen Credstick zur Überprüfung in sein Kommlink schiebt, dürfte wohl auch so ein Abgleich stattfinden, ob es sich um "gestohlen gemeldetes" Geld handelt. Dann kannst Du den Credtsick höchstens einem Dealer in die Hand drücken, der ihn nicht sofort auf ein Konto einzahlt.

 

Meine Gedanken dazu.