Svenske netbanker giver Danmark baghjul

Kim Graef skrev:
Man kunne jo forbedre sikkerheden ved at droppe de web-baseret hjemme-banks-systemer og lave clienterne i visual-basic eller lign.

Danske bank bruger jo en activeX lign. plugin, det er ikke langt fra at have en visual basic program liggene. De har også haft problemer.

Man kan ikke løse problemet ved rent software, fordi, laver du et C++, C#, Visual Basic, m.v. program, så vil hackeren lave en virus der ændre lidt på dit program. Dette er set før og er ikke specielt svært.

En klient af denne slags er kun security by obscurity, som virker lige indtil der er nogen der gider bryde den.

Man skal desværre ty til ting som engangs passwords, og extern hardware af en eller anden slags hvis man vil have ordenlig sikkerhed. Software er enormt sårbart, hvis det ikke ligger på en meget sikret maskine - ikke just hvad jeg ville kalde 99% af maskinerne ejet af alm. borgere.

mvh
Michael Nielsen.

Michael Nielsen skrev:

Man skal desværre ty til ting som engangs passwords, og extern hardware af en eller anden slags hvis man vil have ordenlig sikkerhed.

Danske Bank tilbyder ActiveCard - et token - som hardwarebaseret password-generator. Man skal selv be' om det og så kommer den med posten i løbet af få dage.. Virker med Internet Explorer, Firefox osv. Virker også med Firefox under Linux..

Jeg har talt med banken om sikkerhed for år tilbage og sagde at det er hul i hovedet at installere nøglefilen og ActiveX componenten på ens harddisk.. De svarede med, at de har "aldrig hørt om problemer"..

Andreas S.

Michael Nielsen skrev:
Danske bank bruger jo en activeX lign. plugin, det er ikke langt fra at have en visual basic program liggene. De har også haft problemer.

Man kan ikke løse problemet ved rent software, fordi, laver du et C++, C#, Visual Basic, m.v. program, så vil hackeren lave en virus der ændre lidt på dit program. Dette er set før og er ikke specielt svært.

En klient af denne slags er kun security by obscurity, som virker lige indtil der er nogen der gider bryde den.

Man skal desværre ty til ting som engangs passwords, og extern hardware af en eller anden slags hvis man vil have ordenlig sikkerhed. Software er enormt sårbart, hvis det ikke ligger på en meget sikret maskine - ikke just hvad jeg ville kalde 99% af maskinerne ejet af alm. borgere.

mvh
Michael Nielsen.

Jeg vil overhovedet ikke påstå at der er nogen perfect løsning. Men web-løsninger ser for mig ud til at være nemme ofre for phishing med mindre man altid har et ActiveCard eller lign. Engangs password hjælper ikke meget mod phishing men er effektiv mod key-loggere.

Kim Graef skrev:
Jeg vil overhovedet ikke påstå at der er nogen perfect løsning. Men web-løsninger ser for mig ud til at være nemme ofre for phishing med mindre man altid har et ActiveCard eller lign. Engangs password hjælper ikke meget mod phishing men er effektiv mod key-loggere.

Phishing virker kun hvis du ikke bookmarker din bank's hjemme side (hvis jeg forstår konceptet korrekt), hvis du bookmarkede den ville man ikke kunne snyde dig til at besøge en anden side.

At have et program hvor du ikke kan se hvad den forbinder til er nok mere farligt, i det, du aldrig ville kunne opdage at den forbandt til en vilkårlig server som intet har med din bank at gøre (nemt at få et program til at gøre dette, ved at erstatte et par DLL'er eller patche .exe filen - via vira/trojaner), så web løsningen har nogle fordele, desuden kan man benytte andre browser end standard, som gør at hvis nogen skulle ønske at 'patche' din browser, skal de patche alle kendte og ukendte browsere - dette er også en slags security by obscurity, men alt hvad der besværliggøre hackeren's arbejde er velkommen, bare man ikke regner det som 'rigtig' sikkerhed.

En signeret java applet, activeX eller hvad man nu finder på er faktisk mere sikkeret end en applikation, da applikationen kan kompromiteres uden brugen finder ud af det, at hente en signeret java applikation fra en anden server, vil få browseren til at sporge "stol på udbyder xxxx" eller lign, det giver dig noget varlsling. Self er dit system total kompromiteret så er du på herrens mark uanset hvilken software løsning du bruger.

Danske Bank tilbyder ActiveCard - et token - som hardwarebaseret password-generator. Man skal selv be' om det og så kommer den med posten i løbet af få dage.. Virker med Internet Explorer, Firefox osv. Virker også med Firefox under Linux..

Jeg kender godt active card, og kender en del der bruger dette system, ret simplet, og viker ok. Den har dog et par sårbarheder, men brugeren kan opdage når de bliver hacket.

