/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Nemid phishet - 8 bankkunder frastjålet pe~
Fra : Axel Hammerschmidt


Dato : 29-09-11 09:32

Så skete det:

http://www.version2.dk/artikel/nemid-phishing-nordea-netbank-otte-
kunder-31480

Kort link:

http://tinyurl.com/3dfcjub

Det tyder på Man-in-the-middle angreb.

Mange i kommentarerne går fra, at forbindelsen er en sikker
forbindelse og at de så ikke er muligt for de kriminelle at opsnappe
oplysningeren.

Det behøver det ikke at være.

Har de kriminelle lavet en hjemmeside der ligner Nordea's behøver
forbindelsen mellem den og offeret ikke være krypteret. Det er i så
fald nødvendigt for at angrebet lykkes, at offeret ikke bemærker
dette, og behøver ikke være tilfældet.

Forbindelsen fra den kriminelle (videre) til banken er selvfølgelig
krypteret.


--
Banned from Version2.dk for writing a Firesheep script.

 
 
Axel Hammerschmidt (29-09-2011)
Kommentar
Fra : Axel Hammerschmidt


Dato : 29-09-11 11:22

Axel Hammerschmidt:

Der gik kludder i formuleringerne. Her kommer nogle rettelser.

<snip>

> Det tyder på Man-in-the-middle angreb.
>
> Mange i kommentarerne går fra, at forbindelsen er en sikker
> forbindelse og at de så ikke er muligt for de kriminelle at
> opsnappe oplysningeren.

"Mange i kommentarerne går fra, at forbindelsen *vil være* en sikker
forbindelse og at *det* så ikke er muligt for de kriminelle at
opsnappe *oplysningerne*."

> Det behøver det ikke at være.
>
> Har de kriminelle lavet en hjemmeside der ligner Nordea's behøver
> forbindelsen mellem den og offeret ikke være krypteret. Det er i så
> fald nødvendigt for at angrebet lykkes, at offeret ikke bemærker
> dette, og behøver ikke være tilfældet.

"Har de kriminelle lavet en hjemmeside der ligner Nordea's *så*
behøver forbindelsen mellem *denne* og offeret ikke være krypteret.
Det er i så fald nødvendigt for at angrebet lykkes, at offeret ikke
bemærker dette, og *det* behøver ikke være tilfældet."

(Offeret er åbenlyst ikke it-kyndigt, eftersom offeret klikker på et
link i en spam-mail)

> Forbindelsen fra den kriminelle (videre) til banken er selvfølgelig
> krypteret.


--
Banned from Version2.dk for writing a Firesheep script.

Ivan V. Klattrup (29-09-2011)
Kommentar
Fra : Ivan V. Klattrup


Dato : 29-09-11 13:05

Axel Hammerschmidt skrev:

>(Offeret er åbenlyst ikke it-kyndigt, eftersom offeret klikker på et
>link i en spam-mail)

Og har heller ikke læst(eller i hvert fald ikke forstået den) den aftale
som person(erne) har indgået med banken.

--
Ivan V. Klattrup
http://klattrup.dk

Rune Jensen (02-10-2011)
Kommentar
Fra : Rune Jensen


Dato : 02-10-11 04:29

On 29 Sep., 12:21, Axel Hammerschmidt <hl...@hotmail.com> wrote:

> (Offeret er åbenlyst ikke it-kyndigt, eftersom offeret klikker på et
> link i en spam-mail)

"Offeret" er notorisk windowsbruger.

Det siger vel alt om kendskab til sikkerhed.


MVH
Rune Jensen

Kim Ludvigsen (02-10-2011)
Kommentar
Fra : Kim Ludvigsen


Dato : 02-10-11 12:25

Rune Jensen skrev:
> On 29 Sep., 12:21, Axel Hammerschmidt<hl...@hotmail.com> wrote:
>
>> (Offeret er åbenlyst ikke it-kyndigt, eftersom offeret klikker på et
>> link i en spam-mail)
>
> "Offeret" er notorisk windowsbruger.

Hvor ser du det henne? Det står ikke i artiklen. Jeg vil da
gerne vide, hvis du har nærmere oplysninger, eller om du
bare gætter.

--
Mvh. Kim Ludvigsen
Undgå virus og andet snavs på computeren:
http://pc-sikkerhed.dk

Axel Hammerschmidt (02-10-2011)
Kommentar
Fra : Axel Hammerschmidt


Dato : 02-10-11 19:51

Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:

> Rune Jensen skrev:
>
> > On 29 Sep., 12:21, Axel Hammerschmidt<hl...@hotmail.com> wrote:
> >
> >> (Offeret er åbenlyst ikke it-kyndigt, eftersom offeret klikker på et
> >> link i en spam-mail)
> >
> > "Offeret" er notorisk windowsbruger.
>
> Hvor ser du det henne? Det står ikke i artiklen. Jeg vil da
> gerne vide, hvis du har nærmere oplysninger, eller om du
> bare gætter.

Jeg vil tro, at Nemid virker på samme måde i alle OS. Er det ikke det
der er ideen med Java?


--
Ikke ham på Facebook.

Kent Friis (02-10-2011)
Kommentar
Fra : Kent Friis


Dato : 02-10-11 22:09

Den Sun, 2 Oct 2011 20:51:25 +0200 skrev Axel Hammerschmidt:
> Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:
>
>> Rune Jensen skrev:
>>
>> > On 29 Sep., 12:21, Axel Hammerschmidt<hl...@hotmail.com> wrote:
>> >
>> >> (Offeret er åbenlyst ikke it-kyndigt, eftersom offeret klikker på et
>> >> link i en spam-mail)
>> >
>> > "Offeret" er notorisk windowsbruger.
>>
>> Hvor ser du det henne? Det står ikke i artiklen. Jeg vil da
>> gerne vide, hvis du har nærmere oplysninger, eller om du
>> bare gætter.
>
> Jeg vil tro, at Nemid virker på samme måde i alle OS. Er det ikke det
> der er ideen med Java?

NemID applet'en er ikke brugt til narre brugerne. Det er en mail,
kombineret med brugerens manglende evne til at tænke "er det her nu
smart?"

Den slags brugere bliver hurtigt trætte af Linux, hvor man end ikke
bliver spurgt "er du sikker", inden man overskriver filsystemet.

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

Tommy (03-10-2011)
Kommentar
Fra : Tommy


Dato : 03-10-11 21:58

On 29-09-2011 12:21, Axel Hammerschmidt wrote:
> "Har de kriminelle lavet en hjemmeside der ligner Nordea's *så*
> behøver forbindelsen mellem*denne* og offeret ikke være krypteret.
> Det er i så fald nødvendigt for at angrebet lykkes, at offeret ikke
> bemærker dette, og*det* behøver ikke være tilfældet."

Selv om det kriterie er udfyldt så er der jo stadig langt til at
angriberen også får kendskab til koden fra nøglekortet og man fristes
til at se i retning af at angriberen har opsnappet trafikken fra banken
for at snappe det.

Det er muligt I har diskuteret det, jeg har ikke læst alle indlæg
igennem, men måske er det i virkeligheden meget simpelt og underminerer
NemID's sikkerhed. jeg syntes i hvert fald at følgende udtalelse fra
artiklen bør få advarslerne frem:

<spørgsmål>
Vil det kunne ske igen?

<svar>
»Ja, det vil kunne ske igen, hvis folk reagerer på phishing-mails.
Derfor er det meget vigtigt at understrege, at man aldrig skal give sin
adgangskode eller NemID-nøglekort til nogen som helst,« siger Jette Knudsen.
<slut>


Hvis det, at en fishingmail i sig selv, er nok til at gentage det
såkaldte angreb, så har de da et gigantproblem, for det betyder jo at
nøglekortet reelt er værdiløst.

Jeg forestiller mig følgende scenarie som de ikke ønsker at tale for
meget om:

1 - offeret bider på, klikker på linket og indtaster brugernavn og kode.
2 - angriberen er klar og logger med det samme på nem-id og får det 4
cifrede nummer.
3 - hans pseudoside er programeret til at simulere at brugerens side
loader lidt langsomt
4 - Han bruger den tid til at indtaste de 4 cifre på den næste side han
viser for offeret, han er evt. nødt til at lave et billede med de 4
cifre påskrevet i feltet.
5 - Offeret finder nu sin kode og skriver den i det falske felt

- og vupti, der kan logges på netbanken med den rigtigt genererede kode

Hvis det er muligt er det i hvert fald meget svært for Nem-ID at gardere
sig imod.

Mcwm (03-10-2011)
Kommentar
Fra : Mcwm


Dato : 03-10-11 22:21

Den 03-10-2011 22:58, Tommy skrev:
> Hvis det er muligt er det i hvert fald meget svært for Nem-ID at gardere
> sig imod
Bortset fra - hvis det foregår som hos Jyskebank - at der skal en kode
til HVER operation du ønsker at udføre derefter. Det vil sige at
samtlige skærmbilleder, frem til og med overførslen, skal genereres og
en ny nøglekode skal lokkes fra brugeren.

Så det giver;

BrugerID
Adgangskode
Nøglekode

Så er der logget ind.

Nu skal brugeren klikke sig vej gennem de for brugeren ønskede menuer,
for at lave overførsel. Når overførslen er indtastet, skal der lige
bruges en nøglekode igen.

Alternativt kan man så bede brugeren indtaste to på hinanden følgende
nøgler, men der burde man have fattet mistanke, trods alt

Venligst
Mcwm

Axel Hammerschmidt (04-10-2011)
Kommentar
Fra : Axel Hammerschmidt


Dato : 04-10-11 07:44

Mcwm <me@home.invalid> wrote:

> Den 03-10-2011 22:58, Tommy skrev:
>
> > Hvis det er muligt er det i hvert fald meget svært for Nem-ID at gardere
> > sig imod
>
> Bortset fra - hvis det foregår som hos Jyskebank - at der skal en kode
> til HVER operation du ønsker at udføre derefter. Det vil sige at
> samtlige skærmbilleder, frem til og med overførslen, skal genereres og
> en ny nøglekode skal lokkes fra brugeren.

Men det vil ikke forhindre et man-in-the-middle angreb.

Den eneste måde jeg tror man kan forhindre det, er at benytte 2
computere og lave 2 logon.

Ideen er, at der er "skidt" - et root kit eller tastaturlogger - som
kunne være der på den ene computer.

Første gang bestiller man betalingsoverførslen og logger af uden at
godkende dem.

Anden gang logger man på med en anden computer, checker bestillingerne
og først da godkender man dem. Man bestiller ikke nogen overførsel denne
gang.

