/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Sikkerhed i forbindelse med Netbank/Homeba~
Fra : RalZa


Dato : 17-04-02 08:53

HeyZa NG!...

Vi skal bruge nogle informationer omkring Netbank og Homebanking til
et IT-projekt.
Derfor vil vi gerne vide noget om, hvordan sikkerheden er i
forbindelse med disse ting. Hvor let er det at bryde igennem til
private personers bankoplysninger?

Vi har kontaktet et firma, som laver banksystemer, men er der her
nogen som ved noget om hvordan bankernes sikkerhed fungerer?

Derudover vil vi meget gerne i kontakt med en hacker, som evt. har
erfaringer inden for nævnte område - ganske diskret, naturligvis.

Med venlig hilsen

Et par studerende - Anja og Birgitte.
Fjern REMOVE i e-mailadressen for at skrive til os...

 
 
Christian E. Lysel (17-04-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 17-04-02 09:02

RalZa wrote:

> HeyZa NG!...
>
> Vi skal bruge nogle informationer omkring Netbank og Homebanking til
> et IT-projekt.
> Derfor vil vi gerne vide noget om, hvordan sikkerheden er i
> forbindelse med disse ting. Hvor let er det at bryde igennem til
> private personers bankoplysninger?


Den har været op at vende et par gange nu, prøv at kikke på google.com

http://groups.google.com/groups?hl=da&q=bank&meta=group%3Ddk.edb.sikkerhed


Held og lykke.


Troels Arvin (17-04-2002)
Kommentar
Fra : Troels Arvin


Dato : 17-04-02 10:27

On Wed, 17 Apr 2002 09:53:23 +0200, RalZa wrote:

> Vi skal bruge nogle informationer omkring Netbank og Homebanking til et
> IT-projekt.
> Derfor vil vi gerne vide noget om, hvordan sikkerheden er i forbindelse
> med disse ting.

Jeg føler mig ret sikker med Jyske Netbanks one-time-pad system. Det gør
faktisk, at jeg er sikret, selvom nogen skulle installere en bagdør på
den maskine, jeg arbejder fra.

--
Greetings from Troels Arvin, Copenhagen, Denmark

Andreas Plesner Jaco~ (17-04-2002)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 17-04-02 12:11

In article <3cbd3ff0$0$26639$edfadb0f@dspool01.news.tele.dk>, Troels Arvin wrote:
>
>> Vi skal bruge nogle informationer omkring Netbank og Homebanking til et
>> IT-projekt.
>> Derfor vil vi gerne vide noget om, hvordan sikkerheden er i forbindelse
>> med disse ting.
>
> Jeg føler mig ret sikker med Jyske Netbanks one-time-pad system. Det gør
> faktisk, at jeg er sikret, selvom nogen skulle installere en bagdør på
> den maskine, jeg arbejder fra.

Engangsnøgler er ikke et one-time-pad system.

--
Andreas Plesner Jacobsen | You are as I am with You.

Kasper Dupont (17-04-2002)
Kommentar
Fra : Kasper Dupont


Dato : 17-04-02 15:51

Andreas Plesner Jacobsen wrote:
>
> In article <3cbd3ff0$0$26639$edfadb0f@dspool01.news.tele.dk>, Troels Arvin wrote:
> >
> >> Vi skal bruge nogle informationer omkring Netbank og Homebanking til et
> >> IT-projekt.
> >> Derfor vil vi gerne vide noget om, hvordan sikkerheden er i forbindelse
> >> med disse ting.
> >
> > Jeg føler mig ret sikker med Jyske Netbanks one-time-pad system. Det gør
> > faktisk, at jeg er sikret, selvom nogen skulle installere en bagdør på
> > den maskine, jeg arbejder fra.
>
> Engangsnøgler er ikke et one-time-pad system.

Det ville ellers være interessant, hvis der blev lavet et
homebanking system med en one-time-pad. Man skulle
naturligvis have leveret den på CD så man er fri for at
indtaste den.

Der er dog langt vigtigere sikkerhedsaspekter omkring
homebanking systemer. Det største problem er nok, at de
fleste brugeres egne computere ikke er tilpas sikre.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

Allan Olesen (18-04-2002)
Kommentar
Fra : Allan Olesen


Dato : 18-04-02 17:11

Kasper Dupont <kasperd@daimi.au.dk> wrote:

>Der er dog langt vigtigere sikkerhedsaspekter omkring
>homebanking systemer. Det største problem er nok, at de
>fleste brugeres egne computere ikke er tilpas sikre.

Øh, det var vel netop det aspekt, Troels Arvin bragte på banen.
Og jeg er enig.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Povl H. Pedersen (18-04-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 18-04-02 19:32

On Wed, 17 Apr 2002 16:50:41 +0200,
Kasper Dupont <kasperd@daimi.au.dk> wrote:
> Det ville ellers være interessant, hvis der blev lavet et
> homebanking system med en one-time-pad. Man skulle
> naturligvis have leveret den på CD så man er fri for at
> indtaste den.

Det har Jyske Bank da. Men desværre bruge den kun til
authentication.

> Der er dog langt vigtigere sikkerhedsaspekter omkring
> homebanking systemer. Det største problem er nok, at de
> fleste brugeres egne computere ikke er tilpas sikre.

Hvilket gør, at en certifikatfil som det benyttes af f.eks.
Danske Bank bør anses for at være mindre sikker. Det er jo lettere
updaget at skaffe sig adgang til en sådam end det er at skaffe
sig adgang til offerets: CPR nr., hemmelige kode, samt one-time-pad.

Det store problem her er adgangen til det fysiske objekt, som er
one-time-pad'en. Her er man nødt til at bevæge sig ud i den fysiske
verden.


--
Povl H. Pedersen - ALF#2 - D-482 - nospam@home.terminal.dk
Return e-mail is a spam tarpit.
Use 2 letters from first+last name to form username@[127.0.0.1]


Andreas Plesner Jaco~ (18-04-2002)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 18-04-02 19:33

In article <slrnabu489.rfr.nospam@home.terminal.dk>, Povl H. Pedersen wrote:

>> Det ville ellers være interessant, hvis der blev lavet et
>> homebanking system med en one-time-pad. Man skulle
>> naturligvis have leveret den på CD så man er fri for at
>> indtaste den.
>
> Det har Jyske Bank da. Men desværre bruge den kun til
> authentication.

Og det er derfor ikke et one-time-pad, men et one-time-password.

--
Andreas Plesner Jacobsen | Beeping is cute, if you are in the office ;)
| -- Alan Cox

Troels Arvin (17-04-2002)
Kommentar
Fra : Troels Arvin


Dato : 17-04-02 20:08

On Wed, 17 Apr 2002 13:11:12 +0200, Andreas Plesner Jacobsen wrote:

> Engangsnøgler er ikke et one-time-pad system.

OK. Er du venlig kort at opsummere den grundlæggende forskel?

--
Greetings from Troels Arvin, Copenhagen, Denmark


Andreas Plesner Jaco~ (17-04-2002)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 17-04-02 21:34

In article <3cbdc824$0$257$edfadb0f@dspool01.news.tele.dk>, Troels Arvin wrote:
>
>> Engangsnøgler er ikke et one-time-pad system.
>
> OK. Er du venlig kort at opsummere den grundlæggende forskel?

I det ene tilfælde er der tale om et kryptosystem, i det andet er der
tale om almindelig nøgleudveksling.
Din engangsnøgle vil sandsynligvis blive brugt i forbindelse med et
ganske traditionelt stream cipher såsom AES eller måske 3DES.
One-time-pad derimod er et system, hvor du har en (stor) mængde
tilfældig data, som du simpelt hen XOR'er med den data du sender til
banken. Banken har så en kopi af samme data og XOR'er igen med denne for
at ende ved udgangspunktet.
Det er enormt vigtigt at disse data er virkelig tilfældige, da en
angriber ellers vil have mulighed for at genskabe forholdet de blev
skabt under, og selv skabe nøjagtig samme mængde data, og derfor helt
uforstyrret kunne lytte med på datastrømmen. De grundlæggende problemer
i One-time-pad konceptet er:
1) Skabelse af ægte tilfældige data. Her er det ofte "naturlige" kilder
man bruger såsom målinger af baggrundsstråling i rummet, eller
forstyrrelser i bølgen på en laser.
2) Distribution af disse data over sikre kanaler. Her kunne papirpost
være sikkert nok.
3) Mængden af data. Du skulle altid have et medie på dig med de
tilfældige data, og de tilfældige data må kun bruges en gang, da ganske
simpel kryptanalyse vil kunne frembringe nøglen, hvis de bruges mere end
en gang.

Og sidst men ikke mindst, og totalt urelateret til dit spørgsmål: Påstår
en forfatter af et kryptoprogram at de har opfundet den dybe tallerken,
og at de kan lave noget der er lige så sikkert som one-time-pads, men
samtidig genbruge data eller skabe de tilfældige nøgler på en computer,
eller at de ikke behøver så mange tilfældige data som størrelsen på
dokumentet de skal kryptere, så lyver de. Ganske simpelt.

Håber jeg har gjort mig forståelig, ellers er der masser af god
litteratur om emnet. sci.crypt har uden tvivl masser om det i deres FAQ,
ellers er Bruce Schneiers "Applied Cryptography"
(http://www.counterpane.com/applied.html) absolut anbefalelsesværdig.
Simon Singhs "The Codebook" skulle give en blødere, mere historisk,
mindre matematisk vinkel på emnet en Bruce gør i ovenstående.
Alex har også andre bøger listet på http://a.area51.dk/sikkerhed/videre

Endnu en gang: Håber jeg har gjort mig forståelig, nu vil jeg ihvertfald
sove!