Jeg har talt med banken om sikkerhed for år tilbage og sagde at det er hul i hovedet at installere nøglefilen og ActiveX componenten på ens harddisk.. De svarede med, at de har "aldrig hørt om problemer"..

Jeg har prøvet at tale fornuft til mange, mht den offentlige, digitale signatur, bankerne m.v. En software certifikat, på en CD, eller harddisk er totalt åndsvagt, da de aldrig vil kunne være sikkeret, pga det er for nemt at stjæle certifikatet, og en bruger kan ikke ummildbart skifte certifikatet, og regulær password ændringer har ingen betydning når du bruger certifikater

Jeg mener faktisk stadigvæk at normal https med alm. password (stærkt password altså, som skiftes regulært) er en langt bedre sikkerhed end disse software certifikater, fordi når certifikatet er sjålet er det umådeligt svært for brugeren at se om de er i problemer, og en hacker har et uendeligt antal forsøg for at bryde passwordete på certifikatet, hvor imod i en alm. password løsninge kan serveren blokere adgang efter 3, forkert password.

Derimod at placere certifikate(rne) i noget tamper proof hardware, som feks en speciel USB nøgle, med enten bare en knap, eller biometrisk adgangs, som kan gemme nøgler på en måde hvor certifikatet kan bruges, men ikke læses (der findes smart cards der kræver specielle readers der kan dette, feks dankort automater), ville gøre systemet så sikkert som overhovede muligt, dog skal det noteres at det desværre ikke kan beskytte folk som ikke bruger hovedet, og falder for divs scamartists.

Mit ønske for sådan en enhed ville være.

1. lille LCD som kan vise en opsummering af det der signeres
2. Finger aftryk læser, eller bare en knap til at authorisere transaktionen.
3. USB Storage interface - dvs en pseudo fil man kan skrive til for at få noget signeret, og en pseudo fil man læse fra for at læse signaturen - kompatibilit's grunde.
4. Tamperproof secure memory - altså lager hvor certifikatet kan gemmes, og overskrives, men aldrig nogen sinde kan læses fra.
5. En lille processor der kan udføre funktionen af at lave underskrifter.
6. skal bruge en adgangskode fra terminalen (i tilfælde af den er blevet stjålet), men at enheden glemmer certifikaterne i det tilfælde at der er 3 mislykket forsøg, hvorefter den skal genetableres.

Fordele -
Nemt, effektivt, portabelt (kan bruges i feks biblioteker), og man skal ikke manuelt taste koder ind, som feks i activeCard løsningen. Langt bedre sikkerhed end nogen løsning jeg har set, uden at forvent specielt god sikkerhed på PC'en, eller skulle bruge megen ekstra specielt hardware.

Ulempe -
Skal designes og laves, jeg har ikke hørt om sådan en enhed endnu, og til at begynde med er forholdsvis dyr.

mvh
Michael Nielsen.

Michael Nielsen skrev:
Mit ønske for sådan en enhed ville være.

1. lille LCD som kan vise en opsummering af det der signeres
2. Finger aftryk læser, eller bare en knap til at authorisere transaktionen.
3. USB Storage interface - dvs en pseudo fil man kan skrive til for at få noget signeret, og en pseudo fil man læse fra for at læse signaturen - kompatibilit's grunde.
4. Tamperproof secure memory - altså lager hvor certifikatet kan gemmes, og overskrives, men aldrig nogen sinde kan læses fra.
5. En lille processor der kan udføre funktionen af at lave underskrifter.
6. skal bruge en adgangskode fra terminalen (i tilfælde af den er blevet stjålet), men at enheden glemmer certifikaterne i det tilfælde at der er 3 mislykket forsøg, hvorefter den skal genetableres.

Jeg er ikke så sikker på, at det er godt nok. En meget stor del af alle IT-brugere har tilsyneladende store problemer med at læse indenad. Når der kommer en fejlmeddelelse, registrerer dem, at der er en fejlmeddelelse, men de læser den ikke. De har en gang for alle besluttet sig til, at hvis noget ikke virker, så spørger man IT frem for at tænke selv.

Kender jeg regnskabsfolk godt nok, vil flertallet af dem hurtigt vende sig til at signere transaktionerne uden at se, hvad der står på skærmen. Du kan som IT mand nok så mange gange fortælle dem, at de skal kontrollere hver eneste gang, men når chefen vil have månedsafslutningen for en halv time siden, bliver det ikke gjort.

Hvis man skal lave et sikkert system, bliver man nødt til at lave nogle primitive computere ala Negropontes $100 laptops. Disse computere skal så kun bruges til kommunikation, der skal signeres, og programmellet skal være så primitivt, at det kan laves sikkert. Ikke noget med Windows, IE og MS Office eller Linux, Firefox og OpenOffice.