Det svarer lidt til det forslag der har været med at benytte en
kombination af en computer og en mobiltelefon.

Det er så lige meget om "skidtet" ligger på den ene eller anden "dims".

Danske Netbank havde noget der lignende Jyske Banks metode med deres
lille "lommeregner". Problemet er, at i mellemtiden så er Danske Bank
gået bort fra den metode og bruger nu Nemid's metode.

Har Jyske Bank da beholdt deres metode?

Jeg osse kender godt Jyske Bank's metode, men det er længe siden jeg har
logget på der.


--
Ikke ham på Facebook.

Kim Ludvigsen (04-10-2011)
Kommentar
Fra : Kim Ludvigsen


Dato : 04-10-11 07:59

Axel Hammerschmidt skrev:
> Mcwm<me@home.invalid> wrote:
>>
>> Bortset fra - hvis det foregår som hos Jyskebank - at der skal en kode
>> til HVER operation du ønsker at udføre derefter. Det vil sige at
>> samtlige skærmbilleder, frem til og med overførslen, skal genereres og
>> en ny nøglekode skal lokkes fra brugeren.
>
> Men det vil ikke forhindre et man-in-the-middle angreb.

Det vil gøre det betydeligt sværere. I praksis nok noget nær
umuligt. Den benyttede metode i de aktuelle sager ville nok
ikke være mulig, da der ville opstå alt for store forsinkelser.

> Den eneste måde jeg tror man kan forhindre det, er at benytte 2
> computere og lave 2 logon.

Man skal vægte risiko med brugervenlighed. Når de fleste
banker har valgt at benytte kun én kode, skyldes det nok, at
man har vurderet, at risikoen ikke er så stor, og man sparer
vel også lidt penge på udsendelse af nøglekort.

Personligt håber jeg ikke, at de aktuelle sager får bankerne
til at ændre politik, det er drønirriterende at skulle finde
numrene frem.

--
Mvh. Kim Ludvigsen
Undgå virus og andet snavs på computeren:
http://pc-sikkerhed.dk

Mcwm (04-10-2011)
Kommentar
Fra : Mcwm


Dato : 04-10-11 09:39

Den 04-10-2011 08:59, Kim Ludvigsen skrev:
> Personligt håber jeg ikke, at de aktuelle sager får bankerne til at
> ændre politik, det er drønirriterende at skulle finde numrene frem.
Hvorfor man må forvente en vis fremtid for deres "nye dims"


http://www.dinepenge.dk/bank/snart-kan-du-slippe-nemid-papkortet

Venligst
Mcwm

Kim Ludvigsen (04-10-2011)
Kommentar
Fra : Kim Ludvigsen


Dato : 04-10-11 10:09

Mcwm skrev:
> Den 04-10-2011 08:59, Kim Ludvigsen skrev:

>> det er drønirriterende at skulle finde numrene frem.
> Hvorfor man må forvente en vis fremtid for deres "nye dims"

Tja, jeg har ikke lyst til at rende rundt med en ekstra dims
- hvilket også omfatter en mobiltelefon. men for de fleste
andre vil det sikkert være en fin løsning i stedet for
papkortet.

--
Mvh. Kim Ludvigsen
Hold din drømmeferie i Thailand. Find tips og info på:
http://rejse-til-thailand.dk

Kent Friis (04-10-2011)
Kommentar
Fra : Kent Friis


Dato : 04-10-11 16:53

Den Tue, 04 Oct 2011 10:39:13 +0200 skrev Mcwm:
> Den 04-10-2011 08:59, Kim Ludvigsen skrev:
>> Personligt håber jeg ikke, at de aktuelle sager får bankerne til at
>> ændre politik, det er drønirriterende at skulle finde numrene frem.
> Hvorfor man må forvente en vis fremtid for deres "nye dims"
>
>
> http://www.dinepenge.dk/bank/snart-kan-du-slippe-nemid-papkortet

Hvad er forskellen på den og et papkort, hvad angår et angreb der
blot bruger de indtastede koder til noget andet end hvad brugeren
ser på skærmen?

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

Mcwm (04-10-2011)
Kommentar
Fra : Mcwm


Dato : 04-10-11 22:58

Den 04-10-2011 17:52, Kent Friis skrev:
> Hvad er forskellen på den og et papkort
Hvis du læser igen, går min kommentar udelukkende på at KL ikke orker at
finde numre frem. "det er drønirriterende at skulle finde numrene frem".

Det er lettere med den.

Venligst
Mcwm

Kent Friis (05-10-2011)
Kommentar
Fra : Kent Friis


Dato : 05-10-11 17:27

Den Tue, 04 Oct 2011 23:58:21 +0200 skrev Mcwm:
> Den 04-10-2011 17:52, Kent Friis skrev:
>> Hvad er forskellen på den og et papkort
> Hvis du læser igen, går min kommentar udelukkende på at KL ikke orker at
> finde numre frem. "det er drønirriterende at skulle finde numrene frem".
>
> Det er lettere med den.

Den fylder mere, og må derfor forventes at være længere væk når man
skal finde numrene frem.

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

Mcwm (05-10-2011)
Kommentar
Fra : Mcwm


Dato : 05-10-11 20:10

Den 05-10-2011 18:27, Kent Friis skrev:
> Den fylder mere, og må derfor forventes at være længere væk når man
> skal finde numrene frem.
I en nøglering passer den nok fint og fylder mindre end en mobil, så mon
ikke den trods alt har en fremtid hos en del

Venligst
Mcwm

Tommy (04-10-2011)
Kommentar
Fra : Tommy


Dato : 04-10-11 10:12

On 04-10-2011 08:59, Kim Ludvigsen wrote:
> Personligt håber jeg ikke, at de aktuelle sager får bankerne til at
> ændre politik, det er drønirriterende at skulle finde numrene frem.

Nej det håber jeg godt nok heller ikke, det vil måske også være
urimeligt at nogle meget få ikke-tænkende mennesker skal forårsage så
meget besvær for alle andre.

En kombination af en installeret nøgle og et nøglekort/token kunne måske
gøre det så tæt på umuligt som muligt, men det vil så stavnsbinde os til
hjemmepc'en eller disketten igen.

Kent Friis (04-10-2011)
Kommentar
Fra : Kent Friis


Dato : 04-10-11 16:55

Den Tue, 04 Oct 2011 11:11:57 +0200 skrev Tommy:
> On 04-10-2011 08:59, Kim Ludvigsen wrote:
>> Personligt håber jeg ikke, at de aktuelle sager får bankerne til at
>> ændre politik, det er drønirriterende at skulle finde numrene frem.
>
> Nej det håber jeg godt nok heller ikke, det vil måske også være
> urimeligt at nogle meget få ikke-tænkende mennesker skal forårsage så
> meget besvær for alle andre.
>
> En kombination af en installeret nøgle og et nøglekort/token kunne måske
> gøre det så tæt på umuligt som muligt, men det vil så stavnsbinde os til
> hjemmepc'en eller disketten igen.

Hvis du bruger en PC du ikke har kontrol over, har du INGEN mulighed
for at sikre dig at det er banken/NemID du er connected til.

Du udsætter derfor dig selv for samme risiko som dem du kalder
"ikke-tænkende mennesker".

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

Tommy (04-10-2011)
Kommentar
Fra : Tommy


Dato : 04-10-11 17:56

On 04-10-2011 17:54, Kent Friis wrote:
> Hvis du bruger en PC du ikke har kontrol over, har du INGEN mulighed
> for at sikre dig at det er banken/NemID du er connected til.
>
> Du udsætter derfor dig selv for samme risiko som dem du kalder
> "ikke-tænkende mennesker".

Jamen det har du sikkert ret i, men nu vælger jeg at forholde mig til
det tråden startede med og ikke alle mulige infektioner. Det er da klart
at det ville være en anden sag hvis det var lykkedes at installere en
keylogger eller andet på pc'en.

Kent Friis (04-10-2011)
Kommentar
Fra : Kent Friis


Dato : 04-10-11 18:20

Den Tue, 04 Oct 2011 18:56:23 +0200 skrev Tommy:
> On 04-10-2011 17:54, Kent Friis wrote:
>> Hvis du bruger en PC du ikke har kontrol over, har du INGEN mulighed
>> for at sikre dig at det er banken/NemID du er connected til.
>>
>> Du udsætter derfor dig selv for samme risiko som dem du kalder
>> "ikke-tænkende mennesker".
>
> Jamen det har du sikkert ret i, men nu vælger jeg at forholde mig til
> det tråden startede med og ikke alle mulige infektioner.

Det var dig selv der begyndte at snakke om fordelen ved ikke at være
begrænset til sin egen PC.

> Det er da klart
> at det ville være en anden sag hvis det var lykkedes at installere en
> keylogger eller andet på pc'en.

Hvilket er særdeles nemt hvis du benytter en PC du ikke har kontrol
over.

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

Tommy (04-10-2011)
Kommentar
Fra : Tommy


Dato : 04-10-11 19:25

On 04-10-2011 19:19, Kent Friis wrote:
> Det var dig selv der begyndte at snakke om fordelen ved ikke at være
> begrænset til sin egen PC.

Ja, det har du selvfølgelig ret i, men her forudsatte jeg at computeren
ikke er inficeret og det fortsat handlede om muligheden for at "fishe"
brugerens oplysninger.

Men det er da naturligvis en anden svaghed ved Nem ID at brugeren af
netbanken tilskyndes til at kunne logge på fra alle andre pc'er end sin
egen. Personligt vil jeg aldrig logge på fra en computer som jeg ikke
ved om er, eller har været, kompromiteret.

Kent Friis (04-10-2011)
Kommentar
Fra : Kent Friis


Dato : 04-10-11 20:48

Den Tue, 04 Oct 2011 20:24:37 +0200 skrev Tommy:
> On 04-10-2011 19:19, Kent Friis wrote:
>> Det var dig selv der begyndte at snakke om fordelen ved ikke at være
>> begrænset til sin egen PC.
>
> Ja, det har du selvfølgelig ret i, men her forudsatte jeg at computeren
> ikke er inficeret

Den forudsætning kræver at du har fuld kontrol over PC'en.

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

Edmund (07-10-2011)
Kommentar
Fra : Edmund


Dato : 07-10-11 18:45

Den 04-10-2011 08:59, Kim Ludvigsen skrev:

> Personligt håber jeg ikke, at de aktuelle sager får bankerne til at
> ændre politik, det er drøn irriterende at skulle finde numrene frem.