--
Andreas Plesner Jacobsen | I am two with nature.
|    -- Woody Allen

Troels Arvin (17-04-2002)
Kommentar
Fra : Troels Arvin


Dato : 17-04-02 22:44

On Wed, 17 Apr 2002 22:34:24 +0200, Andreas Plesner Jacobsen wrote:

>> Er du venlig kort at opsummere den grundlæggende forskel?
>
> I det ene tilfælde er der tale om et kryptosystem, i det andet er der
> tale om almindelig nøgleudveksling.

Tak til Andreas og Svend. Jeg kan godt se, at der er en grundlæggende
forskel på de to fænomener (som at sammenligne æbler med sæbekassebiler).

I denne kontekst, hvor vi taler godkendelse af handlinger, giver "one
time pads" slet ingen mening, hvis jeg har forstået jer ret.

--
Greetings from Troels Arvin, Copenhagen, Denmark

Andreas Plesner Jaco~ (18-04-2002)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 18-04-02 09:03

In article <3cbdec9c$0$11930$edfadb0f@dspool01.news.tele.dk>, Troels Arvin wrote:
>
>> I det ene tilfælde er der tale om et kryptosystem, i det andet er der
>> tale om almindelig nøgleudveksling.
>
> Tak til Andreas og Svend. Jeg kan godt se, at der er en grundlæggende
> forskel på de to fænomener (som at sammenligne æbler med sæbekassebiler).
>
> I denne kontekst, hvor vi taler godkendelse af handlinger, giver "one
> time pads" slet ingen mening, hvis jeg har forstået jer ret.

Præcis.

--
Andreas Plesner Jacobsen | You're a card which will have to be dealt with.

Peter Brodersen (18-04-2002)
Kommentar
Fra : Peter Brodersen


Dato : 18-04-02 04:58

On Wed, 17 Apr 2002 20:34:24 +0000 (UTC), Andreas Plesner Jacobsen
<apj@daarligstil.dk> wrote:

>Og sidst men ikke mindst, og totalt urelateret til dit spørgsmål: Påstår
>en forfatter af et kryptoprogram at de har opfundet den dybe tallerken,
>og at de kan lave noget der er lige så sikkert som one-time-pads, men
>samtidig genbruge data eller skabe de tilfældige nøgler på en computer,
>eller at de ikke behøver så mange tilfældige data som størrelsen på
>dokumentet de skal kryptere, så lyver de. Ganske simpelt.

Følgende link kan findes ved at springe lidt rundt mellem de øvrige
links (Alex har bl.a. et link på www.snakeoil.dk), men for lige at
understrege:

http://www.interhack.net/people/cmcurtin/snake-oil-faq.html#SECTION00057000000000000000
(afsnittet "One-Time-Pads")

--
- Peter Brodersen

Svend Olaf Mikkelsen (17-04-2002)
Kommentar
Fra : Svend Olaf Mikkelsen


Dato : 17-04-02 21:38

On Wed, 17 Apr 2002 21:08:20 +0200, Troels Arvin <troels@arvin.dk>
wrote:

>On Wed, 17 Apr 2002 13:11:12 +0200, Andreas Plesner Jacobsen wrote:
>
>> Engangsnøgler er ikke et one-time-pad system.
>
>OK. Er du venlig kort at opsummere den grundlæggende forskel?

Det kunne være APJ selv ville have fornøjelsen, men med one time pad
er nøglen lige så lang som klarteksten, og der krypteres med XOR. Hvis
nøglen er tilfældig genereret, er krypteringen umulig at bryde.
--
Svend Olaf

Svend Olaf Mikkelsen (17-04-2002)
Kommentar
Fra : Svend Olaf Mikkelsen


Dato : 17-04-02 21:42

On Wed, 17 Apr 2002 20:37:39 GMT, svolaf@inet.uni2.dk (Svend Olaf
Mikkelsen) wrote:

>Det kunne være APJ selv ville have fornøjelsen, men med one time pad
>er nøglen lige så lang som klarteksten, og der krypteres med XOR. Hvis
>nøglen er tilfældig genereret, er krypteringen umulig at bryde.

Til min version må jeg så tilføje at nøglen kun må bruges 1 gang som i
navnet.
--
Svend Olaf

Christian E. Lysel (17-04-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 17-04-02 17:49

Troels Arvin wrote:

> Jeg føler mig ret sikker med Jyske Netbanks one-time-pad system. Det gør
> faktisk, at jeg er sikret, selvom nogen skulle installere en bagdør på
> den maskine, jeg arbejder fra.


Føler du dig sikker nok, til at vi godt må installere en bagdør på din
maskine?

Hvis vi installede en bagdør på din maskine, er _alt_ muligt, også det
umulige :)


Troels Arvin (17-04-2002)
Kommentar
Fra : Troels Arvin


Dato : 17-04-02 20:29

On Wed, 17 Apr 2002 18:48:50 +0200, Christian E. Lysel wrote:

> Hvis vi installede en bagdør på din maskine, er _alt_ muligt, også det
> umulige :)

Stort set, ja. Men en bagdør kan ikke læse mit lille ark med éngangskoder
fra Jyske Bank. Enig? Bemærk, at man skal fyre de særlige éngangskoder af
for hver transaktion.

Jeg synes faktisk, at det er en god løsning. Særligt sammenlignet med
andre bankers underligt halvhjertede løsninger såsom at en bestemt,
kryptisk fil skal ligge et bestemt sted på filsystemet (til dels security
by obscurity), hvilket kun gør det besværligt at bruge, hvis man skifter
mellem forskellige computere, og hvilket giver problemer på tværs af
operativsystemer (hvilket jeg oplevede, da jeg prøvede at køre den Danske
Banks netbank på Linux).

--
Greetings from Troels Arvin, Copenhagen, Denmark

Andreas Plesner Jaco~ (17-04-2002)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 17-04-02 21:21

In article <3cbdcd06$0$258$edfadb0f@dspool01.news.tele.dk>, Troels Arvin wrote:
>
>> Hvis vi installede en bagdør på din maskine, er _alt_ muligt, også det
>> umulige :)
>
> Stort set, ja. Men en bagdør kan ikke læse mit lille ark med éngangskoder
> fra Jyske Bank. Enig? Bemærk, at man skal fyre de særlige éngangskoder af
> for hver transaktion.

En bagdør kan ændre dine transaktioner når du indtaster din kode fra dit
lille ark.

--
Andreas Plesner Jacobsen | A good reputation is more valuable than money.
|    -- Publilius Syrus

Troels Arvin (17-04-2002)
Kommentar
Fra : Troels Arvin


Dato : 17-04-02 22:42

On Wed, 17 Apr 2002 22:21:18 +0200, Andreas Plesner Jacobsen wrote:

>> Men en bagdør kan ikke læse mit lille ark med éngangskoder fra Jyske
>> Bank. Enig? Bemærk, at man skal fyre de særlige éngangskoder af for
>> hver transaktion.
>
> En bagdør kan ændre dine transaktioner når du indtaster din kode fra dit
> lille ark.

Det foregår som følger: Man forbereder en transaktion (fx. ved at udfylde
et "girokort") og mens man får vist den opsummerende "du er ved at
overføre ... til ... osv ..." får man et dialogfelt, hvor man taster sin
éngangskode. Jeg går stærkt ud fra, at koden, som banken forventer, er
knyttet til den forestående transaktion og intet andet. Jeg kan ikke
bevise dette, men hvis vi antager, at jeg har ret: Hvorledes skulle en
anden person kunne ændre i transaktionen? - Jeg kan ikke se hvordan.

--
Greetings from Troels Arvin, Copenhagen, Denmark

Troels Arvin (17-04-2002)
Kommentar
Fra : Troels Arvin


Dato : 17-04-02 22:54

On Wed, 17 Apr 2002 23:42:02 +0200, Troels Arvin wrote:

> Hvorledes skulle en
> anden person kunne ændre i transaktionen? - Jeg kan ikke se hvordan.

Follow-up til mig selv....:

Nu ser jeg hvad du mener. Bagdørsbestyreren installerer en browser, der
til forveksling ligner min browser, men sørger for, at mingelere input og
output tekster på en særlig måde, således at jeg _tror_ at jeg er ved at
overføre penge til min ven, men i virkeligheden er ved at sende dem til en
sær udenlandsk konto. I princippet: Ja, det kunne teoretisk lade sig gøre.

Stadig vil jeg fastholde, at Jyske Bank's løsning er en løsning, der er
"sikker nok" [TM], og også så sikker, at jeg uden at tøve ville turde
benytte den på web-caféer (hvilket kan være overordentlig rart, når man er
ude at rejse).

--
Greetings from Troels Arvin, Copenhagen, Denmark

Christian E. Lysel (17-04-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 17-04-02 23:09

Troels Arvin wrote:

> Stadig vil jeg fastholde, at Jyske Bank's løsning er en løsning, der er
> "sikker nok" [TM], og også så sikker, at jeg uden at tøve ville turde


Sikkerhed er penge, et angreb koster x kroner og udbyttet er y krone.

Hvis y størrer end x, kan det "betale" sig.

Det der nok afholder de fleste fra at angreb er at det er ulovligt,
problemet er blot at en troj kan skjule alt, således at der ikke er
nogle beviser.

Er det så dig der hænger på regningen, eller hvad siger dine
forretningsbetingelser?

> benytte den på web-caféer (hvilket kan være overordentlig rart, når man er


Kan ikke anbefaldes.

> ude at rejse).