Phishing virker kun hvis du ikke bookmarker din bank's hjemme side (hvis jeg forstår konceptet korrekt), hvis du bookmarkede den ville man ikke kunne snyde dig til at besøge en anden side.
---------------------
hele problemet med phishing er jo at når man sender tusinder af emails afsted der beder om at logge på et eller andet givent system så er der altid en eller anden der hopper på den.

Michael Nielsen skrev:
Phishing virker kun hvis du ikke bookmarker din bank's hjemme side (hvis jeg forstår konceptet korrekt), hvis du bookmarkede den ville man ikke kunne snyde dig til at besøge en anden side.

Det er desværre ikke nogen sikkerhed.

Prøv at lægge din banks server ind i din HOSTS fil (C:\WINDOWS\system32\drivers\etc\host)med IP 127.0.0.1 (din lokale maskine)

Test så dit bookmark. Fungerer ikke, da din HOSTS-fil nu overbeviser din browser om at den skal kigge på en anden IP-adressen end den DNS-systemet indeholder.


Forestil dig i stedet at det er et lille program der inficerer din maskine og laver ændringen i din HOSTS fil, men i stedet for den harmløse IP 127.0.0.1 peger på en server på en skummel server på Internet.


Dine bookmarks giver dig med andre ord ikke den sikkerhed du tror de gør.

/Rob

Robert Winther skrev noget vrøvl:
Forestil dig i stedet at det er et lille program der inficerer din maskine og laver ændringen i din HOSTS fil, men i stedet for den harmløse IP 127.0.0.1 peger på en server på en skummel server på Internet.

Der skulle selvfølgelig have stået:

Forestil dig i stedet at det er et lille program der inficerer din maskine og laver ændringen i din HOSTS fil, men i stedet for den harmløse IP 127.0.0.1 peger på en IP der ligger på en skummel server på Internet.

/Rob

Allan Jacobsen skrev:
Det tyder på at Ulf Munkedal ikke kender markedet i Danmark, for jeg har i over 8 år brugt Jyske Banks internetbank, som bruger engangskoder, og som Nordea i Sverige nu endelig har kopieret.

Ja, hvorfor andre banker ikke har kopieret Jyske Banks model er mig en gåde. Den er utroligt simpel og utroligt sikker.

Søren Sprogø skrev:
Ja, hvorfor andre banker ikke har kopieret Jyske Banks model er mig en gåde. Den er utroligt simpel og utroligt sikker.

spørgsmålet er vel hvor sikker en sådan løsning er..
jeg mener.. det er vel kun et spørgsmål om tid før at en eller anden idiot udregner den algoritme hvorfra disse koder genereres...

Wel Ahmad Rachid skrev:
det er vel kun et spørgsmål om tid før at en eller anden idiot udregner den algoritme hvorfra disse koder genereres...

kender ikke jyske bank - men går ud fra at man får et kort med løbende passwords. Disse passwords er forhåbentlig programmeret med en random rutine. Så vidt jeg ved er random rutiner bygget over systemtidpunktet - hvilket gør udfaldet fuldstændig vilkårligt. f.eks klokken er nu 18:36:02345671234 - drop denne tid ind i en algotitme så man får et pænt password - og fortsæt med næste.

Wel Ahmad Rachid skrev:
spørgsmålet er vel hvor sikker en sådan løsning er..
jeg mener.. det er vel kun et spørgsmål om tid før at en eller anden idiot udregner den algoritme hvorfra disse koder genereres...

Som Kim Graef skriver drejer det sig om tilfældigt genererede koder.
Hver kode er på 4 cifre. Hver kode har et nummer og to ekstra bogstaver. Banken spørger f.eks efter koden der står ud for 42.IK. Jeg finder kode 42 og checker at der står 42.IK og indtaster så de fire cifre der følger efter.
Inden da har jeg indtastede min pinkode, som består af 8 bogstaver og cifre.

Alle "gode" systemer består af to dele, en som skal huskes (pinkode) og en mere fysisk (nøglefil eller engangskode). I USA er det stadig meget udbredt med systemer som kun kræver pinkode, hvilket gør systemerne sårbare for phishing. Systemer med pinkode og nøglefil er sårbare overfor trojanere og lignende, mens engangskoder stort set kun er sårbare overfor "man in the middle" angreb.

Niels Dybdahl

Niels Dybdahl skrev:
Som Kim Graef skriver drejer det sig om tilfældigt genererede koder.
Hver kode er på 4 cifre. Hver kode har et nummer og to ekstra bogstaver. Banken spørger f.eks efter koden der står ud for 42.IK. Jeg finder kode 42 og checker at der står 42.IK og indtaster så de fire cifre der følger efter.
Inden da har jeg indtastede min pinkode, som består af 8 bogstaver og cifre.

Alle "gode" systemer består af to dele, en som skal huskes (pinkode) og en mere fysisk (nøglefil eller engangskode). I USA er det stadig meget udbredt med systemer som kun kræver pinkode, hvilket gør systemerne sårbare for phishing. Systemer med pinkode og nøglefil er sårbare overfor trojanere og lignende, mens engangskoder stort set kun er sårbare overfor "man in the middle" angreb.

Niels Dybdahl

Men bare ved at i stedet for at lave engangs passwords via hardware (sårbare over for man-in-the-middle) lave enheden med certfikat, som bor på en secure tamperproof USB nøgle - se indlæg oven for. Så har du fjernet mand-in-the-middle sårbarheden, og da det kræver en fysiks aktion (tryk på en knap), kan trojaner ikke sådan bare bruge enheden, da brugen skal gøre noget aktivt.

mvh
Micahel Nielsen.

Denne kommentar er blevet modereret af Jens Møller Nielsen

Som det fremgår af vores debatregler, beder Computerworld om, at man oplyser sit fulde navn, hvis man gerne vil deltage i debatten.

Med venlig hilsen

Jens Møller Nielsen
Computerworld

Jesper Kleis skrev:
Jeg går ind for den USB nøgle ting - jeg vil bare have den i keyboardet sådan at den kan plugges i keyboardet samtidig kryptere hvad man skriver på vej til hardvaren. Keyboardert skal logges ind på med et LCD display, samtidig med at styresystemet skal have mulighed for at åbne og lukke keyboard trafikken til forskellige applikationer. På denne måde bliver keyloggers meget besværlige at implementere på hardware og software mæssigt. Derudover har man muligheden for at lave tidsbestemte ændrede kodeord etc. når man logger ind på forskellige tjenester.

Så snart du bringer maskinen i direkte kontakt med nøglen er der en potentiel risiko for at malware blokerer/spoofer sikkerhedsfunktionerne. Tror du det er dig der taster?


Jeg er lige overgået til activecard. Tror ikke den er til at knække, medmindre knækkeren har (haft?) adgang til mit activecard.

ebbe hansen skrev:
Så snart du bringer maskinen i direkte kontakt med nøglen er der en potentiel risiko for at malware blokerer/spoofer sikkerhedsfunktionerne. Tror du det er dig der taster?


Jeg er lige overgået til activecard. Tror ikke den er til at knække, medmindre knækkeren har (haft?) adgang til mit activecard.

Ikke hvis tastaturet i princippet er en selvstændig hardware med krypteret forbindelse til kernelen af styresystemet. Denne kerneldistribuerer disse data videre hvis og kun hvis der er en tilsvarende key-match imellem de to processoror. Malware skal altså gætte den rigtige kryptokey for at få del i den krypterede proces. Men ja, ingenting er hundrede procent sikkert, og normalt bruger
jeg også aktiv card til mine netbank transaktioner.

Michael Bræmer Nielsen skrev:
Jeg bruger netbank fordi det er nemt, hvis jeg skal ud i at have en blok med mig eller et eller andet stykke hardware, så kan jeg ikke umiddelbart bruge det på arbejde og i hjemmet, hvilket vil gøre det 50% ubrugeligt for mig.

Jeg føler mig rigeligt sikker ved at jeg har et rimeligt sikkert password, kører på en sikker forbindelse og logger på en server jeg stoler på. Som bruger vil jeg skide på mere sikkerhed, jeg vil faktisk være træt af det. Som det er nu, så dækker bankerne for tabet hvis der er nogen der bryder sikkerheden, det er sgu fint for mig.

Hvis det bliver standard med et sikert keyboard - hvor man blot skulle
koble sit usb-stik med tunnel koder til styresystemet ind. Eller evt
en sikker usb indgang i bærbare computere, er det ikke specielt meget
hardware man bærer rundt på. Derudover er vi alle vant til at bære
rundt på nøgler og mobiltelefoner af hver slags - en ting vi ikke
er vant til at bære rundt på er et uendeligt antal passwords etc i
vores hoved - og slet ikke 80 eller 240 tilfældige tegn som egentlig
er nødvendig for at have sikker login.

Den metode er ikke på nogen måde mere sikker end brug af engangskoder. Alt hvad de krimminelle behøver at gøre, er at lægge en virus ind på computeren, der opdager, når ofret logger ind på netbanken. Så er der frit spil til et mand in the middle angreb.

Hvis den metode skal gøre noget reelt for sikkerheden, skal alle transaktioner sendes som SMS til mobiltelefonen, så kunden kan sende en SMS som godkendelse.

Hvad hjælper alt det mod phising. Brugeren tror jo at han logger på.