Ja, mega irriterende, hjemme har jeg scannet kortet, og lagt det i en
lille krypteret txtfil.

--
Mvh Edmund

Mcwm (04-10-2011)
Kommentar
Fra : Mcwm


Dato : 04-10-11 09:34

Den 04-10-2011 08:44, Axel Hammerschmidt skrev:
> Har Jyske Bank da beholdt deres metode?
Ja, Jyskebank har valgt at fortsætte som hidtil. Eneste forskel er, at
det nu er med "andres" nøglekort.

Mit postulat er, det vil være umuligt at komme igennem med en falsk
overførsel, idet du - hvis du ikke aktivt lokker nøglen fra brugeren i
realtime - ikke vil kunne forudse, hvilken nøgle der bedes indtastet.

En bruger der - må vi antage - ikke er så stiv i brugen, vil ikke kunne
forventes at klikke de forventede steder, hvorfor en person der vil
udnytte systemet, vil have endog meget svært ved at forudse hændelserne
i forsøget på at franarre nøglekoder.

Venligst
Mcwm

Tommy (04-10-2011)
Kommentar
Fra : Tommy


Dato : 04-10-11 10:08

On 04-10-2011 10:33, Mcwm wrote:
> Mit postulat er, det vil være umuligt at komme igennem med en falsk
> overførsel, idet du - hvis du ikke aktivt lokker nøglen fra brugeren i
> realtime - ikke vil kunne forudse, hvilken nøgle der bedes indtastet.

Men det er jo netop det der må forventes at være sket i disse tilfælde
og som Nem ID får vanskeligt ved at gardere sig imod. Det kan vel
sammenlignes med et gammeldags bankrøveri, desto mere bankerne sikrede
deres institutter mod indbrud ved hjælp af låse og alarmer, desto mere
måtte de kriminelle benytte sig af "Real time" røverier mens banken var
åben.

Selv om vi nu får mulighed for et token system til at logge på banken
med, så vil the man in the middle jo stadig kunne narre brugeren til at
indtaste det der står på nøglen - hvis han ellers er hurtig nok. Min
egen token til arbejdspladsen skifter hver 2. minut, det burde være tid
nok til at få logget på medmindre brugeren venter til "sidste streg"

Nu ved jeg så ikke hvordan Nem ID's token kommer til at virke.

Måske må man bare erkende at fishing er næsten umuligt at gardere sig
imod hvis brugerne er fatsvage nok til at hoppe på - uanset OS og
sikkerhedsforanstaltninger.

Mcwm (04-10-2011)
Kommentar
Fra : Mcwm


Dato : 04-10-11 22:56

Den 04-10-2011 11:07, Tommy skrev:
> Men det er jo netop det der må forventes
Havde du læst mit tidligere indlæg, fremgår det at jeg udtaler mig om
fremgangsmåden i Jyskebank. Brugernavn og password, samt en nøgle for
blot at logge ind. Derefter en ny nøgle for hver ordre du ønsker at
udføre på din konto.

At genererer skærmbilleder for brugeren, som er troværdige, uden på
forhånd at vide hvor brugeren evt. vælger at navigere hen.

Det var vist ikke det der var foregået, vel?

Venligst
Mcwm

Axel Hammerschmidt (04-10-2011)
Kommentar
Fra : Axel Hammerschmidt


Dato : 04-10-11 07:44

Tommy <fjern_tdhansen@stofanet.dk> wrote:

> On 29-09-2011 12:21, Axel Hammerschmidt wrote:
>
> > "Har de kriminelle lavet en hjemmeside der ligner Nordea's *så*
> > behøver forbindelsen mellem*denne* og offeret ikke være krypteret.
> > Det er i så fald nødvendigt for at angrebet lykkes, at offeret ikke
> > bemærker dette, og*det* behøver ikke være tilfældet."
>
> Selv om det kriterie er udfyldt så er der jo stadig langt til at
> angriberen også får kendskab til koden fra nøglekortet og man fristes
> til at se i retning af at angriberen har opsnappet trafikken fra banken
> for at snappe det.

Nej, sådan virker et man-in-the-middle ikke. Og forbindelsen til bankens
system vil være krypteret.

Version2 har i en senere artikel beskrevet den metode, som jeg bekrev.

<http://www.version2.dk/artikel/saadan-lokkede-kriminelle-nemid-logons-f
ra-8-nordea-kunder-31536>

Kort link:

http://tinyurl.com/6gagfhn


--
Ikke ham på Facebook.

Kent Friis (04-10-2011)
Kommentar
Fra : Kent Friis


Dato : 04-10-11 16:50

Den Mon, 03 Oct 2011 22:58:12 +0200 skrev Tommy:
> On 29-09-2011 12:21, Axel Hammerschmidt wrote:
>> "Har de kriminelle lavet en hjemmeside der ligner Nordea's *så*
>> behøver forbindelsen mellem*denne* og offeret ikke være krypteret.
>> Det er i så fald nødvendigt for at angrebet lykkes, at offeret ikke
>> bemærker dette, og*det* behøver ikke være tilfældet."
>
> 1 - offeret bider på, klikker på linket og indtaster brugernavn og kode.
> 2 - angriberen er klar og logger med det samme på nem-id og får det 4
> cifrede nummer.
> 3 - hans pseudoside er programeret til at simulere at brugerens side
> loader lidt langsomt
> 4 - Han bruger den tid til at indtaste de 4 cifre på den næste side han
> viser for offeret, han er evt. nødt til at lave et billede med de 4
> cifre påskrevet i feltet.
> 5 - Offeret finder nu sin kode og skriver den i det falske felt
>
> - og vupti, der kan logges på netbanken med den rigtigt genererede kode
>
> Hvis det er muligt er det i hvert fald meget svært for Nem-ID at gardere
> sig imod.

Det lyder ikke helt forkert. Bort set fra at du forventer at
angriberen gør det manuelt. Processen skal nok være automatiseret, så
svartiden i punkt 3 ikke er meget længere end svartiden ved normal
brug.

Og ja, det er et kendt problem ved papkorts-løsningen, det er flere år
siden vi første gang diskuterede et sådant angreb her i gruppen, inden
NemID begyndte på samme løsning.

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

Armand (28-10-2011)
Kommentar
Fra : Armand


Dato : 28-10-11 18:38

Den 29-09-2011 12:21, Axel Hammerschmidt skrev:
>
> (Offeret er åbenlyst ikke it-kyndigt, eftersom offeret klikker på et
> link i en spam-mail)
>
Phishing-mail, må det nødvendigvis være!

--
Armand.

Kent Friis (29-09-2011)
Kommentar
Fra : Kent Friis


Dato : 29-09-11 16:15

Den 29 Sep 2011 08:31:38 GMT skrev Axel Hammerschmidt:
> Så skete det:
>
> http://www.version2.dk/artikel/nemid-phishing-nordea-netbank-otte-
> kunder-31480
>
> Kort link:
>
> http://tinyurl.com/3dfcjub
>
> Det tyder på Man-in-the-middle angreb.
>
> Mange i kommentarerne går fra, at forbindelsen er en sikker
> forbindelse og at de så ikke er muligt for de kriminelle at opsnappe
> oplysningeren.
>
> Det behøver det ikke at være.
>
> Har de kriminelle lavet en hjemmeside der ligner Nordea's behøver
> forbindelsen mellem den og offeret ikke være krypteret. Det er i så
> fald nødvendigt for at angrebet lykkes, at offeret ikke bemærker
> dette, og behøver ikke være tilfældet.
>
> Forbindelsen fra den kriminelle (videre) til banken er selvfølgelig
> krypteret.

Ikke noget nyt i denne sag i forhold til en vi diskuterede for
lang tid siden fra enten no eller se, hvor den pågældende bank
(jeg tror faktisk det var Nordea) bruge en papkorts-løsning som
den DanID valgte.

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

Rune Jensen (02-10-2011)
Kommentar
Fra : Rune Jensen


Dato : 02-10-11 04:19

On 29 Sep., 10:31, Axel Hammerschmidt <hl...@hotmail.com> wrote:
> Så skete det:
>
> http://www.version2.dk/artikel/nemid-phishing-nordea-netbank-otte-
> kunder-31480
>
> Kort link:
>
> http://tinyurl.com/3dfcjub
>
> Det tyder på Man-in-the-middle angreb.
>
> Mange i kommentarerne går fra, at forbindelsen er en sikker
> forbindelse og at de så ikke er muligt for de kriminelle at opsnappe
> oplysningeren.
>
> Det behøver det ikke at være.
>
> Har de kriminelle lavet en hjemmeside der ligner Nordea's behøver
> forbindelsen mellem den og offeret ikke være krypteret. Det er i så

Den er her, jeg fik den på Hotmail - sjovt nok kom den ikke i antispam
fra MS, (men det er jeg så vant til at MS har elendigt sikkerhed)

"
Kære kunde, Nordea

Denne e-mail bekræfter, at du har oprettet en ny
Password og vælg den hemmelige spørgsmål
Til din konto.

Hvis du ikke foretager disse ændringer, det link
Nedenfor og få adgang til dine kontooplysninger
At bekræfte, at du ikke er i øjeblikket fraværende.
Du har 24 timer eller din konto vil blive låst.

Klik her for at bekræfte din konto

Tak
"

Det første jeg lægger mærke til, er den ubehjælpsomme formulering, som
er så tydeligt en Google-oversættelse, som det absoolut KAN være. Og
at de ikke tiltaler mig personligt (de må jo kende mit navn, når jeg
er kunde).

Det er dårligt oversat, og ord, som vi ikke skriver med stort, er
skrevet med stort i denne mail, samt de bruger en og et forkert. Så
det er formentlig oversat fra tysk (bl.a. Password). Folk kan klart
nok IKKE forestille sig, at en bank vil tjekke deres breve for fejl -
nej vel.

Det andet jeg sådan lige så, var da jeg hovede over linket.
http:// www . ongedinfo . com / templates/rhuk_milkyway / Nordea1.htm?
jfgfg8745454444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444


....interessant adresse - ikk?

Det er ikke ligefrem nordea.dk. Til gengæld, så antyder template, at
det er en selvbygger phishing-side. Ret smart. Og domainet antyder tab
af info også.

Men ellers, så følger den slavisk alle andre phishing mails. som der
har været siden slutningen af halvfemserne. Der er endda også det med
at man skal skynde sig, samt en elendig undskyldning for det.

Utroligt, nogen kan hoppe på den, fatter det simpelthen bare ikke, at
folk er så snotdumme. Men det er også med ganske stor sikkerhed
windowsbrugere, som er blevet snydt, de smider generelt hjernen langt
væk når de sættter sig ved en computer.

Efter min mening har de selv fortjent det, og de skulle aldrig
nogensinde have haft nogensomhelst erstatning, når de kan falde for
sådan noget amatør. Når det er SÅ nemt at snyde folk, så fortjener de
simpelthen at blive snydt.

Værste er, at jeg som kunde i Nordea skal være med til at betale til
sådan nogle idioter, som er pisseligeglad med sikkerhed.


MVH
Rune Jensen

Erik Olsen (02-10-2011)
Kommentar
Fra : Erik Olsen


Dato : 02-10-11 11:28

Rune Jensen wrote:

> Utroligt, nogen kan hoppe på den, fatter det simpelthen bare ikke, at
> folk er så snotdumme. Men det er også med ganske stor sikkerhed
> windowsbrugere, som er blevet snydt, de smider generelt hjernen langt
> væk når de sættter sig ved en computer.

Rune, hvorfor antager du at Windowsbrugere generelt er snotdumme?

--
Venlig hilsen/Best regards
Erik Olsen


Axel Hammerschmidt (02-10-2011)
Kommentar
Fra : Axel Hammerschmidt


Dato : 02-10-11 19:51

Rune Jensen <runeofdenmark@gmail.com> wrote:

<snip>

> Men ellers, så følger den slavisk alle andre phishing mails. som der
> har været siden slutningen af halvfemserne. Der er endda også det med
> at man skal skynde sig, samt en elendig undskyldning for det.
>
> Utroligt, nogen kan hoppe på den, fatter det simpelthen bare ikke, at
> folk er så snotdumme. Men det er også med ganske stor sikkerhed
> windowsbrugere, som er blevet snydt, de smider generelt hjernen langt
> væk når de sættter sig ved en computer.

Err? Det angreb (man-in-the-middle) virker da lige så godt med Linux, OS
X og et hvilket som helst andet OS med Java, osse en smartphone.


--
Ikke ham på Facebook.

Kent Friis (02-10-2011)
Kommentar
Fra : Kent Friis


Dato : 02-10-11 22:12

Den Sun, 2 Oct 2011 20:51:25 +0200 skrev Axel Hammerschmidt:
> Rune Jensen <runeofdenmark@gmail.com> wrote:
>
> <snip>
>
>> Men ellers, så følger den slavisk alle andre phishing mails. som der
>> har været siden slutningen af halvfemserne. Der er endda også det med
>> at man skal skynde sig, samt en elendig undskyldning for det.
>>
>> Utroligt, nogen kan hoppe på den, fatter det simpelthen bare ikke, at
>> folk er så snotdumme. Men det er også med ganske stor sikkerhed
>> windowsbrugere, som er blevet snydt, de smider generelt hjernen langt
>> væk når de sættter sig ved en computer.
>
> Err? Det angreb (man-in-the-middle) virker da lige så godt med Linux, OS
> X og et hvilket som helst andet OS med Java, osse en smartphone.

Hvor mange indlæg fra Rune har du læst, uden at opdage at det er
Windows-BRUGERNE han snakker om?

De samme folk ville gøre lige så meget skade på Linux, hvis ikke det
var for de ville opgive inden de nåede så langt (mange af dem allerede
når de hører ordet "Linux").

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

Axel Hammerschmidt (03-10-2011)
Kommentar
Fra : Axel Hammerschmidt


Dato : 03-10-11 08:07

Kent Friis <nospam@nospam.invalid> wrote:

> Den Sun, 2 Oct 2011 20:51:25 +0200 skrev Axel Hammerschmidt:
>
> > Rune Jensen <runeofdenmark@gmail.com> wrote:
> >
> > <snip>
> >
> >> Men ellers, så følger den slavisk alle andre phishing mails. som der
> >> har været siden slutningen af halvfemserne. Der er endda også det med
> >> at man skal skynde sig, samt en elendig undskyldning for det.
> >>
> >> Utroligt, nogen kan hoppe på den, fatter det simpelthen bare ikke, at
> >> folk er så snotdumme. Men det er også med ganske stor sikkerhed
> >> windowsbrugere, som er blevet snydt, de smider generelt hjernen langt
> >> væk når de sættter sig ved en computer.
> >
> > Err? Det angreb (man-in-the-middle) virker da lige så godt med Linux, OS
> > X og et hvilket som helst andet OS med Java, osse en smartphone.
>
> Hvor mange indlæg fra Rune har du læst, uden at opdage at det er
> Windows-BRUGERNE han snakker om?

Jeg forholder mig slet ikke til det spørgsmål. Ellers er jeg stort set
enig i Rune Jensens analyse ang sikkerheden i Windows.


--
Ikke ham på Facebook.

Kent Friis (03-10-2011)
Kommentar
Fra : Kent Friis


Dato : 03-10-11 16:37

Den Mon, 3 Oct 2011 09:07:22 +0200 skrev Axel Hammerschmidt:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>> Den Sun, 2 Oct 2011 20:51:25 +0200 skrev Axel Hammerschmidt:
>>
>> > Rune Jensen <runeofdenmark@gmail.com> wrote:
>> >
>> > <snip>
>> >
>> >> Men ellers, så følger den slavisk alle andre phishing mails. som der
>> >> har været siden slutningen af halvfemserne. Der er endda også det med
>> >> at man skal skynde sig, samt en elendig undskyldning for det.
>> >>
>> >> Utroligt, nogen kan hoppe på den, fatter det simpelthen bare ikke, at
>> >> folk er så snotdumme. Men det er også med ganske stor sikkerhed
>> >> windowsbrugere, som er blevet snydt, de smider generelt hjernen langt
>> >> væk når de sættter sig ved en computer.
>> >
>> > Err? Det angreb (man-in-the-middle) virker da lige så godt med Linux, OS
>> > X og et hvilket som helst andet OS med Java, osse en smartphone.
>>
>> Hvor mange indlæg fra Rune har du læst, uden at opdage at det er
>> Windows-BRUGERNE han snakker om?
>
> Jeg forholder mig slet ikke til det spørgsmål.

Hvad mener du helt præcist med "Err?", hvis du slet ikke forholder dig
til det manden skriver?

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

Rune Jensen (02-10-2011)
Kommentar
Fra : Rune Jensen


Dato : 02-10-11 04:53

On 2 Okt., 12:28, "Erik Olsen" <erik.ol...@ishoejby.dk> wrote:
> Rune Jensen wrote:
> > Utroligt, nogen kan hoppe p den, fatter det simpelthen bare ikke, at
> > folk er s snotdumme. Men det er ogs med ganske stor sikkerhed
> > windowsbrugere, som er blevet snydt, de smider generelt hjernen langt
> > v k n r de s ttter sig ved en computer.
>
> Rune, hvorfor antager du at Windowsbrugere generelt er snotdumme?

Fordi det kun er windowsbrugere, som ikke kan finde ud af at lave
ekstra kontier og bruge whitelists?

Fordi det altid er windowsbrugere, som slår sikkerheden fra i deres
OS? Som f.eks. UAC?

Fordi det altid er windowsbrugere som skal reinstallere pga. virus -
aldrig andre?

Fordi windowsbrugere _tror_, at fordi de har AV installeret så kan de
klikke hvor de vil?

Det er en helt fundamental forskel i, hvordan en linuxbruger opdrages
(og _tro_ mig, når du lander i et linux-forum, så er det første du
lærer _ikke_ at logge ind som root) - ifht. hvordan MS kommunikerer
sikkerhed til _deres_ brugere (I skal ikke tænke, det sørger Microsoft
for).

Ved det faktum, at allerede ved starten af ens linuxkarriere, da lærer
man om go' sikkerhed, fordi det har høj bevågenhed i alle linuxforums/
communities, så får man også opbygget gode vaner. Det sker ikke på
windows, fordi windows er tvunget til at operere efter laveste
fællesnævner (den som ved allermindst), hvilket igen betyder, at
brugerne helst ikke må tænke selv. Derfor er windowsbrugere også
dårligere til sikkerhed.


MVH
Rune Jensen

Erik Olsen (02-10-2011)
Kommentar
Fra : Erik Olsen


Dato : 02-10-11 11:55

Rune Jensen wrote:
> On 2 Okt., 12:28, "Erik Olsen" <erik.ol...@ishoejby.dk> wrote:
>> Rune Jensen wrote:
>>> Utroligt, nogen kan hoppe p den, fatter det simpelthen bare ikke, at
>>> folk er s snotdumme. Men det er ogs med ganske stor sikkerhed
>>> windowsbrugere, som er blevet snydt, de smider generelt hjernen
>>> langt v k n r de s ttter sig ved en computer.
>>
>> Rune, hvorfor antager du at Windowsbrugere generelt er snotdumme?
>
> Fordi det kun er windowsbrugere, som ikke kan finde ud af at lave
> ekstra kontier og bruge whitelists?
>
> Fordi det altid er windowsbrugere, som slår sikkerheden fra i deres
> OS? Som f.eks. UAC?
>
> Fordi det altid er windowsbrugere som skal reinstallere pga. virus -
> aldrig andre?
>
> Fordi windowsbrugere _tror_, at fordi de har AV installeret så kan de
> klikke hvor de vil?

*Alle* Windowsbrugere?

--
Venlig hilsen/Best regards
Erik Olsen


Kent Friis (02-10-2011)
Kommentar
Fra : Kent Friis


Dato : 02-10-11 12:09

Den Sun, 2 Oct 2011 12:55:16 +0200 skrev Erik Olsen:
> Rune Jensen wrote:
>> On 2 Okt., 12:28, "Erik Olsen" <erik.ol...@ishoejby.dk> wrote:
>>> Rune Jensen wrote:
>>>> Utroligt, nogen kan hoppe p den, fatter det simpelthen bare ikke, at
>>>> folk er s snotdumme. Men det er ogs med ganske stor sikkerhed
>>>> windowsbrugere, som er blevet snydt, de smider generelt hjernen
>>>> langt v k n r de s ttter sig ved en computer.
>>>
>>> Rune, hvorfor antager du at Windowsbrugere generelt er snotdumme?
>>
>> Fordi det kun er windowsbrugere, som ikke kan finde ud af at lave
>> ekstra kontier og bruge whitelists?
>>
>> Fordi det altid er windowsbrugere, som slår sikkerheden fra i deres
>> OS? Som f.eks. UAC?
>>
>> Fordi det altid er windowsbrugere som skal reinstallere pga. virus -
>> aldrig andre?
>>
>> Fordi windowsbrugere _tror_, at fordi de har AV installeret så kan de
>> klikke hvor de vil?
>
> *Alle* Windowsbrugere?

Det skrev han ikke.

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

Erik Olsen (02-10-2011)
Kommentar
Fra : Erik Olsen


Dato : 02-10-11 12:12

Kent Friis wrote:
> Den Sun, 2 Oct 2011 12:55:16 +0200 skrev Erik Olsen:
>> Rune Jensen wrote:
>>> On 2 Okt., 12:28, "Erik Olsen" <erik.ol...@ishoejby.dk> wrote:
>>>> Rune Jensen wrote:
>>>>> Utroligt, nogen kan hoppe p den, fatter det simpelthen bare ikke,
>>>>> at folk er s snotdumme. Men det er ogs med ganske stor sikkerhed
>>>>> windowsbrugere, som er blevet snydt, de smider generelt hjernen
>>>>> langt v k n r de s ttter sig ved en computer.
>>>>
>>>> Rune, hvorfor antager du at Windowsbrugere generelt er snotdumme?
>>>
>>> Fordi det kun er windowsbrugere, som ikke kan finde ud af at lave
>>> ekstra kontier og bruge whitelists?
>>>
>>> Fordi det altid er windowsbrugere, som slår sikkerheden fra i deres
>>> OS? Som f.eks. UAC?
>>>
>>> Fordi det altid er windowsbrugere som skal reinstallere pga. virus -
>>> aldrig andre?
>>>
>>> Fordi windowsbrugere _tror_, at fordi de har AV installeret så kan
>>> de klikke hvor de vil?
>>
>> *Alle* Windowsbrugere?
>
> Det skrev han ikke.

>>>> Men det er ogs med ganske stor sikkerhed
>>>> windowsbrugere, som er blevet snydt, de smider generelt hjernen
>>>> langt væk når de sættter sig ved en computer.

Bemærk "generelt", dvs. der er tale om en generalisering.

--
Venlig hilsen/Best regards
Erik Olsen


Kent Friis (02-10-2011)
Kommentar
Fra : Kent Friis


Dato : 02-10-11 12:47

Den Sun, 2 Oct 2011 13:12:06 +0200 skrev Erik Olsen:
> Kent Friis wrote:
>> Den Sun, 2 Oct 2011 12:55:16 +0200 skrev Erik Olsen:
>>> Rune Jensen wrote:
>>>> On 2 Okt., 12:28, "Erik Olsen" <erik.ol...@ishoejby.dk> wrote:
>>>>> Rune Jensen wrote:
>>>>>> Utroligt, nogen kan hoppe p den, fatter det simpelthen bare ikke,
>>>>>> at folk er s snotdumme. Men det er ogs med ganske stor sikkerhed
>>>>>> windowsbrugere, som er blevet snydt, de smider generelt hjernen
>>>>>> langt v k n r de s ttter sig ved en computer.
>>>>>
>>>>> Rune, hvorfor antager du at Windowsbrugere generelt er snotdumme?
>>>>
>>>> Fordi det kun er windowsbrugere, som ikke kan finde ud af at lave
>>>> ekstra kontier og bruge whitelists?
>>>>
>>>> Fordi det altid er windowsbrugere, som slår sikkerheden fra i deres
>>>> OS? Som f.eks. UAC?
>>>>
>>>> Fordi det altid er windowsbrugere som skal reinstallere pga. virus -
>>>> aldrig andre?
>>>>
>>>> Fordi windowsbrugere _tror_, at fordi de har AV installeret så kan
>>>> de klikke hvor de vil?
>>>
>>> *Alle* Windowsbrugere?
>>
>> Det skrev han ikke.
>
>>>>> Men det er ogs med ganske stor sikkerhed
>>>>> windowsbrugere, som er blevet snydt, de smider generelt hjernen
>>>>> langt væk når de sættter sig ved en computer.
>
> Bemærk "generelt", dvs. der er tale om en generalisering.

Hvis jeg nu siger at "80% er lavt sat", så passer det fint med
"generelt", samtidig med at det ikke er alle.

(Nej, jeg har ikke talt dem. Det var et eksempel).

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

Erik Olsen (02-10-2011)
Kommentar
Fra : Erik Olsen


Dato : 02-10-11 12:57

Kent Friis wrote:

> Hvis jeg nu siger at "80% er lavt sat", så passer det fint med
> "generelt", samtidig med at det ikke er alle.

Prøv med et danskkursus.

--
Venlig hilsen/Best regards
Erik Olsen


Gamle (02-10-2011)
Kommentar
Fra : Gamle


Dato : 02-10-11 17:11


"Rune Jensen" <runeofdenmark@gmail.com> skrev i en meddelelse
news:87c44e0f-b55a-41e2-a381-0256dace98bd@dk6g2000vbb.googlegroups.com...
Fordi det kun er windowsbrugere, som ikke kan finde ud af at lave
ekstra kontier og bruge whitelists?

Til gengæld kender vi forskel på ental og flertal.
Til din oplysning er konti flertalsbetegnelsen for konto og ikke kontier som
du skriver.
Du skulle lige have den over næsen pga. dine bemærkninger om o s
windowsbrugere.
Ville normalt ikke have reageret på det.

/Torben




Rune Jensen (02-10-2011)
Kommentar
Fra : Rune Jensen


Dato : 02-10-11 05:12

On 2 Okt., 12:55, "Erik Olsen" <erik.ol...@ishoejby.dk> wrote:

> *Alle* Windowsbrugere?

I min omgangskreds er jeg den eneste, som bruger Linux. Der er EN
eneste person, som faktisk ved hvad sikkerhed er i andelen af
windowsbrugere. Og det er ikke fordi MS har fortalt om det, det er
nedarvet til denne del af familien, at man ikke tage alt for gode
varer.

Ud af alle disse windowsbrugere (minus den ene) har alle haft virus,
alle har klikket på "sjove" mails, hvilket jeg ved, fordi jeg har set
de infectede systemer, og jeg har modtaget spam fra dem (som kommer
fordi de har malware installeret).

Jeg er da heller ikke bleg for at indrømme, at da jeg selv brugte
windows, da var sikkerhed noget med at geninstallere efter et
virusangreb. Og så ellers en gratis AV til at tage det værste. Det er
netop dette, som er standarden for windowsbrugere. De hader f.eks.
også UAC, som ellers er til for at beskytte dem (selv om det er en ren
parodi på Linux password prompt).

Jeg lærte om kontoers betydning i Linux user groups og forums. IKKE af
windows brugere, for det har de generelt ikke forstand på. Måske fordi
windows aldrig har været andet end single user, men kontoer er en stor
del af ens sikkerhedsopdragelse, som man så misser på windows.

Hvis jeg vil vide noget om sikkerhed, så spørger jeg ikke en med
forstand på windows. Det ville være ret meningsløst.


MVH
Rune Jensen

Erik Olsen (02-10-2011)
Kommentar
Fra : Erik Olsen


Dato : 02-10-11 12:27

Rune Jensen wrote:
> On 2 Okt., 12:55, "Erik Olsen" <erik.ol...@ishoejby.dk> wrote:
>
>> *Alle* Windowsbrugere?
>
> I min omgangskreds er jeg den eneste, som bruger Linux. Der er EN
> eneste person, som faktisk ved hvad sikkerhed er i andelen af
> windowsbrugere. Og det er ikke fordi MS har fortalt om det, det er
> nedarvet til denne del af familien, at man ikke tage alt for gode
> varer.
>
> Ud af alle disse windowsbrugere (minus den ene) har alle haft virus,
> alle har klikket på "sjove" mails, hvilket jeg ved, fordi jeg har set
> de infectede systemer, og jeg har modtaget spam fra dem (som kommer
> fordi de har malware installeret).

Du kender med andre ord ikke mange Windows-brugere, kun dem der er i din
omgangskreds. Deraf udleder du at Windows-brugere generelt optræder
sikkerhedsmæssigt uforsvarligt.

> Jeg er da heller ikke bleg for at indrømme, at da jeg selv brugte
> windows, da var sikkerhed noget med at geninstallere efter et
> virusangreb. Og så ellers en gratis AV til at tage det værste. Det er
> netop dette, som er standarden for windowsbrugere. De hader f.eks.
> også UAC, som ellers er til for at beskytte dem (selv om det er en ren
> parodi på Linux password prompt).

Igen siger det kun noget om dig selv og dine erfaringer med
Windows-brugere. Det kan ikke danne grundlag for en generalisering om
Windows-brugere.

Det er da muligt at jeg selv er en usædvanlig Windows-bruger, for jeg
har aldrig måttet reinstallere pga. virus, og de eksempler på
Windowsbrugeradfærd som du nævner, kender jeg ikke.

Men jeg kender heller ikke ret mange Linux-brugere, og jeg skal nok vare
mig for at generalisere over Linux-brugere.

--
Venlig hilsen/Best regards
Erik Olsen


Kent Friis (02-10-2011)
Kommentar
Fra : Kent Friis


Dato : 02-10-11 12:44

Den Sun, 2 Oct 2011 04:11:38 -0700 (PDT) skrev Rune Jensen:
>
> De hader f.eks.
> også UAC, som ellers er til for at beskytte dem (selv om det er en ren
> parodi på Linux password prompt).

Det er måske fordi den netop er en parodi...

Den virker mere som om den er designet til at lære folk at clicke
allow lige så automatisk som de har lært at clicke ok.

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

Rune Jensen (02-10-2011)
Kommentar
Fra : Rune Jensen


Dato : 02-10-11 05:50

On 2 Okt., 13:27, "Erik Olsen" <erik.ol...@ishoejby.dk> wrote:

> Du kender med andre ord ikke mange Windows-brugere, kun dem der er i din
> omgangskreds.

Det er også rigeligt til at lave en kvalificeret statistik. Og nu
kender du jo så intet til min omgangskreds, så...


MVH
Rune jensen

Erik Olsen (02-10-2011)
Kommentar
Fra : Erik Olsen


Dato : 02-10-11 12:57

Rune Jensen wrote:
> On 2 Okt., 13:27, "Erik Olsen" <erik.ol...@ishoejby.dk> wrote:
>
>> Du kender med andre ord ikke mange Windows-brugere, kun dem der er i
>> din omgangskreds.
>
> Det er også rigeligt til at lave en kvalificeret statistik. Og nu
> kender du jo så intet til min omgangskreds, så...

Jeg kender en hel del Wondows-brugere, flest i firmasammenhæng. Jeg har
ikke de samme erfaringer som du giver udtryk for. Min erfaring er at der
er meget stor forskel på Windows-brugere. Derfor forarger dine
generaliseringer mig.

--
Venlig hilsen/Best regards
Erik Olsen


Rune Jensen (02-10-2011)
Kommentar
Fra : Rune Jensen


Dato : 02-10-11 06:44

On 2 Okt., 13:57, "Erik Olsen" <erik.ol...@ishoejby.dk> wrote:
> Kent Friis wrote:
> > Hvis jeg nu siger at "80% er lavt sat", så passer det fint med
> > "generelt", samtidig med at det ikke er alle.
>
> Prøv med et danskkursus.

Hvis man punker andre for stavefejl og bruger det som argument i en
diskussion, beviser det, at man ikke HAR nogle modargumenter.

Det burde du som gammel usenetrotte jo sådan set vide.

Personligt synes jeg det er plat at trække fokus væk på den måde..Du
plejer at være mere seriøs end det. Jeg vil hellere have rigtige
argumenter.


MVH
Rune Jensen

Erik Olsen (02-10-2011)
Kommentar
Fra : Erik Olsen


Dato : 02-10-11 13:53

Rune Jensen wrote:
> On 2 Okt., 13:57, "Erik Olsen" <erik.ol...@ishoejby.dk> wrote:
>> Kent Friis wrote:
>>> Hvis jeg nu siger at "80% er lavt sat", så passer det fint med
>>> "generelt", samtidig med at det ikke er alle.
>>
>> Prøv med et danskkursus.
>
> Hvis man punker andre for stavefejl og bruger det som argument i en
> diskussion, beviser det, at man ikke HAR nogle modargumenter.
>
> Det burde du som gammel usenetrotte jo sådan set vide.
>
> Personligt synes jeg det er plat at trække fokus væk på den måde..Du
> plejer at være mere seriøs end det. Jeg vil hellere have rigtige
> argumenter.

Jeg punker ikke Kent for stavefejl, men for forståelsesfejl.

Jeg kunne aldrig finde på at punke nogen for stavefejl, og jeg mener da
heller ikke Kent har begået nogen stavefejl i sine indlæg, i hvert fald
ingen jeg har opdaget.

For dit eget vedkommende, hvad ligner det at afspore debatten med falske
anklager? Har du ikke mere relevant at sige om dine generelle
beskyldninger mod Windows-brugere?

--
Venlig hilsen/Best regards
Erik Olsen


Kent Friis (02-10-2011)
Kommentar
Fra : Kent Friis


Dato : 02-10-11 21:39

Den Sun, 2 Oct 2011 14:53:26 +0200 skrev Erik Olsen:
> Rune Jensen wrote:
>> On 2 Okt., 13:57, "Erik Olsen" <erik.ol...@ishoejby.dk> wrote:
>>> Kent Friis wrote:
>>>> Hvis jeg nu siger at "80% er lavt sat", så passer det fint med
>>>> "generelt", samtidig med at det ikke er alle.
>>>
>>> Prøv med et danskkursus.
>>
>> Hvis man punker andre for stavefejl og bruger det som argument i en
>> diskussion, beviser det, at man ikke HAR nogle modargumenter.
>>
>> Det burde du som gammel usenetrotte jo sådan set vide.
>>
>> Personligt synes jeg det er plat at trække fokus væk på den måde..Du
>> plejer at være mere seriøs end det. Jeg vil hellere have rigtige
>> argumenter.
>
> Jeg punker ikke Kent for stavefejl, men for forståelsesfejl.

Så må vi jo høre Rune om jeg har forstået hans argument om "generelt"
korrekt.

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

Rune Jensen (02-10-2011)
Kommentar
Fra : Rune Jensen


Dato : 02-10-11 07:42

On 2 Okt., 14:53, "Erik Olsen" <erik.ol...@ishoejby.dk> wrote:
> Rune Jensen wrote:
> > On 2 Okt., 13:57, "Erik Olsen" <erik.ol...@ishoejby.dk> wrote:
> >> Kent Friis wrote:
> >>> Hvis jeg nu siger at "80% er lavt sat", s passer det fint med
> >>> "generelt", samtidig med at det ikke er alle.
>
> >> Pr v med et danskkursus.
>
> > Hvis man punker andre for stavefejl og bruger det som argument i en
> > diskussion, beviser det, at man ikke HAR nogle modargumenter.
>
> > Det burde du som gammel usenetrotte jo s dan set vide.
>
> > Personligt synes jeg det er plat at tr kke fokus v k p den m de..Du
> > plejer at v re mere seri s end det. Jeg vil hellere have rigtige
> > argumenter.
>
> Jeg punker ikke Kent for stavefejl, men for forst elsesfejl.
>
> Jeg kunne aldrig finde p at punke nogen for stavefejl, og jeg mener da
> heller ikke Kent har beg et nogen stavefejl i sine indl g, i hvert fald
> ingen jeg har opdaget.
>
> For dit eget vedkommende, hvad ligner det at afspore debatten med falske
> anklager? Har du ikke mere relevant at sige om dine generelle
> beskyldninger mod Windows-brugere?

Du kan ikke lide mine argumenter - fint nok. Men det er og har altid
været sådan, at windows er for dem, som "ved mindre om teknik" end
andre. Sådan er det bare.

Og det er OSet så bygget til,,nærmere bestemt, det er tilpasset
laveste fællesnævner - den som ved allermindst.

Det er ganske almindelig fakta, som man bl.a. kan se i, at så mange
slår UAC fra på windows "fordi det generer". Alene det, at det faktisk
kan lade sig gøre at disable sikkerhed, det siger jo noget om
"modellen".

Hele windows security model er bygget på brugervenlighed - ikke på
sikkerhed, og fred være med det. Men det SLÅR igennem på brugernes
viden, at de er vant til, at Microsoft tænker for dem.

At du ikke kan lide fakta, ændrer ikke fakta.

--
Rune Jensen

Erik Olsen (02-10-2011)
Kommentar
Fra : Erik Olsen


Dato : 02-10-11 15:16

Rune Jensen wrote:

> Du kan ikke lide mine argumenter - fint nok. Men det er og har altid
> været sådan, at windows er for dem, som "ved mindre om teknik" end
> andre. Sådan er det bare.
>
> Og det er OSet så bygget til,,nærmere bestemt, det er tilpasset
> laveste fællesnævner - den som ved allermindst.
>
> Det er ganske almindelig fakta, som man bl.a. kan se i, at så mange
> slår UAC fra på windows "fordi det generer". Alene det, at det faktisk
> kan lade sig gøre at disable sikkerhed, det siger jo noget om
> "modellen".
>
> Hele windows security model er bygget på brugervenlighed - ikke på
> sikkerhed, og fred være med det. Men det SLÅR igennem på brugernes
> viden, at de er vant til, at Microsoft tænker for dem.
>
> At du ikke kan lide fakta, ændrer ikke fakta.

At du ikke anerkender at Windows-brugere er forskellige, synes jeg er
groft diskriminerende.

--
Venlig hilsen/Best regards
Erik Olsen


Rune Jensen (02-10-2011)
Kommentar
Fra : Rune Jensen


Dato : 02-10-11 08:29

On 2 Okt., 13:56, "Erik Olsen" <erik.ol...@ishoejby.dk> wrote:
> Rune Jensen wrote:
> > On 2 Okt., 13:27, "Erik Olsen" <erik.ol...@ishoejby.dk> wrote:
>
> >> Du kender med andre ord ikke mange Windows-brugere, kun dem der er i
> >> din omgangskreds.
>
> > Det er ogs rigeligt til at lave en kvalificeret statistik. Og nu
> > kender du jo s intet til min omgangskreds, s ...
>
> Jeg kender en hel del Wondows-brugere, flest i firmasammenh ng. Jeg har
> ikke de samme erfaringer som du giver udtryk for. Min erfaring er at der
> er meget stor forskel p Windows-brugere. Derfor forarger dine
> generaliseringer mig.

Det er der sådan set ikke. Langt størstedelen er "tech noobs", som er
hammer nemme at snyde, fordi de er vant til, at OSet tænker for dem.
Det er også dem, som OSet er rettet imod.

Dem, som kan være et problem er dem, som også har haft fingrene i
servere, for så _kan_ de evt. kende lidt til sikkerhed. Men i så fald
er windows nok heller ikke det eneste, de har rørt ved.

Sikkerhed har bare højere prioritet på *nix som en model for selve
OSet, derfor er der heller ikke noget underligt i, at dets brugere
også er mere sikkerhedsmindede.

Microsoft begyndte at implementere sikkerhed omkring 2007. Det er ret
sent, når de har lavet OSet i mere end 10 år. Det betyder også, at
folk ikke er vant til sikkerhed, og at det tager lang tid før folk
vænner sig til, de skal tage hensyn til sikkerhed, fordi det går ud
over brugervenligheden.

Samme problem har linux ikke, da man allerede fra start har lavet en
veldokumenteret sikkerhedsmodel, som OSet er bygget på, så den har
alle nærmest kendt altid.

--
Rune Jensen

Kent Friis (02-10-2011)
Kommentar
Fra : Kent Friis


Dato : 02-10-11 21:54

Den Sun, 2 Oct 2011 07:28:40 -0700 (PDT) skrev Rune Jensen:
>
> Microsoft begyndte at implementere sikkerhed omkring 2007. Det er ret
> sent, når de har lavet OSet i mere end 10 år.

Ikke korrekt. De begyndte at _prioritere_ sikkerhed.

NT-kernen i sig selv var fornuftig skruet sammen lige fra starten
(NT 3.5 og 3.51), med blandt andet ACL's, som giver mulighed for
at sætte filsystemet meget mere restriktivt op end *nix "user, group,
other" model.

Hvad man så smed ovenpå var ud fra hvad der var mest brugervenligt
(hvis man skal skal enable noget, kræver det at brugeren ved det,
hvis det er enablet som default men man ikke har brug for det, er
det kun et potentielt sikkerhedshul. Og kvaliteten af NT-serien faldt
da også kraftigt indtil XP, hvor det begyndte at gå opad igen.

> Det betyder også, at folk ikke er vant til sikkerhed,

Det skyldes så mere at folk kom fra DOS-baseret Windows, og NT-baseret
Windows kun var interessant for firmaer. Først med XP lykkedes det
at lokke folk over, selvom man forsøgte allerede med Windows 2000.
(Win ME blev hastet igennem fordi folk ikke hoppede på Windows 2000
som planlagt, resultatet blev derefter).

> og at det tager lang tid før folk
> vænner sig til, de skal tage hensyn til sikkerhed, fordi det går ud
> over brugervenligheden.
>
> Samme problem har linux ikke, da man allerede fra start har lavet en
> veldokumenteret sikkerhedsmodel, som OSet er bygget på, så den har
> alle nærmest kendt altid.

Det hjælper altså også en hel del at man i Linux ikke følser sig
begrænset af sikkerheden.

I Windows kan man ofte ikke engang installere et spil uden at være
administrator - eller endda spille det. I Linux har jeg ofte installeret
spil som alm. bruger. Fx Loki Installer foreslår helt automatisk at
installere under $HOME hvis man ikke har adgang til /usr/local.

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

Axel Hammerschmidt (03-10-2011)
Kommentar
Fra : Axel Hammerschmidt


Dato : 03-10-11 08:07

Kent Friis <nospam@nospam.invalid> wrote:

<snip>

> NT-kernen i sig selv var fornuftig skruet sammen lige fra starten
> (NT 3.5 og 3.51), med blandt andet ACL's, som giver mulighed for
> at sætte filsystemet meget mere restriktivt op end *nix "user, group,
> other" model.

Windows NT har rødder fra VMS. Et meget mer' sikkert OS end UNIX.


--
Ikke ham på Facebook.

Stig Johansen (04-10-2011)
Kommentar
Fra : Stig Johansen


Dato : 04-10-11 09:47

Axel Hammerschmidt wrote:

> Windows NT har rødder fra VMS. Et meget mer' sikkert OS end UNIX.

MS blev hyret af IBM til at udvikle OS/2.

En af klasulerne var, at MS skulle dokumentere API'er fra windows, så IBM
kunne lave kompatible programmer.

Det lykkedes MS at tranere 'chigaco' indtil man var kommet ud af kontrakten
med IBM.

Se:
http://en.wikipedia.org/wiki/Windows_95
http://en.wikipedia.org/wiki/OS/2

Og husk at William's mor havde noget med IBM's bestyrelse at gøre.

Smart taktik - ja, moralsk - NEJ.

--
Med venlig hilsen
Stig Johansen

Benny Nissen (03-10-2011)
Kommentar
Fra : Benny Nissen


Dato : 03-10-11 17:36

Den 02-10-2011 22:53, Kent Friis skrev:

> I Windows kan man ofte ikke engang installere et spil uden at være
> administrator - eller endda spille det.

Hvad fand** skal man også med spil på sin pc?
Maskinen er vel til for at blive brugt seriøst ? Hvis man vil spille
vinder der masser af maskiner, der er beregnet til det. Det er en pc jo
ikke ... tjo, men så skal man ikke forvente, at den samtidig kan være
seriøs.

Stig Johansen (04-10-2011)
Kommentar
Fra : Stig Johansen


Dato : 04-10-11 09:36

Kent Friis wrote:

>
> Ikke korrekt. De begyndte at _prioritere_ sikkerhed.
>
> NT-kernen i sig selv var fornuftig skruet sammen lige fra starten
> (NT 3.5 og 3.51), med blandt andet ACL's, som giver mulighed for
> at sætte filsystemet meget mere restriktivt op end *nix "user, group,
> other" model.

Enig, og i får lige lidt historiske facts, så i kan opdatere jeres viden.

Win2K er NT, men netop fordi der traditionelt ikke var den store
sikkerdhedfokus, havde software virksomheder det med at klaske .ini filer
og deslige rundt omkring.

Jeg gider ikke rode tilbage i min hukommelse, men jeg husker især et
voldsomt problem hos en kunde.

'Vi' havde lavet em masse rapporter under Crystal Reports, MEN!!!

Crystal reports kunne kun fungere korrekt under administrator kontoen!!

Hvad gør man?

Stopper virksomheden indtil Crystal reports finder en løsning?
eller
Giver brugerne adminstratoradgan, så de kan fortsætte deres arbejde?

--
Med venlig hilsen
Stig Johansen

Peter Larsen (07-10-2011)
Kommentar
Fra : Peter Larsen


Dato : 07-10-11 14:01

Rune Jensen wrote:

> Microsoft begyndte at implementere sikkerhed omkring 2007.

Virkeligheden er anderledes.

Med venlig hilsen

Peter Larsen




Rune Jensen (02-10-2011)
Kommentar
Fra : Rune Jensen


Dato : 02-10-11 11:44

On 2 Okt., 18:11, "Gamle" <cfs48...@post.cybercity.dk> wrote:
> "Rune Jensen" <runeofdenm...@gmail.com> skrev i en meddelelsenews:87c44e0f-b55a-41e2-a381-0256dace98bd@dk6g2000vbb.googlegroups.com...
> Fordi det kun er windowsbrugere, som ikke kan finde ud af at lave
> ekstra kontier og bruge whitelists?
>
> Til gengæld kender vi forskel på ental og flertal.
> Til din oplysning er konti flertalsbetegnelsen for konto og ikke kontier som
> du skriver.
> Du skulle lige have den over næsen pga. dine bemærkninger om  o s
> windowsbrugere.
> Ville normalt ikke have reageret på det.

Jeg kan godt se, mit danske er til hundene, og det er jo pinligt. Der
burde være en krydspost til dk.kultur.sprog, så jeg kan blive revset.

Men du afviser på den anden side ikke SVJKS, at windowsbrugere
generelt logger ind med fulde rettigheder. Og selv om du evt. selv
skulle have en hverdagskonto, så er det bare ikke normalt for
windowsbrugere. Langt langt de fleste logger ind på admin og surfer
med fulde rettigheder fordi sådan har man altid gjort på windows, og
det er en vigtig årsag til at de får malware.

Jeg kan godt fortælle hvorfor UAC kom ind, for det var netop fordi MS
udmærket VED at forskellige kontoer*) med individuelle minimale
rettigheder er livsvigtige for høj sikkerhed. Men fordi Windows er
fokuseret på laveste fællesnævner (single user uden logon kan alle jo
forstå), har man været vant til at når man programmerede på windows,
så foregik det med fulde rettigheder.

De fulde rettigheder blev så også krævet og bliver krævet ved kørsel
af programmet. Særligt slemt ved spil. Men når selv programmørerne
logger ind med fulde rettigheder - hvordan vil du så få brugerne til
at bruge en hverdagskonto?

Det er hele årsagen til, at UAC poppede op konstant på Vista, og at
UAC reelt er en handicappet parodi på sikkerhed på Win7 - programmerne
krævede (og kræver) LANGT flere rettigheder, end de behøvede. Med det
resultat, at brugerne slog sikkerheden fra**), og at MS senere
besluttede at handicappe UAC aht. brugervenlighed. Dvs. lavere
sikkerhed, men større brugervenlighed.

At få ægte sikkerhed ind på windows, så det også _accepteres_ af
brugerne - jeg tror det aldrig vil kunne lade sig gøre. For det kræver
rent faktisk, at man som bruger forstår at Microsoft ikke altid kan
tænke for brugerne. Og brugerne ER allerede så vant til, art MS tænker
for dem, det vil være umuligt at ændre.


*) Konti? Kontos?
**) Jeg synes STADIG det siger en del om sikkerhedsmodellen i Windows,
at man kan slå sikkerhed fra. Og en del om brugerne, at de gør det.


MVH
Rune Jensen

Kent Friis (02-10-2011)
Kommentar
Fra : Kent Friis


Dato : 02-10-11 22:01

Den Sun, 2 Oct 2011 10:44:08 -0700 (PDT) skrev Rune Jensen:
>
> De fulde rettigheder blev så også krævet og bliver krævet ved kørsel
> af programmet. Særligt slemt ved spil. Men når selv programmørerne
> logger ind med fulde rettigheder - hvordan vil du så få brugerne til
> at bruge en hverdagskonto?
>
> Det er hele årsagen til, at UAC poppede op konstant på Vista, og at
> UAC reelt er en handicappet parodi på sikkerhed på Win7 - programmerne
> krævede (og kræver) LANGT flere rettigheder, end de behøvede. Med det
> resultat, at brugerne slog sikkerheden fra**), og at MS senere
> besluttede at handicappe UAC aht. brugervenlighed. Dvs. lavere
> sikkerhed, men større brugervenlighed.
>
> At få ægte sikkerhed ind på windows, så det også _accepteres_ af
> brugerne

Du glemmer programmørerne. Brugerne accepterer ikke noget, sålænge
det ikke virker.

> *) Konti? Kontos?

Konti er korrekt latin (eller hvor det ord nu er hugget fra, og
også gyldig på dansk.

Kontoer er korrekt dansk endelse, men lyder ikke helt så fint, for
dem der går op i den slags.

(Med forbehold for at de igen har lavet om på tingene).

> **) Jeg synes STADIG det siger en del om sikkerhedsmodellen i Windows,
> at man kan slå sikkerhed fra.

Hvad så med Linux, hvor alt kan slås fra?

> Og en del om brugerne, at de gør det.

Sålænge sikkerheden koster mere tid end en geninstallation, er det
logiske valg at slå den fra.

Mvh
Kent

- Som logger ind som Administrator, slog UAC fra indenfor den første
uge, men til gengæld ikke installerer nogen virusser (med eller uden
"anti" foran).
--
"The Brothers are History"
http://www.gianas-return.de/

"Poul E. Jørgensen" (02-10-2011)
Kommentar
Fra : "Poul E. Jørgensen"


Dato : 02-10-11 22:12

Den 02-10-2011 23:00, Kent Friis skrev:
> Den Sun, 2 Oct 2011 10:44:08 -0700 (PDT) skrev Rune Jensen:

>> *) Konti? Kontos?
>
> Konti er korrekt latin (eller hvor det ord nu er hugget fra,

Ental konto, flertal konti er italiensk (conto/ conti).

--
Poul E. Jørgensen

Fjern de to A'er hvis du svarer per e-mail.
Remove the two A's if replying by e-mail.

Benny Nissen (03-10-2011)
Kommentar
Fra : Benny Nissen


Dato : 03-10-11 17:38

Den 02-10-2011 19:44, Rune Jensen skrev:

> At få ægte sikkerhed ind på windows, så det også _accepteres_ af
> brugerne - jeg tror det aldrig vil kunne lade sig gøre. For det kræver
> rent faktisk, at man som bruger forstår at Microsoft ikke altid kan
> tænke for brugerne.

Jo, det virker nu fint her. Jeg tænker nemlig selv



Mcwm (03-10-2011)
Kommentar
Fra : Mcwm


Dato : 03-10-11 22:25

Den 03-10-2011 18:37, Benny Nissen skrev:
> Jo, det virker nu fint her. Jeg tænker nemlig selv
Så er der en god grund til, at du endnu ikke har fået opdateret din
thinderbird endnu..? Thunderbird 6.0.2 er nu afløst af 7.0.1.

Venligst
Mcwm



Rune Jensen (02-10-2011)
Kommentar
Fra : Rune Jensen


Dato : 02-10-11 12:00

On 2 Okt., 20:51, hl...@hotmail.com (Axel Hammerschmidt) wrote:
> Rune Jensen <runeofdenm...@gmail.com> wrote:
>
> <snip>
>
> > Men ellers, s f lger den slavisk alle andre phishing mails. som der
> > har v ret siden slutningen af halvfemserne. Der er endda ogs det med
> > at man skal skynde sig, samt en elendig undskyldning for det.
>
> > Utroligt, nogen kan hoppe p den, fatter det simpelthen bare ikke, at
> > folk er s snotdumme. Men det er ogs med ganske stor sikkerhed
> > windowsbrugere, som er blevet snydt, de smider generelt hjernen langt
> > v k n r de s ttter sig ved en computer.
>
> Err? Det angreb (man-in-the-middle) virker da lige så godt med Linux, OS
> X og et hvilket som helst andet OS med Java, osse en smartphone.

Klart. Både JAVA og Flash er cross platform, så det benægter jeg ikke..

Min pointe er - linuxbrugere er vant til at have med sikkerhed at
gøre, for de får det ind med modermælken. Windowsbrugere er ikke.
Chancen for, det er en linuxbruger som falder for sådan en amatør-
phishing - selv når man tager højde for den lavere markedsandel - er
derfor meget nær nul. Husk på - Windowsbrugere skrider fra linux,
fordi det ikke er brugervenligt (hvilket bl.a. kommer fra den højere
indbyggede sikkerhed som f.eks. password prompt)

Jeg kan iøvrigt ikke få installeret snald på min linuxbænk, eftersom
jeg rent faktisk _har_ en konto med mindre rettigheder _samt_ en
whitelist (så hverken JAVA eller JS eller Flash vil blive eksekveret,
uden _jeg_ accepterer det først, og det er _kun_ whitelistet for
Youtube)

Men mest af alt - jeg har ikke nemid, for jeg stoler ikke på dem over
en dørtærskel. Eller mere diplomatisk - deres sikkerhedsmodel har ikke
overbevist mig.


MVH
Rune Jensen

Erik Olsen (02-10-2011)
Kommentar
Fra : Erik Olsen


Dato : 02-10-11 19:14

Rune Jensen wrote:

> Klart. Både JAVA og Flash er cross platform, så det benægter jeg ikke.
>
> Min pointe er - linuxbrugere er vant til at have med sikkerhed at
> gøre, for de får det ind med modermælken. Windowsbrugere er ikke.
> Chancen for, det er en linuxbruger som falder for sådan en amatør-
> phishing - selv når man tager højde for den lavere markedsandel - er
> derfor meget nær nul. Husk på - Windowsbrugere skrider fra linux,
> fordi det ikke er brugervenligt (hvilket bl.a. kommer fra den højere
> indbyggede sikkerhed som f.eks. password prompt)
>
> Jeg kan iøvrigt ikke få installeret snald på min linuxbænk, eftersom
> jeg rent faktisk _har_ en konto med mindre rettigheder _samt_ en
> whitelist (så hverken JAVA eller JS eller Flash vil blive eksekveret,
> uden _jeg_ accepterer det først, og det er _kun_ whitelistet for
> Youtube)
>
> Men mest af alt - jeg har ikke nemid, for jeg stoler ikke på dem over
> en dørtærskel. Eller mere diplomatisk - deres sikkerhedsmodel har ikke
> overbevist mig.

Således talte den Allerhelligste. Har du det godt med at pisse på andre?

--
Venlig hilsen/Best regards
Erik Olsen


Kent Friis (02-10-2011)
Kommentar
Fra : Kent Friis


Dato : 02-10-11 22:16

Den Sun, 2 Oct 2011 11:00:16 -0700 (PDT) skrev Rune Jensen:
>
> Men mest af alt - jeg har ikke nemid, for jeg stoler ikke på dem over
> en dørtærskel. Eller mere diplomatisk - deres sikkerhedsmodel har ikke
> overbevist mig.

Deres sikkerhedsmodel virker til at indrettet til at sikre at der
ikke er nogen konkurrenter.

Derudover bliver kritik henvist til marketing-afdelingen.

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

Jesper Lund (02-10-2011)
Kommentar
Fra : Jesper Lund


Dato : 02-10-11 22:21

Kent Friis wrote:

> NemID applet'en er ikke brugt til narre brugerne. Det er en mail,
> kombineret med brugerens manglende evne til at tænke "er det her nu
> smart?"
>
> Den slags brugere bliver hurtigt trætte af Linux, hvor man end ikke
> bliver spurgt "er du sikker", inden man overskriver filsystemet.

Jeg er stor fan af Linux, men i lige præcis dette tilfælde giver Linux
ingen beskyttelse mod det angreb som er foretaget. En Linux bruger er,
alt andet lige, lige så udsat som en Windows bruger.

--
Jesper Lund

Kent Friis (02-10-2011)
Kommentar
Fra : Kent Friis


Dato : 02-10-11 22:27

Den 02 Oct 2011 21:20:50 GMT skrev Jesper Lund:
> Kent Friis wrote:
>
>> NemID applet'en er ikke brugt til narre brugerne. Det er en mail,
>> kombineret med brugerens manglende evne til at tænke "er det her nu
>> smart?"
>>
>> Den slags brugere bliver hurtigt trætte af Linux, hvor man end ikke
>> bliver spurgt "er du sikker", inden man overskriver filsystemet.
>
> Jeg er stor fan af Linux, men i lige præcis dette tilfælde giver Linux
> ingen beskyttelse mod det angreb som er foretaget.

Der er ingen der har påstået andet.

> En Linux bruger er, alt andet lige, lige så udsat som en Windows bruger.

En Windowsbruger der tænker sig om er lige så sikker mod den pågældende
mail som en Linuxbruger der tænker sig om.

En gennemsnitlig Windowsbruger har højere risiko end en gennemsnitlig
Linuxbruger.

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

Erik Olsen (03-10-2011)
Kommentar
Fra : Erik Olsen


Dato : 03-10-11 20:26

Kent Friis wrote:

> En Windowsbruger der tænker sig om er lige så sikker mod den
> pågældende mail som en Linuxbruger der tænker sig om.

Tak for det udsagn. Det ligner noget jeg kan forstå, nemlig at brugerens
adfærd har meget stor betydning.

> En gennemsnitlig Windowsbruger har højere risiko end en gennemsnitlig
> Linuxbruger.

Det godtager jeg gerne.

--
Venlig hilsen/Best regards
Erik Olsen


Rune Jensen (12-10-2011)
Kommentar
Fra : Rune Jensen


Dato : 12-10-11 09:44

On 3 Okt., 18:37, Benny Nissen <n...@bennynissen.dk> wrote:
> Den 02-10-2011 19:44, Rune Jensen skrev:
>
> > At få ægte sikkerhed ind på windows, så det også _accepteres_ af
> > brugerne - jeg tror det aldrig vil kunne lade sig gøre. For det kræver
> > rent faktisk, at man som bruger forstår at Microsoft ikke altid kan
> > tænke for brugerne.
>
> Jo, det virker nu fint her. Jeg tænker nemlig selv

Jo - men det er bare ikke hovedformålet med windows. At man skal tænke
selv. Det er faktisk omvendt - man skal tænke så lidt som muligt. Det
kaldes brugervenlighed, Problemet er, at man med brugervenlighed også
skjuler en (stor) del af sandheden for brugeren. Man giver det
udseende af, at et faktisk ret indvuiklet stykke teknik kan bestyres
af én fuldkommen uden IT-kendskab, og at man heller ikke _vil behøve_
det IT-kendskab. Det er jo ikke realistisk.

Windows er bygget på brugervenlighed, derfor er sikkerhed ikke
indtænkt fra start. Det gør det langt sværere senere at oplære
brugerne i korrekt brug, samt iøvrigt at indlægge sikkerhed i selve
systemet senere. Så man kan sige, at windows er bygget ret omvendt af
best practice - hvis det er sikkerhed, man vil. Det er hér, jeg mener,
man lærer mere sikkerhed på en linux, fordi man er tvunget til at lære
bare grundlæggende om systemet. Men altså også fordi linux-communities
er ret ops på sikkerheden. Jeg mener sådan set, det er windows, som
fordummer, ikke brugerne, som _er_ dumme.

Det er faktisk en ret gammel diskussion om, hvor meget man "tør" lade
være op til maskinen at vælge automatisk aht. brugervenlighed, fordi
automatiske maskinvalg helt klart vil lede til lavere sikkerhed i
længden. Højere sikkerhed vil til gengæld kræve mere viden af brugeren
til at lave de kvalificerede valg, som maskinen så ikke skal (forsøge
at) lave, og det vil afgive brugervenlighed. Et check-spørgsmål: Hvis
du får besked om, at et sikkerhedscertifikat ikke er godkendt -
trykker du så OK gør det alligevel, eller går du væk fra siden?


MVH
Rune Jensen

Kent Friis (12-10-2011)
Kommentar
Fra : Kent Friis


Dato : 12-10-11 16:52

Den Wed, 12 Oct 2011 08:44:20 -0700 (PDT) skrev Rune Jensen:
>
> Det er faktisk en ret gammel diskussion om, hvor meget man "tør" lade
> være op til maskinen at vælge automatisk aht. brugervenlighed, fordi
> automatiske maskinvalg helt klart vil lede til lavere sikkerhed i
> længden. Højere sikkerhed vil til gengæld kræve mere viden af brugeren
> til at lave de kvalificerede valg, som maskinen så ikke skal (forsøge
> at) lave, og det vil afgive brugervenlighed. Et check-spørgsmål: Hvis
> du får besked om, at et sikkerhedscertifikat ikke er godkendt -
> trykker du så OK gør det alligevel, eller går du væk fra siden?

Snakker vi de der SSL-certifikater der som standard ikke fortæller
andet end at indehaveren har givet nogle få penge til en CA, og hvor
man skal grave i "properties", for at finde ud af om CA'en er tyrkisk
eller kinesisk?

For så har et self-signed certifikat da større troværdighed. Det viser
en vis teknisk kunnen

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

Søg
Reklame
Statistik
Spørgsmål : 177577
Tips : 31968
Nyheder : 719565
Indlæg : 6409068
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste