|
| netbank og sikkerhed Fra : anders |
Dato : 01-11-03 12:37 |
|
Jeg har undret mig over noget. Måske I kunne hjælpe....
Jeg kender ikke vildt meget til pc'ere når det handler om sikkerhed. For
nogle år siden kunne det lade sig gøre for en hacker at se hvad en bruger
lavede på sin computer (Kan det sikkert stadigvæk). Som jeg forstod det,
kunne det lade sig gøre for hackeren at se hvilke taster brugeren trykkede
på.
Kan hackeren på den måde finde ud af brugerens koder og lign.?
Og hvis hackeren kan det, er det så ikke meget meget nemt at logge på
brugerens netbank og tømme kontoen? Jeg tænker at det eneste hackeren skal,
er jo at finde nøglen til netbanken på brugerens pc, og så aflure brugerens
kode (hvis det altså kunne lade sig gøre).
Mvh.
Anders
| |
Michel Christensen (01-11-2003)
| Kommentar Fra : Michel Christensen |
Dato : 01-11-03 12:49 |
|
anders wrote:
> Jeg har undret mig over noget. Måske I kunne hjælpe....
Vi kan da prøve :)
> Kan hackeren på den måde finde ud af brugerens koder og lign.?
Ja, det kan han, hvis han f.eks. laver et echo af input med f.eks. netbus.
> Og hvis hackeren kan det, er det så ikke meget meget nemt at logge på
> brugerens netbank og tømme kontoen? Jeg tænker at det eneste hackeren skal,
> er jo at finde nøglen til netbanken på brugerens pc, og så aflure brugerens
> kode (hvis det altså kunne lade sig gøre).
Har endnu ikke hørt om nogen hvor netbanken har været misbrugt.. men som
du beskriver det, burde det jo kunnne lade sig gøre.
--
Michel Christensen
http://michel.leet.dk
| |
Anders S.. (01-11-2003)
| Kommentar Fra : Anders S.. |
Dato : 01-11-03 13:22 |
|
men som du beskriver det, burde det jo kunnne lade sig gøre.
> Michel Christensen
> http://michel.leet.dk
Ikke hvis det er Jyskenetbank, der skal anvennes kodenøgle ( udover
personnr. og personlig kode) ved login og ved transaktion, kodenøglerne får
man tilsendt fra banken med 99 nøgler på hvert kort.
MVH
Anders
| |
Jesper Stocholm (01-11-2003)
| Kommentar Fra : Jesper Stocholm |
Dato : 01-11-03 13:55 |
|
Anders S.. wrote :
>> men som du beskriver det, burde det jo kunnne lade sig gøre.
>
> Ikke hvis det er Jyskenetbank, der skal anvennes kodenøgle ( udover
> personnr. og personlig kode) ved login og ved transaktion,
> kodenøglerne får man tilsendt fra banken med 99 nøgler på hvert kort.
Selvfølgelig kan det lade sig gøre - også ved Jyske Bank - det er blot
meget sværere hvis man skal bruge noget data til at logge ind med, der ikke
ligger på computeren.
Hvis der ligger en bagdør på computeren er der principielt ingen grænser
for hvad der kan lade sig gøre - blot computeren bruges som interface til
den service man ønsker at benytte.
--
Jesper Stocholm
http://stocholm.dk
Give a man a fish and he will have food for a day,
give a man an elephant, and he will have food for a week.
| |
Bertel Lund Hansen (02-11-2003)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 02-11-03 13:11 |
|
Jesper Stocholm skrev:
>Selvfølgelig kan det lade sig gøre - også ved Jyske Bank - det er blot
>meget sværere hvis man skal bruge noget data til at logge ind med, der ikke
>ligger på computeren.
Det er jo let nok at skrive.
>Hvis der ligger en bagdør på computeren er der principielt ingen grænser
>for hvad der kan lade sig gøre
Jo. Hvis man skal tømme en privat Jyske Bank-konto, skal man
hacke både Jyske Banks computer og brugerens computer medmindre
man er i stand til at hacke brugerens computer samt opsnappe hans
nøglekort uden at det bliver opdaget før konrtoen er tømt.
Det er i praksis så vanskeligt at en kriminel ikke gider arbejde
på det hvis der ikke ligger store millionbeløb og venter.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Kasper Dupont (02-11-2003)
| Kommentar Fra : Kasper Dupont |
Dato : 02-11-03 13:38 |
|
Bertel Lund Hansen wrote:
>
> Jesper Stocholm skrev:
>
> >Selvfølgelig kan det lade sig gøre - også ved Jyske Bank - det er blot
> >meget sværere hvis man skal bruge noget data til at logge ind med, der ikke
> >ligger på computeren.
>
> Det er jo let nok at skrive.
>
> >Hvis der ligger en bagdør på computeren er der principielt ingen grænser
> >for hvad der kan lade sig gøre
>
> Jo. Hvis man skal tømme en privat Jyske Bank-konto, skal man
> hacke både Jyske Banks computer og brugerens computer medmindre
> man er i stand til at hacke brugerens computer samt opsnappe hans
> nøglekort uden at det bliver opdaget før konrtoen er tømt.
Hvis du faktisk kan finde et hul ind i Jyske Banks system, kan du
jo misbruge det uanset om brugerne har styr på deres egen sikkerhed.
Der er vel intet i vejen for at stjæle penge fra en konto hvis ejer
ikke engang bruger netbanken. Med andre ord er man nødt til at gå
ud fra, at banken har styr sikkerheden i sit eget system, for ellers
har du et problem uanset, om du bruger netbank eller ej.
Hvad angår påstanden om, at det er nødvendigt at bryde ind i bankens
system er jeg fuldstændig uenig. Det er muligt at misbruge selv
Jyske Banks system, hvis blot man kan opnå kontrol over brugerens
computer. Det er svært, men, det er (eller burde være) trods alt
nemmere, end at bryde ind i Jyske Banks system.
Selvom der skal bruges et kodeord fra et nøglekort er der jo ikke
nogen stor forhindring. Du skal bare skrive et program, der venter
på, at det bliver indtastet, og først da misbruger det. Du skal nok
også lave et program, der kan efterligne netbanken godt nok, til at
brugeren ikke opdager, at der bliver udført en anden transaktion,
end den, han prøvede på at udføre. Alt sammen kan lade sig gøre,
hvis du har kontrol over offerets computer.
>
> Det er i praksis så vanskeligt at en kriminel ikke gider arbejde
> på det hvis der ikke ligger store millionbeløb og venter.
Millionbeløb er nok en overdrivelse, jeg tror, der findes personer,
som ville gøre det blot med udsigt til en fortjeneste på 100.000kr.
I øvrigt kan programmerne nok bruges et par gange, når de først
er skrevet. Det vil selvfølgelig være lidt nedtur, det viser sig,
at hovedparten af de potentielle ofre har overtræk. Den slags
angreb skal udføres lige efter lønudbetalingen.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
Bertel Lund Hansen (02-11-2003)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 02-11-03 15:21 |
|
Kasper Dupont skrev:
>Hvad angår påstanden om, at det er nødvendigt at bryde ind i bankens
>system er jeg fuldstændig uenig. Det er muligt at misbruge selv
>Jyske Banks system, hvis blot man kan opnå kontrol over brugerens
>computer.
Niks.
>Selvom der skal bruges et kodeord fra et nøglekort er der jo ikke
>nogen stor forhindring.
Jo. Det er engangskoder.
>Du skal bare skrive et program, der venter
>på, at det bliver indtastet, og først da misbruger det.
En indtastet kode er ubrugelig næste gang. Nøglekortet udskiftes
automatisk når alle koderne derpå har været benyttet.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Kent Friis (02-11-2003)
| Kommentar Fra : Kent Friis |
Dato : 02-11-03 15:26 |
|
Den Sun, 02 Nov 2003 15:21:10 +0100 skrev Bertel Lund Hansen:
>Kasper Dupont skrev:
>
>>Hvad angår påstanden om, at det er nødvendigt at bryde ind i bankens
>>system er jeg fuldstændig uenig. Det er muligt at misbruge selv
>>Jyske Banks system, hvis blot man kan opnå kontrol over brugerens
>>computer.
>
>Niks.
Jo.
>>Selvom der skal bruges et kodeord fra et nøglekort er der jo ikke
>>nogen stor forhindring.
>
>Jo. Det er engangskoder.
Ja, derfor skal man sørge for at bruge koden til at lave sin egen
overførsel *i stedet for* brugerens overførsel. Ikke til at lave
den bagefter.
>>Du skal bare skrive et program, der venter
>>på, at det bliver indtastet, og først da misbruger det.
>
>En indtastet kode er ubrugelig næste gang. Nøglekortet udskiftes
>automatisk når alle koderne derpå har været benyttet.
Næste gang skal man igen vente på at brugeren indtaster sin kode, inden
man kan lave en ny overførsel.
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Bertel Lund Hansen (02-11-2003)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 02-11-03 15:33 |
|
Kent Friis skrev:
>>Jo. Det er engangskoder.
>Ja, derfor skal man sørge for at bruge koden til at lave sin egen
>overførsel *i stedet for* brugerens overførsel. Ikke til at lave
>den bagefter.
Nå ja, det kan jeg godt se (nu).
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Niels Callesøe (02-11-2003)
| Kommentar Fra : Niels Callesøe |
Dato : 02-11-03 15:27 |
|
Kasper Dupont wrote in <news:3FA4FAC2.21A66696@daimi.au.dk>:
> Selvom der skal bruges et kodeord fra et nøglekort er der jo ikke
> nogen stor forhindring. Du skal bare skrive et program, der venter
> på, at det bliver indtastet, og først da misbruger det. Du skal nok
> også lave et program, der kan efterligne netbanken godt nok, til at
> brugeren ikke opdager, at der bliver udført en anden transaktion,
> end den, han prøvede på at udføre. Alt sammen kan lade sig gøre,
> hvis du har kontrol over offerets computer.
Hvad du siger er ganske vist korrekt, men det vil relativt hurtigt
kunne afsløres. Den pågældende transaktion som du afsporer vil jo ikke
blive gennemført, da du ikke kan skabe ekstra transaktioner uden adgang
til nøglekortet[0]. Brugeren og/eller banken vil derfor hurtigt kunne
fornemme at der er noget der ikke er som det skal være.
[0]: Og dog.. måske kan du narre brugeren til at tro at en transaktion
er fejlet og hun derfor skal prøve igen med en ny kode fra kortet[1].
[1]: Under alle omstændigheder er vi ude i et ret avanceret man-in-the-
middle angreb. Jeg vil ikke mene det er "bare" at skrive et program.
--
Niels Callesøe - nørd light @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Endnu en grund til at have skæg: http://www.boycottgillette.com/
| |
Bertel Lund Hansen (02-11-2003)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 02-11-03 15:35 |
|
Niels Callesøe skrev:
>Hvad du siger er ganske vist korrekt, men det vil relativt hurtigt
>kunne afsløres. Den pågældende transaktion som du afsporer vil jo ikke
>blive gennemført, da du ikke kan skabe ekstra transaktioner uden adgang
>til nøglekortet[0].
Næ, men man skal sørge for at alle operationer udføres inden for
samme session. D.v.s. at først udfører man de transaktioner som
kunden forventer bliver udført, og derefter udfører man sine
svindelnumre.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Niels Callesøe (02-11-2003)
| Kommentar Fra : Niels Callesøe |
Dato : 02-11-03 15:40 |
|
Bertel Lund Hansen wrote in
<news:hc5aqvg1ocbllsbfbra7t7q69fip48u9rl@news.stofanet.dk>:
>>Hvad du siger er ganske vist korrekt, men det vil relativt hurtigt
>>kunne afsløres. Den pågældende transaktion som du afsporer vil jo
>>ikke blive gennemført, da du ikke kan skabe ekstra transaktioner
>>uden adgang til nøglekortet[0].
>
> Næ, men man skal sørge for at alle operationer udføres inden for
> samme session. D.v.s. at først udfører man de transaktioner som
> kunden forventer bliver udført, og derefter udfører man sine
> svindelnumre.
Skal der kun 1 nøgle fra kortet til per session, eller per transaktion?
Hvis det er per session, er det lettere at omgå end jeg forestillede
mig.
Hvis det er per transaktion, er man nød til at overbevise brugeren om
at en nøgle er "gået til spilde" og at det derfor er nødvendigt at
taste en ny, for hver ekstra transaktion man vil indskyde.
--
Niels Callesøe - nørd light @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Endnu en grund til at have skæg: http://www.boycottgillette.com/
| |
Bertel Lund Hansen (02-11-2003)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 02-11-03 16:59 |
|
Niels Callesøe skrev:
>Skal der kun 1 nøgle fra kortet til per session, eller per transaktion?
Ups. Der skal en ny nøgle til at bekræfte hver enkelt
transaktion. Jeg tror faktisk ikke at det kan omgås.
>Hvis det er per transaktion, er man nød til at overbevise brugeren om
>at en nøgle er "gået til spilde" og at det derfor er nødvendigt at
>taste en ny, for hver ekstra transaktion man vil indskyde.
En nøgle kan ikke barre bruges vilkårligt. Bankserveren beder om
en specifik nøgle til bekræftelse af hver transkaktion. En nøgle
har formen:
12 AB 1234
Serveren skriver så: Findes nøglen 12.AB på dit nøglekort? og
giver plads til at man kan indtaste 1234.
Det betyder at en oversprunget nøgle ikke nødvendigvis vil kunne
bruges. Den vil ikke virke før det netop er den systemet spørger
om.
Hele Jyske Banks sikkerhedssystem som det ses af brugeren. Ved
hver nyt spørgsmål om en kode fra nøglekortet er det en ny nøgle
der forlanges:
1) Indtast kundenummer
2) Indtast nøglekortnummer
3) Indtast den fircifrede kode der står ved 12.AB
4) Indtast dit kodeord
Herefter er der adgang til systemet hvor man kan bestille en
transaktion. Når det er gjort står der:
Findes nøgle 34.CD på dit nøglekort?
Ja Indtast den 4 cifrede nøgle der står ved 34.CD
Lidt før alle nøgler har været brugt (og de bruges kun én gang)
kommer der et nyt nøglekort med posten.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Niels Callesøe (02-11-2003)
| Kommentar Fra : Niels Callesøe |
Dato : 02-11-03 17:14 |
|
Bertel Lund Hansen wrote in
<news:tk9aqv4jdlv0tpd4v5sid7b7jrvght6lb4@news.stofanet.dk>:
>>Skal der kun 1 nøgle fra kortet til per session, eller per
>>transaktion?
>
> Ups. Der skal en ny nøgle til at bekræfte hver enkelt
> transaktion. Jeg tror faktisk ikke at det kan omgås.
Det tror jeg så stadig, lad mig prøve at forklare.
>>Hvis det er per transaktion, er man nød til at overbevise brugeren
>>om at en nøgle er "gået til spilde" og at det derfor er nødvendigt
>>at taste en ny, for hver ekstra transaktion man vil indskyde.
>
> En nøgle kan ikke barre bruges vilkårligt. Bankserveren beder om
> en specifik nøgle til bekræftelse af hver transkaktion. En nøgle
> har formen:
>
> 12 AB 1234
[snippelip]
Lad os antage at jeg er en agriber, der har 100% kontrol over brugerens
PC, og har fantastiske evner udi programmring. Der sker så følgende:
-Brugeren åbner mit program. (Brugeren tror det er IE6)
-Brugeren tilgår "sin netbank" (inde bagved, tilgår mit program den
rigtige netbank)
-Brugeren anmoder om en bestemt transaktion. (mit program anmoder
banken om denne transaktion)
-Banken anmoder om en bekræftelseskode fra nøglekortet.
-Mit program anmoder brugeren om denne nøgle, som brugeren så taster.
-Mit program gennemfører transaktionen til banken.
-Mit program siger "rød mand betyder vent" til brugeren
-Mit program anmoder banken om en ny transaktion (overfør 100 millioner
til mig)
-Banken anmoder om en ny nøgle fra kortet
-Mit program fortæller brugeren "beklager. din transaktion er gået til
frokost. du er nød til at indtaste en ny nøgle." og anmoder om den
nøgle banken netop har bedt om.
-Brugeren taster nøglen fra kortet.
-Mit program gennemfører transaktion 2, og viser brugeren bankens
output fra dengang transaktion 1 lige var gennemført.
-Brugeren lukker programmet og går i seng.
Ovenstående er selvfølgelig ren teori, og--vil jeg tro--nærmest
uladsiggørligt i praksis. Men det viser, at den ekstra sikkerhed i
nøglekortet er marginal, ifht klassisk 2-faktor.
--
Niels Callesøe - nørd light @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Endnu en grund til at have skæg: http://www.boycottgillette.com/
| |
Bertel Lund Hansen (02-11-2003)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 02-11-03 17:25 |
|
Niels Callesøe skrev:
>Ovenstående er selvfølgelig ren teori, og--vil jeg tro--nærmest
>uladsiggørligt i praksis. Men det viser, at den ekstra sikkerhed i
>nøglekortet er marginal, ifht klassisk 2-faktor.
Ja, det kan jeg godt se.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Allan Olesen (02-11-2003)
| Kommentar Fra : Allan Olesen |
Dato : 02-11-03 22:53 |
|
"Niels Callesøe" <pfy@nntp.dk> wrote:
>Men det viser, at den ekstra sikkerhed i
>nøglekortet er marginal
"Marginal" er jeg ikke enig i. Ved hjemmecomputere holder den
maaske, men ved offentligt tilgaengelige computere er der en
afgoerende forskel:
I Jyske Bank-tilfaeldet skal der vaere igangsat noget meget
maalrettet software, allerede _foer_ maskinen bruges til
bankforretninger. Og naar brugeren forlader maskinen, er
misbrugsmuligheden forsvundet.
Ved den normale homebanking-model med noeglefiler og password
kan man i foerste omgang noejes med noget meget mere generelt
software, som logger alle brugeres handlinger og kopierer
indholdet fra flytbare medier. Derefter kan man i ro og mag
saette sig ned med dagens hoest og lede efter noegler og
passwords, som man kan misbruge "for evigt".
Det er efter min mening mere end en marginal forskel.
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Niels Callesøe (03-11-2003)
| Kommentar Fra : Niels Callesøe |
Dato : 03-11-03 12:32 |
|
Allan Olesen wrote:
>>Men det viser, at den ekstra sikkerhed i
>>nøglekortet er marginal
>
> "Marginal" er jeg ikke enig i. Ved hjemmecomputere holder den
> maaske,
Fint, så er vi enige så langt som jeg har udtalt mig om. :)
Men lad mig forklare hvorfor jeg brugte udtrykket "marginal" om den
ekstra sikkerhed, selvom nøglekort-modellen ganske sikkert er sværere
at angribe end den klassiske 2-faktor model:
At angribe selv den klassiske model, er både meget svært, meget
ulovligt, og næsten umuligt at anvende i praksis (fordi det ikke er nok
at få overført penge/etc, du må også kunne anvende dem efterfølgende
for at kunne betragtes som en successfuld angriber).
Det kræver derfor en meget resourcestærk og dedikeret angriber for
overhovedet at udgøre en trussel mod et homebankingsystem. Og for den
type angriber, vil den ekstra sikkerhed der ydes med nøglekortet ikke
være en afgørende forhindring.
Når det ikke er en afgørende forhindring, er dets eneste formål at få
angrebet til at tage længere tid, hvilket selvfølgelig ikke er
ligemeget, men betydningen er efter mit skøn... marginal.
--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Anti spam? Bevis det. http://www.spamcon.org/legalfund/
| |
Troels Arvin (03-11-2003)
| Kommentar Fra : Troels Arvin |
Dato : 03-11-03 10:33 |
|
On Sun, 02 Nov 2003 16:13:38 +0000, Niels Callesøe wrote:
[...]
> nærmest
> uladsiggørligt i praksis. Men det viser, at den ekstra sikkerhed i
> nøglekortet er marginal
[...]
Prøv at læse din tekst igen. Formuleringen er selvmodsigende.
--
Greetings from Troels Arvin, Copenhagen, Denmark
| |
Niels Callesøe (03-11-2003)
| Kommentar Fra : Niels Callesøe |
Dato : 03-11-03 12:33 |
| | |
Jesper Louis Anderse~ (03-11-2003)
| Kommentar Fra : Jesper Louis Anderse~ |
Dato : 03-11-03 12:07 |
|
On 02 Nov 2003 16:13:38 GMT, Niels Callesøe <pfy@nntp.dk> wrote:
> Ovenstående er selvfølgelig ren teori, og--vil jeg tro--nærmest
> uladsiggørligt i praksis. Men det viser, at den ekstra sikkerhed i
> nøglekortet er marginal, ifht klassisk 2-faktor.
Vi havde noejagtig samme ide for 2 aar siden. Men der skal virkeligt
goeres et serioest stykke arbejde for at udnytte det.
Jeg vil mene at risikoen er meget mindre ved et system som det Jyske
bank har i forhold hvad mange andre banker har.
--
Jesper
| |
Kasper Dupont (02-11-2003)
| Kommentar Fra : Kasper Dupont |
Dato : 02-11-03 17:16 |
|
"Niels Callesøe" wrote:
>
> Skal der kun 1 nøgle fra kortet til per session, eller per transaktion?
> Hvis det er per session, er det lettere at omgå end jeg forestillede
> mig.
Skal der ikke anvendes en til at logge ind, og derefter en til
hver transaktion? (Det tror jeg nok, jeg har hørt. Men jeg er
ikke sikkert, da jeg ikke selv bruger systemet).
>
> Hvis det er per transaktion, er man nød til at overbevise brugeren om
> at en nøgle er "gået til spilde" og at det derfor er nødvendigt at
> taste en ny, for hver ekstra transaktion man vil indskyde.
Hvis jeg har ret kan man måske holde en session i live og så
udnytte koden der indtastes når brugeren tror der oprettes en
ny session.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
Niels Callesøe (02-11-2003)
| Kommentar Fra : Niels Callesøe |
Dato : 02-11-03 17:18 |
|
Kasper Dupont wrote in <news:3FA52DBA.528B670B@daimi.au.dk>:
>> Hvis det er per transaktion, er man nød til at overbevise
>> brugeren om at en nøgle er "gået til spilde" og at det derfor er
>> nødvendigt at taste en ny, for hver ekstra transaktion man vil
>> indskyde.
>
> Hvis jeg har ret kan man måske holde en session i live og så
> udnytte koden der indtastes når brugeren tror der oprettes en
> ny session.
Ah ja, det er også en mulighed--med mindre der i bankens ende er nogle
sanity-checks der forhindrer dig i at holde en session i live i
timevis. Og mon ikke der er det?
--
Niels Callesøe - nørd light @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Endnu en grund til at have skæg: http://www.boycottgillette.com/
| |
Kasper Dupont (02-11-2003)
| Kommentar Fra : Kasper Dupont |
Dato : 02-11-03 17:13 |
|
"Niels Callesøe" wrote:
>
> Brugeren og/eller banken vil derfor hurtigt kunne
> fornemme at der er noget der ikke er som det skal være.
Muligvis, men hvad nytter det? Brugeren skal såmænd nok opdage
det, når først pengene er væk, uanset hvordan man så end er i
stand til at snuppe dem. Men det skal jo helst stoppes inden
det når så vidt.
>
> [0]: Og dog.. måske kan du narre brugeren til at tro at en transaktion
> er fejlet og hun derfor skal prøve igen med en ny kode fra kortet[1].
Eller få brugeren til at tro, den rigtige transaktion er blevet
gennemført. Med kontrol over brugerens computer kan man jo vise,
hvad brugeren forventer at se. Det er først når brugeren får en
udskrift fra banken uoverensstemmelsen opdages.
> [1]: Under alle omstændigheder er vi ude i et ret avanceret man-in-the-
> middle angreb. Jeg vil ikke mene det er "bare" at skrive et program.
Jeg er fuldt ud enig i, at det er mere besværligt end at bare
inastallere en keylogger. Der kræves et program direkte rettet
mod Jyske Banks system. Det kan til gengæld anvendes mod alle
de Jyske Bank brugere, som ikke har sikret deres egen computer
godt nok.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
Jesper Stocholm (02-11-2003)
| Kommentar Fra : Jesper Stocholm |
Dato : 02-11-03 16:34 |
|
Bertel Lund Hansen wrote :
> Jesper Stocholm skrev:
>
>>Selvfølgelig kan det lade sig gøre - også ved Jyske Bank - det er blot
>>meget sværere hvis man skal bruge noget data til at logge ind med, der
>>ikke ligger på computeren.
>
> Det er jo let nok at skrive.
Jeg må indrømme, at udsagnet "naturligvis kan det lade sig gøre" imo er
af markant højere værdi end udsagn som "da der anvendes engangskoder på
et fysisk kort er det ikke muligt". Udsagn der afviser muligheder er
farlige, da man let lulles i søvn.
>>Hvis der ligger en bagdør på computeren er der principielt ingen
>>grænser for hvad der kan lade sig gøre
>
> Jo. Hvis man skal tømme en privat Jyske Bank-konto, skal man
> hacke både Jyske Banks computer og brugerens computer medmindre
> man er i stand til at hacke brugerens computer samt opsnappe hans
> nøglekort uden at det bliver opdaget før konrtoen er tømt.
Som bla. Kent og Kasper har bemærket, så er idéen at man opsnapper
brugerens engangskode _inden_ den når banken - og forhindrer at banken
modtager den. Man kan i praksis så vise en (falsk) fejlside og bede
brugeren om at logge ind senere, eller man kan lade koden komme til
banken og blot til sidst opsnappe og forhindre brugerens forsøg på at
logge ud - og hefter i fred arbejde med brugerens konto. Det er et ganske
traditionelt "man in the middle"-angreb.
> Det er i praksis så vanskeligt at en kriminel ikke gider arbejde
> på det hvis der ikke ligger store millionbeløb og venter.
Måske, men hvis man kan få nok brugere til at installere programmet, så
kan selv mange bække små gøre en stor å. SoBig viste bla. hvordan det
gøres.
--
Jesper Stocholm
http://stocholm.dk
Give a man a fish and he will have food for a day,
give a man an elephant, and he will have food for a week.
| |
Bertel Lund Hansen (02-11-2003)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 02-11-03 17:15 |
|
Jesper Stocholm skrev:
>Som bla. Kent og Kasper har bemærket
Ja, og jeg faldt for det i et kort tidsrum.
>så er idéen at man opsnapper brugerens engangskode
Banksystemet spørger om en specifik kode fra nøglekortet før man
overhovedet logges ind og igen før hver enkelt transaktion.
Koderne bruges kun én gang, og man får et nyt nøglekort når det
gamles koder alle har været benyttet.
>Det er et ganske traditionelt "man in the middle"-angreb.
Så forklar lige i detaljer hvordan en traditionel man in the
middle får lempet penge ud af min konto hvis han har fjernstyring
og tastelogger på mit system.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Bertel Lund Hansen (02-11-2003)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 02-11-03 17:25 |
| | |
Jesper Stocholm (02-11-2003)
| Kommentar Fra : Jesper Stocholm |
Dato : 02-11-03 17:34 |
|
Bertel Lund Hansen wrote :
> Bertel Lund Hansen skrev:
>
>>Så forklar lige i detaljer ...
>
> Det er ikke nødvendigt. Det har Niels Callesøe gjort.
Ja, det så jeg også.
Jeg vil godt lige understrege, at det sådan set ikke var Jyske Banks
systemer jeg specifikt anklagede for værende usikre - faktisk vil jeg mene
at deres løsning er noget sværere at kompromittere end løsningen fra Danske
Bank eller BasisBank, som jeg benytter til dagligt. Det var udtalelsen om
at man ikke kunne snyde Jyske Banks system pga kortet med koderne, som jeg
stejlede over. Alt for ofte bruges udtryk om "det kan ikke lade sig gøre",
hvor udtrykket burde have været "Det kan gøres - men det er meget svært".
Dette er Niels' eksempel en glimrende illustration af.
--
Jesper Stocholm
http://stocholm.dk
Give a man a fish and he will have food for a day,
give a man an elephant, and he will have food for a week.
| |
Niels Callesøe (02-11-2003)
| Kommentar Fra : Niels Callesøe |
Dato : 02-11-03 18:18 |
|
Jesper Stocholm wrote in
<news:Xns9427B29A94A03stocholmdk@192.38.208.86>:
> Jeg vil godt lige understrege, at det sådan set ikke var Jyske
> Banks systemer jeg specifikt anklagede for værende usikre -
> faktisk vil jeg mene at deres løsning er noget sværere at
> kompromittere end løsningen fra Danske Bank eller BasisBank, som
> jeg benytter til dagligt. Det var udtalelsen om at man ikke kunne
> snyde Jyske Banks system pga kortet med koderne, som jeg stejlede
> over. Alt for ofte bruges udtryk om "det kan ikke lade sig gøre",
> hvor udtrykket burde have været "Det kan gøres - men det er meget
> svært".
Jeg er rørende enig. I samtlige ovenstående punkter (med den
undtagelse, at jeg bruger Nordea og brugte Basisbank[0]).
> Dette er Niels' eksempel en glimrende illustration af.
Tak.
[0]: Det var ikke med min gode vilje jeg flyttede mine forretninger til
Nordea, men det er en helt anden historie der er vældigt offtopic her.
--
Niels Callesøe - nørd light @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Endnu en grund til at have skæg: http://www.boycottgillette.com/
| |
Michel Christensen (01-11-2003)
| Kommentar Fra : Michel Christensen |
Dato : 01-11-03 14:23 |
|
Anders S.. wrote:
> Ikke hvis det er Jyskenetbank, der skal anvennes kodenøgle ( udover
> personnr. og personlig kode) ved login og ved transaktion, kodenøglerne får
> man tilsendt fra banken med 99 nøgler på hvert kort.
Okay, det er jo så praktisk taget umuligt at misbruge.
For mit vedkommende har jeg kun prøvet enkelte bankers løsninger, og de
har alle (teoretisk) kunne brydes på den måde Anders nævnte.
--
Michel Christensen
http://michel.leet.dk
| |
Peter Larsen (01-11-2003)
| Kommentar Fra : Peter Larsen |
Dato : 01-11-03 18:45 |
|
Anders S.. wrote:
> Ikke hvis det er Jyskenetbank, der skal anvennes kodenøgle ( udover
> personnr. og personlig kode) ved login og ved transaktion,
> kodenøglerne får man tilsendt fra banken med 99 nøgler på hvert kort.
/me kigger ned.. der er altså kun 80 på mit? ;)
--
regards, Peter Larsen
| |
Anders S.. (01-11-2003)
| Kommentar Fra : Anders S.. |
Dato : 01-11-03 19:59 |
|
"Peter Larsen" <mail@czar.dk> skrev i en meddelelse
news:3fa3f135$0$95061$edfadb0f@dread11.news.tele.dk...
> Anders S.. wrote:
>
> > Ikke hvis det er Jyskenetbank, der skal anvennes kodenøgle ( udover
> > personnr. og personlig kode) ved login og ved transaktion,
> > kodenøglerne får man tilsendt fra banken med 99 nøgler på hvert kort.
>
> /me kigger ned.. der er altså kun 80 på mit? ;)
Ja du har ret, sorry
MVH
Anders
| |
Troels Arvin (01-11-2003)
| Kommentar Fra : Troels Arvin |
Dato : 01-11-03 12:58 |
|
On Sat, 01 Nov 2003 12:37:01 +0100, anders wrote:
> For nogle år siden kunne det lade sig gøre for en hacker at se
> hvad en bruger lavede på sin computer
Hvis det angrebne system har tilstrækkeligt grimme svagheder eller
angriberen kan lokke den angrebne bruger til at afvikle "ond" software med
tilstrækkeligt store rettigheder, så kan det lade sig gøre, ja.
> Kan hackeren på den måde finde ud af brugerens koder og lign.?
Ja, hvorfor ikke?
Hvis angriberen kan få installeret en keylogger, kan han/hun nok også
få nappet diverse nøgle-filer.
> Og hvis hackeren kan det, er det så ikke meget meget nemt at logge på
> brugerens netbank og tømme kontoen?
Dette er et springende punkt: Hvor hulen skal angriberen overføre pengene
til, uden at han/hun dermed afslører sig?
Bortset fra dette, så har jeg før - og skal gerne igen - hævdet, at
Jyske Netbanks system med éngangskoder gør livet ualmindeligt svært for
angribere, også selvom angriberen skulle have omfattende kontrol over det
angrebne system. De andre netbank-systemers brug af nøglefiler og
dertilhørende password giver jeg ikke så meget for.
--
Greetings from Troels Arvin, Copenhagen, Denmark
| |
Jacob Sparre Anderse~ (02-11-2003)
| Kommentar Fra : Jacob Sparre Anderse~ |
Dato : 02-11-03 13:06 |
|
Troels Arvin skrev:
> Dette er et springende punkt: Hvor hulen skal angriberen overføre pengene
> til, uden at han/hun dermed afslører sig?
Det er desværre ikke så svært som det lyder. Jeg har fået refereret en
sag, hvor et element i den var at forbryderen (der ikke blev fundet)
oprettede en konto i en andens navn, satte en check ind, ventede de tre
dage banken forventer, hævede checken og forsvandt. Det _kan_ godt være
at vores forelæser opfandt sagen, for at illustrere en pointe om
crossede checks [1], men jeg tror den er god nok.
Jacob
1) At de _kan_ overføres til en anden modtager, men _skal_ ind over en
bankkonto for at blive udbetalt.
--
»For there are only two reasons why war is made against a
republic: The one, to become lord over her: the other, the
fear of being occupied by her.« -- Nicolo Machiavelli
| |
Bertel Lund Hansen (02-11-2003)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 02-11-03 17:55 |
|
Jacob Sparre Andersen skrev:
>Det er desværre ikke så svært som det lyder. Jeg har fået refereret en
>sag, hvor et element i den var at forbryderen (der ikke blev fundet)
>oprettede en konto i en andens navn, satte en check ind, ventede de tre
>dage banken forventer, hævede checken og forsvandt. Det _kan_ godt være
>at vores forelæser opfandt sagen, for at illustrere en pointe om
>crossede checks [1], men jeg tror den er god nok.
Der var for nogle år siden en sag med en fyr der kom hjem fra
ferie til en gæld på 2 mio. som han intet kendte til. En bedrager
havde skaffet sig kendskab til hans CPR.nummer og fået udstedt
nyt CPR-bevis, nyt pas og nyt sygesikringskort. Han havde fået
omdirigeret posten til fyren og kort sagt fået fuldstændig
kontrol over hans økonomiske forhold.
At oprette en bankkonto i en andens navn og CPR-nummer er en smal
sag i sammenligning.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Lars B. Dybdahl (01-11-2003)
| Kommentar Fra : Lars B. Dybdahl |
Dato : 01-11-03 14:30 |
|
anders wrote:
> Kan hackeren på den måde finde ud af brugerens koder og lign.?
Ja.
> Og hvis hackeren kan det, er det så ikke meget meget nemt at logge på
> brugerens netbank og tømme kontoen?
Det er ret nemt at snyde et netbank system, men det bliver hulens svært at
skjule, hvor pengene gik hen.
Men grundlæggende så virker dankort, netbank, pengesedler osv. kun, fordi
man akcepterer, at der vil forekomme en vis mængde svindel. Der findes
falske pengesedler, dankorttype og netbank hackere. Kunsten er at undgå, at
man er en af dem, der bliver snydt, samtidigt med at man får de fordele,
som de forskellige teknologier giver.
Det er også farligt at gå over vejen. Så pas på, når du går over vejen.
Lars.
--
GnuPG nøgle: http://dybdahl.dk/lars/gpg/
| |
anders (02-11-2003)
| Kommentar Fra : anders |
Dato : 02-11-03 12:32 |
|
Tak for svarene
Hvordan sikrer jeg mig bedst muligt?
Jævnlig opdatering af antivirusprogram
Jævnlig opdatering af windows
Installering af firewall
Det er sikkert ikke nok, men er det hvad man selv kan gøre for at sikre sig
bedst muligt?
Mvh.
Anders
| |
Kasper Dupont (02-11-2003)
| Kommentar Fra : Kasper Dupont |
Dato : 02-11-03 13:46 |
|
anders wrote:
>
> Tak for svarene
>
> Hvordan sikrer jeg mig bedst muligt?
>
> Jævnlig opdatering af antivirusprogram
> Jævnlig opdatering af windows
> Installering af firewall
Af de tre ting, du nævner, er opdatering af den installerede
software det vigtigste. Desuden er der et par vigtige ting,
du glemmer at nævne:
- Brug dit operativsystems mulighed for at oprette forskellige
brugerID (og brug administratorrettigheder så lidt som
muligt). Jeg har desværre hørt, at implementationen af
brugerID på Windows ikke fungerer særligt godt. Men hvis du
sørger for at det brugerID du kører netbanken under ikke
bliver brugt til andet er du (i hvert fald i teorien) langt
bedre sikret.
- Undgå programmer fra utroværdige kilder.
- Tænk dig om.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
Peder Vendelbo Mikke~ (02-11-2003)
| Kommentar Fra : Peder Vendelbo Mikke~ |
Dato : 02-11-03 22:26 |
|
Kasper Dupont skrev:
> Jeg har desværre hørt, at implementationen af brugerID på Windows
> ikke fungerer særligt godt.
Tænker du på et specifikt problem eller på en specifik udgave af MS-
Windows?
| |
Kasper Dupont (03-11-2003)
| Kommentar Fra : Kasper Dupont |
Dato : 03-11-03 09:13 |
|
Peder Vendelbo Mikkelsen wrote:
>
> Kasper Dupont skrev:
>
> > Jeg har desværre hørt, at implementationen af brugerID på Windows
> > ikke fungerer særligt godt.
>
> Tænker du på et specifikt problem eller på en specifik udgave af MS-
> Windows?
Jeg har læst om en række problemer, men jeg kender ikke detaljerne:
1) En bruger uden administrator privelegier har i praksis for
mange rettigheder, der kan misbruges.
2) For mange dagligdags operationer kræver administrator
privelegier, så det er urealistisk at bruge systemet uden.
3) Der er en design fejl i den message passing API, der bruges til
vindues systemet, hvilket gør det nemt at lave privelege
escalation.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
Peder Vendelbo Mikke~ (03-11-2003)
| Kommentar Fra : Peder Vendelbo Mikke~ |
Dato : 03-11-03 22:17 |
|
Kasper Dupont skrev:
> Peder Vendelbo Mikkelsen wrote:
>> Tænker du på et specifikt problem eller på en specifik udgave af MS-
>> Windows?
> Jeg har læst om en række problemer, men jeg kender ikke detaljerne:
Ok, jeg troede der var sket noget nyt som jeg ikke havde læst om end-
nu.
| |
Troels Arvin (02-11-2003)
| Kommentar Fra : Troels Arvin |
Dato : 02-11-03 15:02 |
|
On Sun, 02 Nov 2003 12:32:14 +0100, anders wrote:
> Jævnlig opdatering af antivirusprogram
> Jævnlig opdatering af windows
> Installering af firewall
Opdatering af software er godt. Firewall og antivirus bør kun overvejes,
når andre, mere virkningsfulde forhåndsregler er i brug:
- Undlad at udføre dagligdags IT-handlinger (såsom
e-mail læsning, browsing, tekstbehandling) med
administrator-rettigheder.
- Lukning af system-services, der ikke benyttes, særligt
services, der lytter på netværk.
- Afinstallation af ikke benyttet software, om muligt.
Resterende software installeres og holdes up-to-date
fra troværdige distributionskanaler (pas fx. på med
piratsoftware).
- Benyttelse af software, som hackere ikke gider at skrive
orme til (hint: Er fx. Outlook mon virkelig det eneste
saliggørende - måske et andet, mindre udbredt e-mail
program kunne være lige så godt?).
--
Greetings from Troels Arvin, Copenhagen, Denmark
| |
Peder Vendelbo Mikke~ (02-11-2003)
| Kommentar Fra : Peder Vendelbo Mikke~ |
Dato : 02-11-03 22:41 |
|
Troels Arvin skrev:
> - Benyttelse af software, som hackere ikke gider at skrive
> orme til (hint: Er fx. Outlook mon virkelig det eneste
> saliggørende - måske et andet, mindre udbredt e-mail
> program kunne være lige så godt?).
Og hvis de nuværende mindre udbredte program bliver udbredt, så skifter
man til et nyt program igen?
Har man egentlig ikke tabt, man har i alt fald blot udskudt problemet,
hvis man giver op på den måde?
Thunderbird ser mere og mere lovende ud, det skal nok blive udbredt,
det betyder nok at nogle finder tid og lyst til at finde huller i pro-
grammet.
Kender du andre alternativer, måske endda oversat til dansk, som virker
på MS-Windows?
En anden løsning hvis man vil anvende Outlook, var at opsætte program-
met ordenligt og sørge for at holde det opdateret.
Der ligger bunker af informationer på MS websider og venter på at blive
læst og reageret på, det virker som om flere og flere informationer
bliver oversat til dansk:
http://www.microsoft.dk/sikkerhed
| |
Troels Arvin (03-11-2003)
| Kommentar Fra : Troels Arvin |
Dato : 03-11-03 10:31 |
|
On Sun, 02 Nov 2003 22:41:00 +0100, Peder Vendelbo Mikkelsen wrote:
>> - Benyttelse af software, som hackere ikke gider at skrive
>> orme til (hint: Er fx. Outlook mon virkelig det eneste saliggørende
>> - måske et andet, mindre udbredt e-mail program kunne være lige
>> så godt?).
>
> Og hvis de nuværende mindre udbredte program bliver udbredt, så
> skifter man til et nyt program igen?
Udbredelsen er absolut en vigtig parameter, men nok ikke den eneste, der
afgør, om hackere gider at skrive exploits; om det er let at skrive
exploits og/eller exploits kan få ønsket virkning må også være
parametre.
Under alle omstændigheder: Hvis det produkt, man bruger, begynder at
opbygge en grim sikkerhedshistorik, så kigger man sig om efter et
alternativ. Det burde være logisk.
Outlook har en grim sikkerhedshistorie, integrerer alverdens scripting og
systemfunktioner og er samtidig meget udbredt. Dermed bliver den et meget
attraktiv mål for virus-skribenter. Og dermed burde det give en stor
sikkerhedsmæssig effekt at afinstallere Outlook og benytte et andet
stykke software i stedet. Af uforståelige grunde er det dog en
kætterisk tanke for nogle.
> Har man egentlig ikke tabt, man har i alt fald blot udskudt problemet,
> hvis man giver op på den måde?
Man har tabt, hvis man ikke prøver at være opmærksom på alternativer
til det software, man p.t. bruger - særligt hvis der er bøvl med det
aktuelt benyttede software.
> Kender du andre alternativer, måske endda oversat til dansk, som virker
> på MS-Windows?
Du stiller krav om sprog og styresystem; da bliver mulighederne nok lidt
begrænsede. Måske Eudora, Notes eller Mozilla/Thunderbird, som du selv
nævner?
> Der ligger bunker af informationer på MS websider og venter på at
> blive læst og reageret på, det virker som om flere og flere
> informationer bliver oversat til dansk:
>
> http://www.microsoft.dk/sikkerhed
Prøv at gå ind på deres "10 gode råd om netsikkerhed". Den virker
godtnok ikke ordentligt i Mozilla, men ud fra overskrifterne dumper den.
Hvis den er udtryk for sitets generelle kvalitet, synes jeg ikke at sitet
er tiden værd.
--
Greetings from Troels Arvin, Copenhagen, Denmark
| |
Bertel Lund Hansen (02-11-2003)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 02-11-03 13:16 |
|
anders skrev:
>Jeg kender ikke vildt meget til pc'ere når det handler om sikkerhed. For
>nogle år siden kunne det lade sig gøre for en hacker at se hvad en bruger
>lavede på sin computer
Hvis en hacker først får installeret en bagdør på en computer, er
der ingen grænser for havd han kan få adgang til af oplysninger
der ligger på computeren eller fodres ind i den f.eks. via
tastaturet.
>Kan hackeren på den måde finde ud af brugerens koder og lign.?
Ja. Jeg har nogle programmer der husker nogle kodeord. De ligger
derfor på min computer, men de er krypterede (dog ikke stærkt).
Det ville altså kræve at hackeren knækkede eller kendte denne
kryptering før han ville kunne bruge dem til noget.
>Og hvis hackeren kan det, er det så ikke meget meget nemt at logge på
>brugerens netbank og tømme kontoen?
Jo, ved mange former for netbank vil det være muligt.
Men hvis han ikke har en bagdør på computeren, kan han ingenting.
En computer kan sættes op så den slet ikke kan angribes via
internettet.
Så længe man kan stå ved en terminal i en butik og samle boner op
med tilstrækkelige oplysninger på til at man kan udnytte folks
dankort, er der ingen grund til at makke med komplekse
fjernstyringsprogrammer på internettet.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
|
|