Troels Arvin (17-04-2002)
Kommentar
Fra : Troels Arvin


Dato : 17-04-02 23:34

On Thu, 18 Apr 2002 00:09:29 +0200, Christian E. Lysel wrote:

> Det der nok afholder de fleste fra at angreb er at det er ulovligt,
> problemet er blot at en troj kan skjule alt, således at der ikke er
> nogle beviser.
Problemet med denne type diskussion er, at du altid vil kunne få ret: Man
kan altid tænke sig udspekulerede situationer, hvor man kommer til kort.
Der kunne jo også være folk, der bestikker den bankansatte, en centralt
placeret bank-sysadm, etc. Den paranoide/konspiratoriske kan aldrig få
helt uret, ligesom at det ikke kan afvises, at der aldrig har været en
månelanding.

> Er det så dig der hænger på regningen, eller hvad siger dine
> forretningsbetingelser?
Det aner jeg ikke.

Du har måske en pointe i at man kunne tage den slags ind som en parameter
ved valg af bank: Hvad er har jeg af ankemuligheder og beskyttelse, hvis
nogen får held til at foretage uheldige handlinger så gennemført, at alt
peger på, at det er mig, der har gjort det.

- Men det er altså svært at vurdere:
Har du nogen beskyttelse, hvis en person går ind i en bank og ligner dig
meget og kan din pin-kode og/eller er forbandet god til at eftergøre din
signatur? Jeg stiller mig skeptisk overfor, om denne slags situationer er
velbeskrevede og sammenlignelige i kundevilkår-dokumenter.

>> benytte den på web-caféer (hvilket kan være overordentlig rart, når man
>> er
> Kan ikke anbefaldes.
Spørgsmålet er så, hvad der egentlig kan anbefales.

Når man tænker på, hvor uendeligt usikre andre betalingsformer lige fra
papirpenge til kreditkort-taloner, osv., er, så forstår jeg ikke dine
præferencer. Hvad gør du selv, når du er udenlands og skal have overført
nogle penge til fra én konto til en anden? Der er sikkert folk, der blot
ringer til banken og lyder troværdige nok til at banken hjælper, hvilket
evt. kan bringe os videre ind på, om ikke social engineering i
virkeligheden er langt at foretrække, hvis man vil fuske eller tilføje
skade til en anden.

--
Greetings from Troels Arvin, Copenhagen, Denmark

Christian E. Lysel (18-04-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 18-04-02 08:19

Troels Arvin wrote:

>>Det der nok afholder de fleste fra at angreb er at det er ulovligt,
>>problemet er blot at en troj kan skjule alt, således at der ikke er
>>nogle beviser.
> Problemet med denne type diskussion er, at du altid vil kunne få ret: Man
> kan altid tænke sig udspekulerede situationer, hvor man kommer til kort.


Ikke helt enig, banken har vel stadigvæk transaktionerne, og hvis jeg
overfører dine penge til min konto, tager det vel ikke langtid at
gennemskue at det er mig der har udført angrebet.

> Der kunne jo også være folk, der bestikker den bankansatte, en centralt
> placeret bank-sysadm, etc. Den paranoide/konspiratoriske kan aldrig få


Eller en konsulent for en bank.

> helt uret, ligesom at det ikke kan afvises, at der aldrig har været en
> månelanding.



>>Er det så dig der hænger på regningen, eller hvad siger dine
>>forretningsbetingelser?
>>
> Det aner jeg ikke.
>
> Du har måske en pointe i at man kunne tage den slags ind som en parameter
> ved valg af bank: Hvad er har jeg af ankemuligheder og beskyttelse, hvis
> nogen får held til at foretage uheldige handlinger så gennemført, at alt
> peger på, at det er mig, der har gjort det.


Jeg regner stærkt med at hvis en transaktion er signeret med min
digitale signatur, så er banken ligeglad med om jeg har fået en troj
eller ej.


> - Men det er altså svært at vurdere:
> Har du nogen beskyttelse, hvis en person går ind i en bank og ligner dig
> meget og kan din pin-kode og/eller er forbandet god til at eftergøre din
> signatur? Jeg stiller mig skeptisk overfor, om denne slags situationer er
> velbeskrevede og sammenlignelige i kundevilkår-dokumenter.


Jeg har vel nogle vidner der kan sige jeg var på arbejde på det tidspunkt :)

Men ellers, nej. Jeg har faktisk været ude for noget der ligner det du
beskriver, dog var der heldigvis ikke penge indblandet.


>>>benytte den på web-caféer (hvilket kan være overordentlig rart, når man
>>>er
>>>
>>Kan ikke anbefaldes.
>>
> Spørgsmålet er så, hvad der egentlig kan anbefales.
>
> Når man tænker på, hvor uendeligt usikre andre betalingsformer lige fra
> papirpenge til kreditkort-taloner, osv., er, så forstår jeg ikke dine
> præferencer. Hvad gør du selv, når du er udenlands og skal have overført


Problemet er blot hvis det lykkes mig at installere en troj på mange
maskiner, kan jeg udfører angrebet som et stort angreb i samme
tidsperiode, og så kan angrebet sandsynligvis betale sig.

Er trojen først skrevet er det ikke en svær opgave.


> nogle penge til fra én konto til en anden? Der er sikkert folk, der blot
> ringer til banken og lyder troværdige nok til at banken hjælper, hvilket
> evt. kan bringe os videre ind på, om ikke social engineering i
> virkeligheden er langt at foretrække, hvis man vil fuske eller tilføje
> skade til en anden.

Jo, men det er svært med mange mennesker, og kan endvidere ikke
automatiseres.


Christian Laursen (18-04-2002)
Kommentar
Fra : Christian Laursen


Dato : 18-04-02 07:14

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> writes:

> Troels Arvin wrote:
>
> > Stadig vil jeg fastholde, at Jyske Bank's løsning er en løsning, der er
> > "sikker nok" [TM], og også så sikker, at jeg uden at tøve ville turde
>
> Er det så dig der hænger på regningen, eller hvad siger dine
> forretningsbetingelser?

SVJH har man en selvrisiko af en eller anden størrelse ved brug af homebanking.
Nu er det et stykke tid siden, jeg læste betingelserne, så jeg kan ikke lige
huske størrelsen.

--
Med venlig hilsen
Christian Laursen

Christian E. Lysel (18-04-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 18-04-02 08:23

Christian Laursen wrote:

> SVJH har man en selvrisiko af en eller anden størrelse ved brug af homebanking.
> Nu er det et stykke tid siden, jeg læste betingelserne, så jeg kan ikke lige
> huske størrelsen.


Ved brug af fx et dankort, kan denne selvrisiko forsvinde hvis man fx
har givet sin PIN kode til 3. mand.

Jeg regner stærkt med at det fungere på samme måde med ens egen
homebanking PC, hvis jeg deler min harddisk ud til hele Internettet.




Niels Callesøe (18-04-2002)
Kommentar
Fra : Niels Callesøe


Dato : 18-04-02 09:11

Christian E. Lysel wrote:

> Ved brug af fx et dankort, kan denne selvrisiko forsvinde hvis man
> fx har givet sin PIN kode til 3. mand.

Um.. hvis selvrisikoen forsvinder, betyder det så ikke at banken dækker
hele tabet?

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
"Again and again they struck him on the head with a
patch cable and spat upon him." - Book of THOL, verses

Christian E. Lysel (18-04-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 18-04-02 12:14

Niels Callesøe wrote:

> Um.. hvis selvrisikoen forsvinder, betyder det så ikke at banken dækker
> hele tabet?


Hvorfor skal banken dække hvis man handler som ovenstående?

Hvis jeg går hen til en tyv og siger "Her er min PIN kode og mit
Dankort, kan du ikke lige hæve nogle penge for mig, banken dækker alligevel"


Niels Callesøe (18-04-2002)
Kommentar
Fra : Niels Callesøe


Dato : 18-04-02 21:13

Christian E. Lysel wrote:

>> Um.. hvis selvrisikoen forsvinder, betyder det så ikke at banken
>> dækker hele tabet?
>
>
> Hvorfor skal banken dække hvis man handler som ovenstående?

Det mener jeg bestemt heller ikke banken skal. Men du skrev:

| Ved brug af fx et dankort, kan denne selvrisiko forsvinde hvis man fx
| har givet sin PIN kode til 3. mand.

Jeg tror måske du skal læse den formulering igennem igen.

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
"Again and again they struck him on the head with a
patch cable and spat upon him." - Book of THOL, verses

Allan Olesen (18-04-2002)
Kommentar
Fra : Allan Olesen


Dato : 18-04-02 17:23

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

>> benytte den på web-caféer (hvilket kan være overordentlig rart, når man er
>
>
>Kan ikke anbefaldes.

Muligt, men jeg har en bank, der betragter det som sikkert, at jeg
medbringer en diskette med nøglefiler og bruger den f.eks. på en
webcafe. Det er jeg egentlig ret rystet over, og skal man sammenligne
de to principper, er jeg væsentligt mere udsat ved at tilgå min
hjemmebank fra en webcafe, end Troels Arvin er med sin hjemmebank.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Kasper Dupont (19-04-2002)
Kommentar
Fra : Kasper Dupont


Dato : 19-04-02 13:21

Allan Olesen wrote:
>
> "Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:
>
> >> benytte den på web-caféer (hvilket kan være overordentlig rart, når man er
> >
> >
> >Kan ikke anbefaldes.
>
> Muligt, men jeg har en bank, der betragter det som sikkert, at jeg
> medbringer en diskette med nøglefiler og bruger den f.eks. på en
> webcafe. Det er jeg egentlig ret rystet over, og skal man sammenligne
> de to principper, er jeg væsentligt mere udsat ved at tilgå min
> hjemmebank fra en webcafe, end Troels Arvin er med sin hjemmebank.

Jeg er fuldstændigt enig. Jeg vil betragte det som groft uforsvarligt
at nogensinde anvende sin netbank fra en webcafé eller lignende. Og
det mener jeg uanset hvilken løsning, der er anvendt.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

Christian E. Lysel (17-04-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 17-04-02 22:57

Troels Arvin wrote:

> bevise dette, men hvis vi antager, at jeg har ret: Hvorledes skulle en
> anden person kunne ændre i transaktionen? - Jeg kan ikke se hvordan.


Du taster et konto nummer, angriberen ændre dette til et andet.



Troels Arvin (17-04-2002)
Kommentar
Fra : Troels Arvin


Dato : 17-04-02 23:13

On Wed, 17 Apr 2002 23:56:43 +0200, Christian E. Lysel wrote:

> Du taster et konto nummer, angriberen ændre dette til et andet.

Du får det til at lyde såre simpelt. Som jeg skrev til Andreas, får man
inden man taster éngangskoden en præsentation af den transaktion, der skal
til at ske, og koden fungerer altså som en slags godkendelse.

Med andre ord skal man som angriber ind og foretage nogle ret omfattende
browsermodifikationer: Både input og output skal på intelligent vis
forvanskes on-the-fly. Det kræver altså mere end tyveri af nogle filer
samt en key-logger.


Nu er der åbenbart mange, der ikke deler min begejstring for hvad jeg
opfatter som Jyske Banks ret gennemførte løsning. Hvad lægger I andre vægt
på?


PS:
I øvrigt er al teknikken måske i virkeligheden ikke den egentlige
udfordring. Med ikke-papir-penge overførsler vil "nogen" jo altid
registrere hvor pengene ryger videre hen. Udfordringen er måske i
virkeligheden at finde et smart sted at sende pengene hen, så de kan
omsættes til kontanter uden at man kan spores...

--
Greetings from Troels Arvin, Copenhagen, Denmark

Christian E. Lysel (17-04-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 17-04-02 23:10

Troels Arvin wrote:

> Stort set, ja. Men en bagdør kan ikke læse mit lille ark med éngangskoder
> fra Jyske Bank. Enig? Bemærk, at man skal fyre de særlige éngangskoder af


Bob-bob, den kan læse det du taster. Det du taster kan jo være en
engangskode.


> for hver transaktion.


Hver transaktion? Er det hver penge overførelse eller er det en samling
af penge overførelser?


> Jeg synes faktisk, at det er en god løsning. Særligt sammenlignet med
> andre bankers underligt halvhjertede løsninger såsom at en bestemt,
> kryptisk fil skal ligge et bestemt sted på filsystemet (til dels security


Det er ikke en kryptisk fil, men et cerifikat der er krypteret med et
statisk password brugeren selv har valgt :)

> by obscurity), hvilket kun gør det besværligt at bruge, hvis man skifter

> mellem forskellige computere, og hvilket giver problemer på tværs af
> operativsystemer (hvilket jeg oplevede, da jeg prøvede at køre den Danske
> Banks netbank på Linux).


Jeg regner med din bank også bruger certifikater til transaktionerne,
ellers er de på røven :)


Troels Arvin (17-04-2002)
Kommentar
Fra : Troels Arvin


Dato : 17-04-02 23:50

On Thu, 18 Apr 2002 00:10:10 +0200, Christian E. Lysel wrote:

> Hver transaktion? Er det hver penge overførelse eller er det en samling
> af penge overførelser?
Hver overførsel. I forhold til hvor lang tid det kan tage at indtaste
gironumre og lign. er kode-indtastningerne i praksis acceptable.

>> Jeg synes faktisk, at det er en god løsning. Særligt sammenlignet med
>> andre bankers underligt halvhjertede løsninger såsom at en bestemt,
>> kryptisk fil skal ligge et bestemt sted på filsystemet (til dels
>> security
>
> Det er ikke en kryptisk fil, men et cerifikat der er krypteret med et
> statisk password brugeren selv har valgt :)
Tak, jeg ved det. (Jeg har efterhånden haft netbank hos tre forskellige
banker, og har sat mig i hvertfald lidt ind i dem alle, vil jeg påstå.)

Det er da en kryptisk måde at skabe sikkerhed på: Man giver folk en
fornemmelse af ekstra sikkerhed fordi man har fået sin helt egen _fil_, og
den skal pakkes ud med en kode og der er appletter og alt mulig...!

(Efter min tidligere nævnte mening er dette mere til besvær end gavn.)

> Jeg regner med din bank også bruger certifikater til transaktionerne,
> ellers er de på røven :)
Det foregår over SSL, og banken har et SSL-certifikat. Jeg kommer dig lige
i forkøbet: Nej, jeg har ikke brugt tid på at endevende certifikatet og
gruble over dets validitet. Ej heller har jeg gennemgået bankens
web-software's sikkerheds track-record eller forhørt mig nærmere om
web-udviklernes straffeattest.

Hvis vi taler client-side certifikat (mit certifikat), så er den
grundlæggende forskel jo her, at det er erstattet af bank-valgt permanent
password + éngangskoder.

--
Greetings from Troels Arvin, Copenhagen, Denmark

RalZa (18-04-2002)
Kommentar
Fra : RalZa


Dato : 18-04-02 07:40

On Thu, 18 Apr 2002 00:50:13 +0200, Troels Arvin <troels@arvin.dk>
wrote:


>Tak, jeg ved det. (Jeg har efterhånden haft netbank hos tre forskellige
>banker, og har sat mig i hvertfald lidt ind i dem alle, vil jeg påstå.)

Har du så ikke lyst til at fortælle os lidt mere om dine erfaringer,
hvilke fordele og ulemper der er ved de forskellige banker, og hvordan
deres systemer fungerer? :)

Er netop lige præcis den slags vi skal bruge i projektet....

Mvh
Anja og Birgitte



Troels Arvin (18-04-2002)
Kommentar
Fra : Troels Arvin


Dato : 18-04-02 13:01

On Thu, 18 Apr 2002 08:40:23 +0200, RalZa wrote:

>>(Jeg har efterhånden haft netbank hos tre forskellige banker, og har sat
>>mig i hvertfald lidt ind i dem alle, vil jeg påstå.)
>
> Har du så ikke lyst til at fortælle os lidt mere om dine erfaringer,
> hvilke fordele og ulemper der er ved de forskellige banker, og hvordan
> deres systemer fungerer? :)

Min første netbank var hos BG Bank (som dengang hed GiroBank eller noget i
den dur). Det kørte via et system kaldet "Diatel", der agerede dial-up- og
autorisationssoftware for BG Bank's software. Software'en var noget
Windows-noget, så det var ikke specielt portabelt, i modsætning til dagens
systemer, hvor Java og/eller web-interfaces benyttes. Jeg husker ikke
præcis, hvorledes det foregik mht. certfikater, passwords og lign., men
der var i hvertfald ikke tale om éngangspasswords. Efter at BG Bank
omdannede sig selv til et sært mix af bank og forbrugerklub ("køb billig
vin med dit BG Bank Plus medlemsskab!") og glemte at tilbyde gode og
billige grund-bank-produkter måtte jeg videre.

DDB's netbank installerede nogle filer på c:\\danskenetbank eller noget i
den stil, hvilket giver problemer på fornuftigt indrettede systemer, hvor
kun sysadm kan oprette kataloger i roden af filsystemet. I kataloget lagde
det bl.a. et personligt certifikat, der autoriserer brugeren over for
server-siden. Certifikatet må antages at være krypteret på en eller anden
måde, for man blev bedt om password før det var anvendeligt. Web-delen
benyttede java langt hen af vejen, men det forekom ret tåbeligt, fordi de
ikke ville supportere det, hvis man ikke benyttede særlige browsere på
særlige systemer (stik imod et af Java's hovedformål). Det virkede
simpelthen for dårligt, i hvertfald fra mine Linux maskiner, og jeg
skiftede derfor til Jyske Bank, hvis system vi allerede har drøftet en del
i denne tråd.

--
Greetings from Troels Arvin, Copenhagen, Denmark

Christian E. Lysel (18-04-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 18-04-02 08:28

Troels Arvin wrote:

>>Hver transaktion? Er det hver penge overførelse eller er det en samling
>>af penge overførelser?
> Hver overførsel. I forhold til hvor lang tid det kan tage at indtaste
> gironumre og lign. er kode-indtastningerne i praksis acceptable.


Hvor mange koder har du på et ark?

I gennemsnit laver jeg 10 transaktioner pr. gang.


> Hvis vi taler client-side certifikat (mit certifikat), så er den
> grundlæggende forskel jo her, at det er erstattet af bank-valgt permanent
> password + éngangskoder.


Ja.


Troels Arvin (18-04-2002)
Kommentar
Fra : Troels Arvin


Dato : 18-04-02 12:41

On Thu, 18 Apr 2002 09:27:30 +0200, Christian E. Lysel wrote:

> Hvor mange koder har du på et ark?
80; man får tilsendt nyt ark, når det gamle er ved at løbe ud.

--
Greetings from Troels Arvin, Copenhagen, Denmark

Kasper Dupont (18-04-2002)
Kommentar
Fra : Kasper Dupont


Dato : 18-04-02 13:37

Troels Arvin wrote:
>
> Det er da en kryptisk måde at skabe sikkerhed på: Man giver folk en
> fornemmelse af ekstra sikkerhed fordi man har fået sin helt egen _fil_, og
> den skal pakkes ud med en kode og der er appletter og alt mulig...!

Det er da noget sluder. Filen indeholder krypterings og signatur
nøgler, og filen er selv krypteret med et kodeord. Ingen kan
gætte mit kodeord. Selv hvis nogen mod forventning skulle få fat
i min fil kan de ikke gøre noget uden kodeordet.

Den del er altså i princippet lavet fuldstændig efter bogen, der
er intet at kritisere.

Appletterne er derimod en helt anden historie. De kan bestemt
kritiseres. Opgaven kan ikke løses med en browser, derfor har
banken valgt at udstyre den med nogle applets. Jeg havde hellere
set, at de udleverede et program på diskette eller CDROM og så
holdte sig langt væk fra browsere. Programmet skulle leveres med
sourcekode!

Med den nuværende løsning har man kun bankens ord for, at
appletterne gør det de skal gøre og i øvrigt er fejlfrie (næppe).
Det betyder til gengæld, at banken står med et langt større
ansvar, hvilket muligvis kan komme kunderne til fordel hvis der
alligevel skulle vise sig problemer.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

Christian E. Lysel (18-04-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 18-04-02 13:41

Kasper Dupont wrote:

> holdte sig langt væk fra browsere. Programmet skulle leveres med
> sourcekode!


Hørt!


Povl H. Pedersen (18-04-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 18-04-02 19:46

On Thu, 18 Apr 2002 14:37:19 +0200,
Kasper Dupont <kasperd@daimi.au.dk> wrote:
> Det er da noget sluder. Filen indeholder krypterings og signatur
> nøgler, og filen er selv krypteret med et kodeord. Ingen kan
> gætte mit kodeord. Selv hvis nogen mod forventning skulle få fat
> i min fil kan de ikke gøre noget uden kodeordet.

Jo. De kan prøve med dictionary attacks og brute-force at
gætte de kodeord. Og det kan de gøre offline. Og de kan distribuere
din fil ud, og lade milliarder af PC'er forsøge at knække det.

> Den del er altså i princippet lavet fuldstændig efter bogen, der
> er intet at kritisere.

Jo. Det burde være som nogle udenlandske banker har det.
Nemlig 2-faktor authentication. F.eks. en signaturfil sammen
med en engangsnøgle.

Derudover burde applikationen installeres på din maskine fra
en sikker kilde, og ikke komme fra en SSL kanal der er følsom
overfor man-in-the-middle angreb.

--
Povl H. Pedersen - ALF#2 - D-482 - nospam@home.terminal.dk
Return e-mail is a spam tarpit.
Use 2 letters from first+last name to form username@[127.0.0.1]


Andreas Plesner Jaco~ (18-04-2002)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 18-04-02 19:48

In article <slrnabu52p.rfr.nospam@home.terminal.dk>, Povl H. Pedersen wrote:

>> Det er da noget sluder. Filen indeholder krypterings og signatur
>> nøgler, og filen er selv krypteret med et kodeord. Ingen kan
>> gætte mit kodeord. Selv hvis nogen mod forventning skulle få fat
>> i min fil kan de ikke gøre noget uden kodeordet.
>
> Jo. De kan prøve med dictionary attacks og brute-force at
> gætte de kodeord. Og det kan de gøre offline. Og de kan distribuere
> din fil ud, og lade milliarder af PC'er forsøge at knække det.

Du glemmer den mest grundlæggende regel i kryptologi: Du skal aldrig
bruge flere penge på at beskytte dine ting end de er værd. Den kan så
videreføres til: Du skal ikke bruge flere penge på at bryde en nøgle end
du kan vinde ved at gøre det.

>> Den del er altså i princippet lavet fuldstændig efter bogen, der
>> er intet at kritisere.
>
> Jo. Det burde være som nogle udenlandske banker har det.
> Nemlig 2-faktor authentication. F.eks. en signaturfil sammen
> med en engangsnøgle.

Det _ER_ to-faktor authentication når du skal bruge en signaturfil
sammen med et password.

> Derudover burde applikationen installeres på din maskine fra
> en sikker kilde, og ikke komme fra en SSL kanal der er følsom
> overfor man-in-the-middle angreb.

Enig.

--
Andreas Plesner Jacobsen | Stone's Law:
| One man's "simple" is another man's "huh?"

Kent Friis (18-04-2002)
Kommentar
Fra : Kent Friis


Dato : 18-04-02 21:11

Den Thu, 18 Apr 2002 18:47:55 +0000 (UTC) skrev Andreas Plesner Jacobsen:
>In article <slrnabu52p.rfr.nospam@home.terminal.dk>, Povl H. Pedersen wrote:
>
>>> Det er da noget sluder. Filen indeholder krypterings og signatur
>>> nøgler, og filen er selv krypteret med et kodeord. Ingen kan
>>> gætte mit kodeord. Selv hvis nogen mod forventning skulle få fat
>>> i min fil kan de ikke gøre noget uden kodeordet.
>>
>> Jo. De kan prøve med dictionary attacks og brute-force at
>> gætte de kodeord. Og det kan de gøre offline. Og de kan distribuere
>> din fil ud, og lade milliarder af PC'er forsøge at knække det.
>
>Du glemmer den mest grundlæggende regel i kryptologi: Du skal aldrig
>bruge flere penge på at beskytte dine ting end de er værd. Den kan så
>videreføres til: Du skal ikke bruge flere penge på at bryde en nøgle end
>du kan vinde ved at gøre det.

Man har da mere ud af at lade en masse PC'er bryde nøglen til en bank-
konto, end af at lade dem lave DDOS-attacks.

Mvh
Kent
--
Advarsel: ny e-mail adresse - med risiko for at mails går tabt.
Den gamle adresse virker stadig, men bliver primært checket i
arbejdstiden.

Andreas Plesner Jaco~ (18-04-2002)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 18-04-02 21:12

In article <a9n97n$pt3$1@sunsite.dk>, Kent Friis wrote:
>>
>>Du glemmer den mest grundlæggende regel i kryptologi: Du skal aldrig
>>bruge flere penge på at beskytte dine ting end de er værd. Den kan så
>>videreføres til: Du skal ikke bruge flere penge på at bryde en nøgle end
>>du kan vinde ved at gøre det.
>
> Man har da mere ud af at lade en masse PC'er bryde nøglen til en bank-
> konto, end af at lade dem lave DDOS-attacks.

Tværtimod. Hvis man skulle få den brudt en dag kan man være sikker på at
der bliver brugt store resourcer på at finde synderen.
Du forstod heller ikke mit argument: Beskyttelsen skal stå mål med det
beskyttede. Du vil altid kunne finde angrebsvinkler på en givet
protokol, det store spørgsmål er derfor ikke om den er sikker, men om
den er sikker NOK.

--
Andreas Plesner Jacobsen | Each of us bears his own Hell.
|    -- Publius Vergilius Maro (Virgil)

Allan Olesen (19-04-2002)
Kommentar
Fra : Allan Olesen


Dato : 19-04-02 09:13

Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote:

>Du forstod heller ikke mit argument:

Jeg tror nærmere, du ikke forstod Kents. Du skrev:

>>>Den kan så
>>>videreføres til: Du skal ikke bruge flere penge på at bryde en nøgle end
>>>du kan vinde ved at gøre det.

Kent påpeger så, at det er gratis at bruge stjålne ressourcer på
at bryde nøglen, så hvis man har skaffet sig uberettiget kontrol
over 10^x computere, kan man jo vælge at lade dem bryde nøgler
i stedet for at lade dem udføre DDoS.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Christian E. Lysel (21-04-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 21-04-02 10:41

Allan Olesen wrote:

> Kent påpeger så, at det er gratis at bruge stjålne ressourcer på
> at bryde nøglen, så hvis man har skaffet sig uberettiget kontrol
> over 10^x computere, kan man jo vælge at lade dem bryde nøgler
> i stedet for at lade dem udføre DDoS.


Er straffen for at skaffe uberettiget kontrol over 10^x computere gratis?



Allan Olesen (21-04-2002)
Kommentar
Fra : Allan Olesen


Dato : 21-04-02 11:52

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

>Er straffen for at skaffe uberettiget kontrol over 10^x computere gratis?

Pointen var jo nok, at man gør det alligevel, og så kan man lige
så godt bruge computerkraften til noget "produktivt".


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Kasper Dupont (19-04-2002)
Kommentar
Fra : Kasper Dupont


Dato : 19-04-02 13:31

"Povl H. Pedersen" wrote:
>
> On Thu, 18 Apr 2002 14:37:19 +0200,
> Kasper Dupont <kasperd@daimi.au.dk> wrote:
> > Det er da noget sluder. Filen indeholder krypterings og signatur
> > nøgler, og filen er selv krypteret med et kodeord. Ingen kan
> > gætte mit kodeord. Selv hvis nogen mod forventning skulle få fat
> > i min fil kan de ikke gøre noget uden kodeordet.
>
> Jo. De kan prøve med dictionary attacks og brute-force at
> gætte de kodeord.

Med mine kodeord kommer de ikke langt med et dictionary
attack. Jeg bruger altid tilfældigt genererede kodeord.
Hvor mange resource et brute force angreb vil kræve ved
jeg ikke, Danske Bank vil nok ikke give os de nødvendige
oplysninger til at finde ud af det.

> Og det kan de gøre offline. Og de kan distribuere
> din fil ud, og lade milliarder af PC'er forsøge at knække det.

De skal naturligvis først have fat i min fil, hvilket
ikke bliver nemt. Og der er nok ikke mange, der har en
milliard computere at bruge til formålet.

>
> > Den del er altså i princippet lavet fuldstændig efter bogen, der
> > er intet at kritisere.
>
> Jo. Det burde være som nogle udenlandske banker har det.
> Nemlig 2-faktor authentication. F.eks. en signaturfil sammen
> med en engangsnøgle.

Idéen lyder umiddelbart god nok. Men er der nu tale om
en ukrypteret hemlig nøgle? I så fald er jeg lidt mere
skeptisk.

>
> Derudover burde applikationen installeres på din maskine fra
> en sikker kilde, og ikke komme fra en SSL kanal der er følsom
> overfor man-in-the-middle angreb.

Jeg er stort set enig, men jeg tvivler nu lidt på, at SSL
er så nem at angribe. Man kan jo ikke umiddelbart få fat
i bankens certifikat.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

Povl H. Pedersen (19-04-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 19-04-02 21:05

On Fri, 19 Apr 2002 14:31:24 +0200,
Kasper Dupont <kasperd@daimi.au.dk> wrote:
> Med mine kodeord kommer de ikke langt med et dictionary
> attack. Jeg bruger altid tilfældigt genererede kodeord.
> Hvor mange resource et brute force angreb vil kræve ved
> jeg ikke, Danske Bank vil nok ikke give os de nødvendige
> oplysninger til at finde ud af det.

Danske Bank sender sig da alle de nødvendige informationer.
Det hedder en Java applet. Du skal bare lige bruge netscape.

Og en sådan er relativt simpel at decompile, medmindre de
har været godt i gang med en obfuscator.

>> Og det kan de gøre offline. Og de kan distribuere
>> din fil ud, og lade milliarder af PC'er forsøge at knække det.
>
> De skal naturligvis først have fat i min fil, hvilket
> ikke bliver nemt. Og der er nok ikke mange, der har en
> milliard computere at bruge til formålet.

Er det ikke Kazaa eller et andet fildelingsprogram der har dette ?
Deres spyware licens giver dem ret til alle dine ubenyttede CPU cykler.

>> Jo. Det burde være som nogle udenlandske banker har det.
>> Nemlig 2-faktor authentication. F.eks. en signaturfil sammen
>> med en engangsnøgle.
>
> Idéen lyder umiddelbart god nok. Men er der nu tale om
> en ukrypteret hemlig nøgle? I så fald er jeg lidt mere
> skeptisk.

Jeg har set en bank der bruger RSA's SecurID tokens til adgangskontrol.
Den virker ved at man indtaster 4 cifre hemmeligt password + de typisk
6 cifre der vises det minut på din token.

Det at man har et fysisk objekt sammen med noget elektronisk ID
vanskeliggør at en hacker kan komme ind. Det kræver at han samarbejder
med en klassisk kriminel.

>> Derudover burde applikationen installeres på din maskine fra
>> en sikker kilde, og ikke komme fra en SSL kanal der er følsom
>> overfor man-in-the-middle angreb.
>
> Jeg er stort set enig, men jeg tvivler nu lidt på, at SSL
> er så nem at angribe. Man kan jo ikke umiddelbart få fat
> i bankens certifikat.

Korrekt.
Nu tænkte jeg lige på Internetbutik -> PBS kommunikation
hvor der ikke er nogen certikatverification fra nogen side.

Ved SSL sker der jo det, at klienten modtager og validerer
bankens certifikat, genererer en nøgle til symmetrisk kryptering,
krypterer denne med bankens offentlige nøgle, og sender den
retur.

Så man er nødt til at hacke afsenders PC, eller have meget stor
computerkraft til rådighed.
--
Povl H. Pedersen - ALF#2 - D-482 - nospam@home.terminal.dk
Return e-mail is a spam tarpit.
Use 2 letters from first+last name to form username@[127.0.0.1]


Troels Arvin (21-04-2002)
Kommentar
Fra : Troels Arvin


Dato : 21-04-02 00:13

On Fri, 19 Apr 2002 22:04:37 +0200, Povl H. Pedersen wrote:

> Nu tænkte jeg lige på Internetbutik -> PBS kommunikation hvor der ikke
> er nogen certikatverification fra nogen side.

Der er så vidt jeg ved intet teknisk i vejen for, at
certifikatverifikation finder sted. Hvis dagens løsninger ikke gør det,
så er det så vidt jeg ved fordi det blot aldrig er blevet implementeret.
(Jeg har ikke fulgt så tæt med i Dankort/PBS+Internet verdenen på det
seneste).

Altså: SSL i sig selv er ikke specielt vulnerabelt for man-in-the-middle.
Men visse konkrete løsninger overspringer måske i praksis
certifikat-valideringen..

--
Greetings from Troels Arvin, Copenhagen, Denmark

Kasper Dupont (21-04-2002)
Kommentar
Fra : Kasper Dupont


Dato : 21-04-02 08:46

"Povl H. Pedersen" wrote:
>
> Nu tænkte jeg lige på Internetbutik -> PBS kommunikation
> hvor der ikke er nogen certikatverification fra nogen side.

Det var jo svært at gætte, når det var noget andet, vi diskuterede.
Men nu vi har fat i internetbutikkerne, så lad os da tage den
diskution med det samme.

Når du benytter en internetbutik kan du sikre dig at kommunikationen
mellem dig selv og internetbutikken foregår på forsvarlig måde. Men
som kunde kan du a aldrig vide, hvordan kommunikationen mellem
internetbutikken og pengeinstituet foregår. Denne kommunikation kan
aldrig være kundens ansvar.

Det for tiden meget udbredte princip med at opgive kortnummer eller
kontonummer for at foretage en betaling har jeg ikke meget til overs
for. Tanken er måske, at det kun er ejeren af kortet, der kender
nummeret. Men det kan man naturligvis ikke gå ud fra. Kortnummeret er
ikke dokumentation nok for din identitet, og hvis det rent faktisk
havde været, måtte du ikke fortælle det til butikken.

Jeg mener faktisk, at bankerne burde afvise alle disse transaktioner,
hvor butikkens eneste dokumentation for deres krav om penge er, at de
kender kundens kortnummer.

Det er muligt at lave en bedre løsning, og de vil forhåbentligt snart
blive mere udbredt. Som kunde har man stadig ikke mulighed for, at
kontrollere alle dele af systemet. Men man kan naturligvis se, hvilken
kommunikation man selv foretager med pengeinstitut og butik. Som kunde
kan man stadig ikke være ansvarlig for fejl i de dele af systemet, som
ligger uden for ens rækkevide. Men man kan måske komme til at hæfte
hvis man anvender systemer med åbenlyse fejl.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

Christian E. Lysel (21-04-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 21-04-02 10:56

Kasper Dupont wrote:

> Jeg mener faktisk, at bankerne burde afvise alle disse transaktioner,
> hvor butikkens eneste dokumentation for deres krav om penge er, at de
> kender kundens kortnummer.


Hvilket også er tilfældet, hvis kunden mener han ikke har fortaget
transaktionen.


Kasper Dupont (22-04-2002)
Kommentar
Fra : Kasper Dupont


Dato : 22-04-02 11:57

"Christian E. Lysel" wrote:
>
> Kasper Dupont wrote:
>
> > Jeg mener faktisk, at bankerne burde afvise alle disse transaktioner,
> > hvor butikkens eneste dokumentation for deres krav om penge er, at de
> > kender kundens kortnummer.
>
> Hvilket også er tilfældet, hvis kunden mener han ikke har fortaget
> transaktionen.

Det har du formodentlig ret i.

Jeg har aldrig selv brugt sådan en netbutik (og jeg er heller
ikke blevet beskyldt for det), så jeg kender ikke procedurerne.
Men så vidt jeg har forstået, går banken som udgangspunkt ud
fra, at det er sandt hvad netbutikken siger. Kun hvis kunden
opdager, at der er blevet snydt og fortæller banken det, vil
transaktionen blive annuleret. Da der ikke forelægger noget
bevis burde banken spørge kunden, og under ingen omstændigheder
gennemføre transaktionen før kunden har accepteret.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

Christian E. Lysel (21-04-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 21-04-02 10:50

Povl H. Pedersen wrote:

> Jeg har set en bank der bruger RSA's SecurID tokens til adgangskontrol.
> Den virker ved at man indtaster 4 cifre hemmeligt password + de typisk
> 6 cifre der vises det minut på din token.
>
> Det at man har et fysisk objekt sammen med noget elektronisk ID
> vanskeliggør at en hacker kan komme ind. Det kræver at han samarbejder
> med en klassisk kriminel.


I en ideal verden er ovenstående korrekt, men i virkeligheden er der
andre sårbarheder.

Med RSA SecureID kræver det man på en eller anden måde har fået adgang
til den secret de enkelte tokens er programmeret med, fx ved at arbejde
der, have gode kontakter, eller have uautoriseret adgang til deres
interne systemer.


> Ved SSL sker der jo det, at klienten modtager og validerer
> bankens certifikat, genererer en nøgle til symmetrisk kryptering,
> krypterer denne med bankens offentlige nøgle, og sender den
> retur.
>
> Så man er nødt til at hacke afsenders PC, eller have meget stor
> computerkraft til rådighed.


Eller også blot håbe på at brugeren ikke undre sig over fejl i certifikatet.



Asbjorn Hojmark (19-04-2002)
Kommentar
Fra : Asbjorn Hojmark


Dato : 19-04-02 17:43

On Thu, 18 Apr 2002 18:45:45 +0000 (UTC), nospam@home.terminal.dk
(Povl H. Pedersen) wrote:

> Og de kan distribuere din fil ud, og lade milliarder af PC'er
> forsøge at knække det.

Ah, mon dog?

> Jo. Det burde være som nogle udenlandske banker har det.
> Nemlig 2-faktor authentication. F.eks. en signaturfil sammen
> med en engangsnøgle.

Så vidt jeg har forstået, er der snak om at indbygge one-time
password-funktionalitet i DankortV2.

Det fik mig til at spekulere på, om der er nogen af de folk, der
har overvejet, hvor mange pc'er i Danmark, der har kortlæser til
smartcards.

-A
--
http://www.hojmark.org/

Jens Axel Søgaard (20-04-2002)
Kommentar
Fra : Jens Axel Søgaard


Dato : 20-04-02 13:48


"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:uth0cu4709tj1iok7fcnpp3tl39f529p7j@news.worldonline.dk...

> Det fik mig til at spekulere på, om der er nogen af de folk, der
> har overvejet, hvor mange pc'er i Danmark, der har kortlæser til
> smartcards.

Er det så vigtigt?
Læs: Er de ikke så billige, at det er uden betydning?

--
Jens Axel Søgard




Kasper Dupont (18-04-2002)
Kommentar
Fra : Kasper Dupont


Dato : 18-04-02 13:40

Troels Arvin wrote:
>
> (hvilket jeg oplevede, da jeg prøvede at køre den Danske
> Banks netbank på Linux).

Det kan lade sig gøre, men Danske Bank har tilsyneladende
ikke forstået Linux/UNIX sikkerhedsmodel.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

Povl H. Pedersen (18-04-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 18-04-02 19:35

On Wed, 17 Apr 2002 21:29:10 +0200,
Troels Arvin <troels@arvin.dk> wrote:
> ...hvilket kun gør det besværligt at bruge, hvis man skifter
> mellem forskellige computere, og hvilket giver problemer på tværs af
> operativsystemer (hvilket jeg oplevede, da jeg prøvede at køre den Danske
> Banks netbank på Linux).

Jeg havde Danske Bank til at køre på Linux, lige indtil min
Netscape blev for ny, og lukkede nogle sikkerhedshuller, som
var krævede af Danske NetBank (bla. cross-site scripting).

Er glad for Jyske Netbank. Kører næsten perfekt under Linux
(problemer med æøå). Kører dog ikke i IE til PPC 2002.

--
Povl H. Pedersen - ALF#2 - D-482 - nospam@home.terminal.dk
Return e-mail is a spam tarpit.
Use 2 letters from first+last name to form username@[127.0.0.1]


Kasper Dupont (19-04-2002)
Kommentar
Fra : Kasper Dupont


Dato : 19-04-02 13:34

"Povl H. Pedersen" wrote:
>
> Er glad for Jyske Netbank. Kører næsten perfekt under Linux

Det er anden gang jeg hører ros af Jyske Netbank under Linux,
det må jeg hellere fortælle Danske Bank, næste gang de laver
rod i deres system.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

Alex Holst (17-04-2002)
Kommentar
Fra : Alex Holst


Dato : 17-04-02 15:47

RalZa <hhp0108@REMOVEuv.abc.dk> wrote:
> Derudover vil vi meget gerne i kontakt med en hacker, som evt. har
> erfaringer inden for nævnte område - ganske diskret, naturligvis.

Lad vaere med at tro paa hvad en tilfaeldig, snottet lille unge
fortaeller han har lavet. Laes "Security Engineering" af Ross Anderson.
To gange. Bogen staar listet, med en lille beskrivelse, i OSS'en:

http://a.area51.dk/sikkerhed/videre

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Niels Callesøe (18-04-2002)
Kommentar
Fra : Niels Callesøe


Dato : 18-04-02 06:08

Alex Holst wrote:

> Lad vaere med at tro paa hvad en tilfaeldig, snottet lille unge
> fortaeller han har lavet. Laes "Security Engineering" af Ross
> Anderson. To gange. Bogen staar listet, med en lille beskrivelse,
> i OSS'en:
>
> http://a.area51.dk/sikkerhed/videre

Oo, shiny. Man kan søreme også læse et par kapitler helt gratis. Jeg
kan (tror jeg, jeg er ikke færdig) anbefale kapitel 18 om netværks-
sikkerhed.

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
"Again and again they struck him on the head with a
patch cable and spat upon him." - Book of THOL, verses

RalZa (18-04-2002)
Kommentar
Fra : RalZa


Dato : 18-04-02 11:24

On Wed, 17 Apr 2002 16:47:20 +0200, Alex Holst <a@area51.dk> wrote:

>Lad vaere med at tro paa hvad en tilfaeldig, snottet lille unge
>fortaeller han har lavet. Laes "Security Engineering" af Ross Anderson.
>To gange. Bogen staar listet, med en lille beskrivelse, i OSS'en:

Jah... men nu er det kun et mini-projekt, og vi skal fremlægge i
morgen tidlig... (har kun fået få skoletimer til det).
Kan du ikke fortælle/forklare lidt af det vi skal bruge i stedet?

Altså, hvor let det er for en hacker at få adgang til en privatpersons
personlige bankoplysninger, fordi denne bruger netbank?

/A & B

kc (18-05-2002)
Kommentar
Fra : kc


Dato : 18-05-02 20:21

De fleste bankers netbanking-systemer er hullede som en si. Det gælder
Danske Bank, BG Bank, Unibank, Amagerbanken, Skandiabanken, SEB banken,
Sparbank Vest og flere andre.

Benyttelsen er hos disse banker kun baseret på to ting:

1) krypteringsfil
2) kodeord

Krypteringen foregår gennem kodeordet samt en fil, der fx. hedder
600100000.usf, som typisk ligger i biblioteket c:\webbank (filen kan
kopieres lige så let som alle andre filer).

Så hvis du vil gennembryde sikkerheden har du alene brug for fri adgang til
brugerens harddisk samt kodeordet.

Fri adgang til harddisken kan opnås ved at gennembryde en eventuel
firewall - fx. gennem P2P-programmer.

Kodeordet opsnappes ved at indlægge en trojansk hest, som opsnapper ethvert
tastetryk...

Jyske Bank har et helt andet system. Jyske Banks system kræver nemlig at man
har eller har haft kontakt med et papirbaseret nøglekort samt et kodeord. På
nøglekortet er anført 80 transaktionskoder, som alle kun kan bruges én gang
og som alle skal indtastes i en bestemt rækkefølge (rækkefølgen fremgår ikke
af kortet). Ved hjælp af to kontrolcifre sikres, at det er banken, der
forespørger om koderne. Kodeordet er naturligvis lige så usikkert som hos
resten af bankerne. Det papirbaserede nøglekort er imidlertid klart sikrere.
Det er derfor umuligt at gennembryde Jyske Banks system blot ved at anvende
elektroniske hjælpemidler (medmindre man naturligvis rammer Jyske Banks egne
computere - hvilket nok er umuligt for de fleste!).

Jyske Banks system kan med andre ord kun crackes, hvis man har haft adgang
til brugerens nøglekort i den fysiske verden.

Til gengæld er sikkerheden for at oplysningerne ikke kan aflyttes formentlig
en smule ringere hos Jyske Bank, da man anvender almindelig SSL-kryptering
(som ved dankortbetaling). Typisk er det vigtigste imidlertid, at andre ikke
kan benytte ens konto til at overføre beløb...

KC



Povl H. Pedersen (18-05-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 18-05-02 22:27

On Sat, 18 May 2002 21:20:56 +0200,
kc <a@a.dk> wrote:
> Til gengæld er sikkerheden for at oplysningerne ikke kan aflyttes formentlig
> en smule ringere hos Jyske Bank, da man anvender almindelig SSL-kryptering
> (som ved dankortbetaling). Typisk er det vigtigste imidlertid, at andre ikke
> kan benytte ens konto til at overføre beløb...

Jeg tror også de andre banker anvender almindelig SSL, og at
filen på harddisken kun bruges til at identificere brugeren,
og ikke som en nøgle til dataoverførsel. For hvis den blev
brugt til dette, så ville det jo betyde samme nøgle hver
gang, hvilket vil være dårligt.

--
Povl H. Pedersen - ALF#2 - D-482 - nospam@home.terminal.dk
Return e-mail is a spam tarpit.
Use 2 letters from first+last name to form username@[127.0.0.1]


Christian E. Lysel (19-05-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 19-05-02 06:39

kc wrote:
> De fleste bankers netbanking-systemer er hullede som en si. Det gælder
> Danske Bank, BG Bank, Unibank, Amagerbanken, Skandiabanken, SEB banken,
> Sparbank Vest og flere andre.

Hvis det er hullet som en si, hvor vil du flytte pengene, så det ikke
kan spores?


Allan Olesen (19-05-2002)
Kommentar
Fra : Allan Olesen


Dato : 19-05-02 09:04

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net>
wrote:

>Hvis det er hullet som en si, hvor vil du flytte pengene, så det ikke
>kan spores?

Er det ikke komplet ligegyldigt, hvis der er penge nok, og man er
væk med dem hurtigt nok?


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Christian E. Lysel (20-05-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 20-05-02 09:20

Allan Olesen wrote:
>>Hvis det er hullet som en si, hvor vil du flytte pengene, så det ikke
>>kan spores?
> Er det ikke komplet ligegyldigt, hvis der er penge nok, og man er
> væk med dem hurtigt nok?

Om det er komplet ligegyldigt at man ikke kan skule sine spor?

Jeg tror staffen er for stor til jeg ville synes det er sjovt.


Allan Olesen (20-05-2002)
Kommentar
Fra : Allan Olesen


Dato : 20-05-02 12:47

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net>
wrote:

>Om det er komplet ligegyldigt at man ikke kan skule sine spor?
>
>Jeg tror staffen er for stor til jeg ville synes det er sjovt.

Faktum er, at det for nogle år siden var sjovt - vist især blandt
personer af anden etnisk herkomst og dermed uden den store
tilknytning til Danmark - at oprette en hel masse konti med
Dankort rundt omkring i forskellige pengeinstitutter og derefter
hæve max. på dem alle og forsvinde ud af landet.

Så nogle mennesker har ikke noget mod at være kendte forbrydere,
bare beløbet er stort nok.

Det påstås i øvrigt, at systemerne på hver side af Storebælt ikke
var forbundne, samt at dagligt max. blev nulstillet ved midnat.
Derfor kunne man først bruge alle kortene i en fynsk hæveautomat,
derefter i en sjællandsk hæveautomat, vente til midnat og tage
begge hæveautomater igen i modsat rækkefølge. Dermed kunne man
hæve 4x dagligt max. på hvert kort, inden bankerne åbnede. Jeg
skal ikke kunne sige, om det passer.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Povl H. Pedersen (19-05-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 19-05-02 19:44

On Sun, 19 May 2002 07:39:06 +0200,
Christian E. Lysel <chlyshoswmdatapunktumcom@example.net> wrote:
> kc wrote:
>> De fleste bankers netbanking-systemer er hullede som en si. Det gælder
>> Danske Bank, BG Bank, Unibank, Amagerbanken, Skandiabanken, SEB banken,
>> Sparbank Vest og flere andre.
>
> Hvis det er hullet som en si, hvor vil du flytte pengene, så det ikke
> kan spores?
>
Til en konto oprettet med et CPR nummer man har lånt fra et
dokument på Københavns Kommunes offentlige trådløse net.
(er der nogen her fra gruppen der har testet det i dag ?)

Denne konto har så en stående ordre om at alle indkommende beløb
overføres til en konto i Malaysia, som vi ikke har udvekslingsaftaler
med, og som kører med mere bankhemmelighed en Schweiz. Her kan der
så være en stående ordre om at tilbageføre pengene til den sikre
netbankkonto man har i Jyske Bank :)

--
Povl H. Pedersen - ALF#2 - D-482 - nospam@home.terminal.dk
Return e-mail is a spam tarpit.
Use 2 letters from first+last name to form username@[127.0.0.1]


Christian E. Lysel (20-05-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 20-05-02 09:48

Povl H. Pedersen wrote:
>>Hvis det er hullet som en si, hvor vil du flytte pengene, så det ikke
>>kan spores?
> Til en konto oprettet med et CPR nummer man har lånt fra et
> dokument på Københavns Kommunes offentlige trådløse net.
> (er der nogen her fra gruppen der har testet det i dag ?)

Lyder som om du er igang med at få en størrer straffe ramme.

Hvad med underskriften på aftalen med banken?

> Denne konto har så en stående ordre om at alle indkommende beløb
> overføres til en konto i Malaysia, som vi ikke har udvekslingsaftaler
> med, og som kører med mere bankhemmelighed en Schweiz. Her kan der
> så være en stående ordre om at tilbageføre pengene til den sikre
> netbankkonto man har i Jyske Bank :)

Det ville nok være dumt at flytte pengene tilbage til danmark.


Kasper Dupont (20-05-2002)
Kommentar
Fra : Kasper Dupont


Dato : 20-05-02 21:31

"Povl H. Pedersen" wrote:
>
> Denne konto har så en stående ordre om at alle indkommende beløb
> overføres til en konto i Malaysia, som vi ikke har udvekslingsaftaler
> med, og som kører med mere bankhemmelighed en Schweiz. Her kan der
> så være en stående ordre om at tilbageføre pengene til den sikre
> netbankkonto man har i Jyske Bank :)

Det ville da nemt kunne opdages. Så snart nogen sammenholder
de to konti, og ser at det er samme sekvens af transaktioner
begge stedder, er man afsløret.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

Kasper Dupont (20-05-2002)
Kommentar
Fra : Kasper Dupont


Dato : 20-05-02 21:27

kc wrote:
>
> De fleste bankers netbanking-systemer er hullede som en si. Det gælder
> Danske Bank, BG Bank, Unibank, Amagerbanken, Skandiabanken, SEB banken,
> Sparbank Vest og flere andre.
>
> Benyttelsen er hos disse banker kun baseret på to ting:
>
> 1) krypteringsfil
> 2) kodeord
>
> Krypteringen foregår gennem kodeordet samt en fil, der fx. hedder
> 600100000.usf, som typisk ligger i biblioteket c:\webbank (filen kan
> kopieres lige så let som alle andre filer).

Det er der da absolut intet problem i. Det er faktisk et ganske
fornuftigt princip.

>
> Så hvis du vil gennembryde sikkerheden har du alene brug for fri adgang til
> brugerens harddisk samt kodeordet.

Brugere der ikke beskytter deres computer ordentligt er ikke en
fejl i netbanksystemet. Systemet kan aldrig blive mere sikkert
end den computer kunden anvender.

>
> Fri adgang til harddisken kan opnås ved at gennembryde en eventuel
> firewall - fx. gennem P2P-programmer.

Så nemt er det bestemt ikke, hvis man sikrer sin computer på
fornuftig vis.

>
> Kodeordet opsnappes ved at indlægge en trojansk hest, som opsnapper ethvert
> tastetryk...

Det forudsætter jo, at kunden lader den slippe ind på sin
computer.

>
> Jyske Bank har et helt andet system. Jyske Banks system kræver nemlig at man
> har eller har haft kontakt med et papirbaseret nøglekort samt et kodeord. På
> nøglekortet er anført 80 transaktionskoder, som alle kun kan bruges én gang
> og som alle skal indtastes i en bestemt rækkefølge (rækkefølgen fremgår ikke
> af kortet). Ved hjælp af to kontrolcifre sikres, at det er banken, der
> forespørger om koderne. Kodeordet er naturligvis lige så usikkert som hos
> resten af bankerne. Det papirbaserede nøglekort er imidlertid klart sikrere.
> Det er derfor umuligt at gennembryde Jyske Banks system blot ved at anvende
> elektroniske hjælpemidler (medmindre man naturligvis rammer Jyske Banks egne
> computere - hvilket nok er umuligt for de fleste!).
>
> Jyske Banks system kan med andre ord kun crackes, hvis man har haft adgang
> til brugerens nøglekort i den fysiske verden.

Du tager fejl, hvis man har kontrol over kundens computer kan
selv Jyske Banks system brydes. Det er blot en anelse sværere.
Der kræves blot et man-in-the-middle-attack. Du laver blot et
program, der på en gang kommunikerer med banken og kunden,
hvis du viser kunden nogle realistiske dialogbokse, vil han
gladeligt indtaste sit password som du samtidig anvender
overfor banken til at udføre nogle helt andre transaktioner.

Engangskodeord løser altså ikke alle problemer.

Jeg er mere nysgerrig for, hvilken form for dokumentation
Jyske Bank overhovedet har for, hvilke passwords, der er
anvendt til at udføre transaktionerne.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

Povl H. Pedersen (20-05-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 20-05-02 22:11

On Mon, 20 May 2002 22:26:42 +0200,
Kasper Dupont <kasperd@daimi.au.dk> wrote:
> Engangskodeord løser altså ikke alle problemer.
>
> Jeg er mere nysgerrig for, hvilken form for dokumentation
> Jyske Bank overhovedet har for, hvilke passwords, der er
> anvendt til at udføre transaktionerne.

De har dem ihvertfald. Jeg anmodes ikke om samme kode 2 gange.
De kan enten logge det (tager 9 bytes, idet der er 80 koder
pr. nøglekort, og 9 bytes * 9 bits = 81.), eller de kan anvende
en algoritme afhængig af f.eks. nøglekortsnummer, og så lagre hvor
i sekvensen de er kommet.

PS: De kører på noget mainframe stads, og den kører så vist
jeg ved 9 bit/byte, EBDIC tegnsæt og andre mærkværdige
fortidslevn :)
--
Povl H. Pedersen - ALF#2 - D-482 - nospam@home.terminal.dk
Return e-mail is a spam tarpit.
Use 2 letters from first+last name to form username@[127.0.0.1]


Kasper Dupont (21-05-2002)
Kommentar
Fra : Kasper Dupont


Dato : 21-05-02 07:24

"Povl H. Pedersen" wrote:
>
> On Mon, 20 May 2002 22:26:42 +0200,
> Kasper Dupont <kasperd@daimi.au.dk> wrote:
> > Engangskodeord løser altså ikke alle problemer.
> >
> > Jeg er mere nysgerrig for, hvilken form for dokumentation
> > Jyske Bank overhovedet har for, hvilke passwords, der er
> > anvendt til at udføre transaktionerne.
>
> De har dem ihvertfald. Jeg anmodes ikke om samme kode 2 gange.

Selvfølgelig skal systemet ikke bede om samme password mere
end en gang. Jeg var mere interesseret i, hvad der sker med
det password brugeren har indtastet.

I andre systemer indtaster du et password, der bruges til at
dekryptere din hemmelige nøgle, som efterfølgende anvendes
til at signere en besked. Dette princip kan ikke anvendes
med engangs passwords.

Hvad gør de så? Passwordet kunne sendes sammen med
transaktionen, og det kunne så checkes mod den liste, som
banken har. Men de oplysninger, banken så kan logge, beviser
ikke om passwordet er tilføjet af kunden eller banken, og
heller ikke om transaktionen er ændret siden passwordet blev
tilføjet.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

Søg
Reklame
Statistik
Spørgsmål : 177549
Tips : 31968
Nyheder : 719565
Indlæg : 6408822
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste