/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Nordea sikkerhed?
Fra : Kasper Laudrup


Dato : 20-01-07 12:15

Hej gruppe,

Da jeg nu så et andet indlæg omkring Nordea, tænkte jeg på, om nogen
tilfældigvis så TV-avisen i går, hvor en repræsentant fra Nordea
argumenterede for sikkerheden i deres netbank. I forbindelse med angreb i
Sverige havde "hackere" fået fat i brugeres password ved at installere
keyloggere (formentligt via trojanere i emails), men han argumenterede så
for, at sikkerheden i den danske Nordea var langt bedre, da man
også brugte nøglefiler.

Nu bruger jeg ikke selv Nordea og er ikke nogen sikkerhedsekspert, men er
det ikke umiddelbart noget vrøvl? Hvis man har kontrol nok over offerets
computer til at installere en keylogger, er det vel intet problem at få
fat i den nævnte nøglefil også, det er vel egentligt hurtigere end at
vente på at brugeren indtaster sit password?

Har jeg misforstået noget?

Nu bruger jeg som sagt ikke selv Nordea, så spørgsmålet er blot ud fra
generel interesse...

Mvh.
Kasper

--
This post has not been scanned for virus. Read at your own risk!


 
 
Klaus Ellegaard (20-01-2007)
Kommentar
Fra : Klaus Ellegaard


Dato : 20-01-07 12:25

Kasper Laudrup <laudrup_fjern_dette_@linuxfan.dk> writes:

>Nu bruger jeg ikke selv Nordea og er ikke nogen sikkerhedsekspert, men er
>det ikke umiddelbart noget vrøvl? Hvis man har kontrol nok over offerets
>computer til at installere en keylogger, er det vel intet problem at få
>fat i den nævnte nøglefil også, det er vel egentligt hurtigere end at
>vente på at brugeren indtaster sit password?

Jo, det er noget vrøvl. Kombinationen af en nøgle og et password
er den mest usikre metode, når pc'en først er kompromitteret.

Løsninger med tokens (Danske Banks "Mac-version") og éngangs-
nøgler (Jyske Bank) er klart at foretrække. De kræver nemlig
begge adgang til noget fysisk, som hackeren umuligt kan få fat
i online.

Det er klart, at alle metoderne er sårbare over for "Man in
the middle"-angreb, men der er nogle timing-issues i det, der
gør dem upraktiske. Især når der er så mange nøgle-baserede
løsninger, der er simple at misbruge.

Mvh.
   Klaus.

Kasper Laudrup (20-01-2007)
Kommentar
Fra : Kasper Laudrup


Dato : 20-01-07 12:34

On Sat, 20 Jan 2007 11:25:06 +0000, Klaus Ellegaard wrote:

> Kasper Laudrup <laudrup_fjern_dette_@linuxfan.dk> writes:
>
>>Nu bruger jeg ikke selv Nordea og er ikke nogen sikkerhedsekspert, men er
>>det ikke umiddelbart noget vrøvl? Hvis man har kontrol nok over offerets
>>computer til at installere en keylogger, er det vel intet problem at få
>>fat i den nævnte nøglefil også, det er vel egentligt hurtigere end at
>>vente på at brugeren indtaster sit password?
>
> Jo, det er noget vrøvl. Kombinationen af en nøgle og et password
> er den mest usikre metode, når pc'en først er kompromitteret.
>
> Løsninger med tokens (Danske Banks "Mac-version") og éngangs-
> nøgler (Jyske Bank) er klart at foretrække. De kræver nemlig
> begge adgang til noget fysisk, som hackeren umuligt kan få fat
> i online.
>

Det er også derfor jeg føler mig relativt sikker med Jyske Bank, som
også fungerer uden problemer under andre operativsystemer end Windows.
Derudover slipper man også for at rende rundt med en nøglefil på en
diskette, USB-nøgle eller lignede som alligevel ikke giver ekstra
sikkerhed.

> Det er klart, at alle metoderne er sårbare over for "Man in the
> middle"-angreb, men der er nogle timing-issues i det, der gør dem
> upraktiske. Især når der er så mange nøgle-baserede løsninger, der
> er simple at misbruge.
>
> Mvh.
>    Klaus.

Så vidt jeg har læst og forstået er man-in-the-middle attacks næppe
den store risiko i praksis. Det er nok snarere en teoretisk mulighed, men
i praksis viser det sig jo, at det er langt nemmere at få folk til
friviligt at installere et program på sin computer, så det er indtil
videre ikke besværet værd.

Tak for dit svar!

Mvh.
Kasper

--
This post has not been scanned for virus. Read at your own risk!


Jesper Haaber Gyllin~ (24-01-2007)
Kommentar
Fra : Jesper Haaber Gyllin~


Dato : 24-01-07 22:52

Kasper Laudrup <laudrup_fjern_dette_@linuxfan.dk> wrote:

> On Sat, 20 Jan 2007 11:25:06 +0000, Klaus Ellegaard wrote:
>
> > Kasper Laudrup <laudrup_fjern_dette_@linuxfan.dk> writes:
> >
> >>Nu bruger jeg ikke selv Nordea og er ikke nogen sikkerhedsekspert, men er
> >>det ikke umiddelbart noget vrøvl? Hvis man har kontrol nok over offerets
> >>computer til at installere en keylogger, er det vel intet problem at få
> >>fat i den nævnte nøglefil også, det er vel egentligt hurtigere end at
> >>vente på at brugeren indtaster sit password?
> >
> > Jo, det er noget vrøvl. Kombinationen af en nøgle og et password
> > er den mest usikre metode, når pc'en først er kompromitteret.
> >
> > Løsninger med tokens (Danske Banks "Mac-version") og éngangs-
> > nøgler (Jyske Bank) er klart at foretrække. De kræver nemlig
> > begge adgang til noget fysisk, som hackeren umuligt kan få fat
> > i online.
> >
>
> Det er også derfor jeg føler mig relativt sikker med Jyske Bank, som
> også fungerer uden problemer under andre operativsystemer end Windows.
> Derudover slipper man også for at rende rundt med en nøglefil på en
> diskette, USB-nøgle eller lignede som alligevel ikke giver ekstra
> sikkerhed.

Jyske Bank er supersmart. Du kan bruge den fra Mac, PC, Linux og du har
nogenlunde frit browservalg. Du kan bruge den fra andres computere,
netcafeer og så videre. Bare den er på nettet.

Ulempen ved dem hvor der skal ligge en key er nemlig at har en først fat
i computeren, så er man sgu på den. Desuden kan man ikke bruge sin
netbank fra andre computere end ens egen.

--
med venlig hilsen Jesper Haaber Gylling
http://www.gylling.net/
AIM/iChat: macnerd1965 + MSN: jesper@gylling.net
Skype: jesperhaabergylling

Alex Holst (24-01-2007)
Kommentar
Fra : Alex Holst


Dato : 24-01-07 23:29

Jesper Haaber Gylling wrote:
> Ulempen ved dem hvor der skal ligge en key er nemlig at har en først fat
> i computeren, så er man sgu på den. Desuden kan man ikke bruge sin
> netbank fra andre computere end ens egen.

Hvordan er det en ulempe at man ikke kan logge på netbank fra computere
andre end den/de man har grund til at stole på?


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Jesper Haaber Gyllin~ (24-01-2007)
Kommentar
Fra : Jesper Haaber Gyllin~


Dato : 24-01-07 23:36

Alex Holst <a@mongers.org> wrote:

> Jesper Haaber Gylling wrote:
> > Ulempen ved dem hvor der skal ligge en key er nemlig at har en først fat
> > i computeren, så er man sgu på den. Desuden kan man ikke bruge sin
> > netbank fra andre computere end ens egen.
>
> Hvordan er det en ulempe at man ikke kan logge på netbank fra computere
> andre end den/de man har grund til at stole på?

Tja, da jeg var ude at rejse var det da fedt at kunne gå på netbank fra
en tilfældig computer på en café.

--
med venlig hilsen Jesper Haaber Gylling
http://www.gylling.net/
AIM/iChat: macnerd1965 + MSN: jesper@gylling.net
Skype: jesperhaabergylling

Kasper Laudrup (25-01-2007)
Kommentar
Fra : Kasper Laudrup


Dato : 25-01-07 00:21

On Wed, 24 Jan 2007 23:36:24 +0100, Jesper Haaber Gylling wrote:

> Alex Holst <a@mongers.org> wrote:
>
>> Jesper Haaber Gylling wrote:
>> > Ulempen ved dem hvor der skal ligge en key er nemlig at har en først fat
>> > i computeren, så er man sgu på den. Desuden kan man ikke bruge sin
>> > netbank fra andre computere end ens egen.
>>
>> Hvordan er det en ulempe at man ikke kan logge på netbank fra computere
>> andre end den/de man har grund til at stole på?
>
> Tja, da jeg var ude at rejse var det da fedt at kunne gå på netbank fra
> en tilfældig computer på en café.

Og risikoen for at der ligger et program der danner en falsk login side,
stjæler koder osv. til lige netop jyske bank på den computer man bruger
på en tilfældig netcafe, når man er på ferie er nok relativt minimal.

Mvh.
Kasper

--
This email has not been scanned for virus. Read at your own risk!


Klaus Ellegaard (24-01-2007)
Kommentar
Fra : Klaus Ellegaard


Dato : 24-01-07 23:39

jesper@gylling.net (Jesper Haaber Gylling) writes:

>Ulempen ved dem hvor der skal ligge en key er nemlig at har en først fat
>i computeren, så er man sgu på den. Desuden kan man ikke bruge sin
>netbank fra andre computere end ens egen.

Men Jyske Banks system er nøjagtig så sårbart over for det MITM-
angreb, vi har diskuteret (well, pånær Axel alle været enige om)
den sidste uges tid.

I praksis er det dog - som nævnt i starten af tråden - stort set
ligegyldigt at bekymre sig om. Netop fordi de nøglefils-baserede
netbanker er så meget nemmere at forgribe sig på.

Mvh.
   Klaus.

Jesper Haaber Gyllin~ (24-01-2007)
Kommentar
Fra : Jesper Haaber Gyllin~


Dato : 24-01-07 23:46

Klaus Ellegaard <klausellegaard@msn.com> wrote:

> jesper@gylling.net (Jesper Haaber Gylling) writes:
>
> >Ulempen ved dem hvor der skal ligge en key er nemlig at har en først fat
> >i computeren, så er man sgu på den. Desuden kan man ikke bruge sin
> >netbank fra andre computere end ens egen.
>
> Men Jyske Banks system er nøjagtig så sårbart over for det MITM-
> angreb, vi har diskuteret (well, pånær Axel alle været enige om)
> den sidste uges tid.

Nu er det temmelig svært for ikke at sige umuligt at overtage en Mac, så
jeg føler mig ganske sikker.

--
med venlig hilsen Jesper Haaber Gylling
http://www.gylling.net/
AIM/iChat: macnerd1965 + MSN: jesper@gylling.net
Skype: jesperhaabergylling

Alex Holst (24-01-2007)
Kommentar
Fra : Alex Holst


Dato : 24-01-07 23:57

Jesper Haaber Gylling wrote:
> Nu er det temmelig svært for ikke at sige umuligt at overtage en Mac, så
> jeg føler mig ganske sikker.

   http://docs.info.apple.com/article.html?artnum=61798

   http://www.info.apple.com/kbnum/n300667

   http://www.info.apple.com/kbnum/n25631

Hvor mange sikkerhedsrettelser til OS X kan du tælle dig frem til på
ovenstående dokumenter? Jeg skyder på 150.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Klaus Ellegaard (25-01-2007)
Kommentar
Fra : Klaus Ellegaard


Dato : 25-01-07 00:02

jesper@gylling.net (Jesper Haaber Gylling) writes:

>Nu er det temmelig svært for ikke at sige umuligt at overtage en Mac, så
>jeg føler mig ganske sikker.

Vil Apple skrive under på en kontrakt, hvor de lover at give mig
1000 milliarder dollars, hvis min Mac bliver overtaget af en ond
mand?

Hvis svaret er nej, er det i allerhøjeste grad muligt, at en Mac
bliver overtaget, og at man følgelig overhovedet ikke er sikker.

Mvh.
   Klaus.

J.K.Arning (20-01-2007)
Kommentar
Fra : J.K.Arning


Dato : 20-01-07 13:37

On Sat, 20 Jan 2007 11:25:06 +0000 (UTC), Klaus Ellegaard wrote:


> Løsninger med tokens (Danske Banks "Mac-version") og éngangs-
> nøgler (Jyske Bank) er klart at foretrække. De kræver nemlig
> begge adgang til noget fysisk, som hackeren umuligt kan få fat
> i online.
>

Jeg har både konto og netbank i Nordea DK og Nordea SE. I sverige benytter
jeg brugernanvn, adgangskode + engangs adgangskode fra et fysisk kort hvor
jeg skraber denne engangs adgangskode fri når jeg skal bruge den. Hvordan
det skulle kunne lykkedes nogen at omgå dette er mig en gåde men jeg så så
heller ikke det omtalte program.

Og så vil jeg tilføje at Nordea SE løsningen er langt dne letteste at
benytte i hverdagen da jeg reelt kan tilgå min netbank lige hvor jeg vil
uden at skulle have andet end nøglekortet i lommen.


--
:: J.K.Arning :: 20-01-2007 13:33:25 :: http://arning.dk ::

jørgen (20-01-2007)
Kommentar
Fra : jørgen


Dato : 20-01-07 13:41

J.K.Arning wrote:

> Jeg har både konto og netbank i Nordea DK og Nordea SE. I sverige benytter
> jeg brugernanvn, adgangskode + engangs adgangskode fra et fysisk kort hvor
> jeg skraber denne engangs adgangskode fri når jeg skal bruge den. Hvordan
> det skulle kunne lykkedes nogen at omgå dette er mig en gåde men jeg så så
> heller ikke det omtalte program.


Een åbenlys mulighed er, at trojeren ringer hackeren op når du tilgår
banken. Mens du er logget ind, har han også adgang

J.K.Arning (20-01-2007)
Kommentar
Fra : J.K.Arning


Dato : 20-01-07 13:48

On Sat, 20 Jan 2007 13:40:55 +0100, jørgen wrote:

> J.K.Arning wrote:
>
>> Jeg har både konto og netbank i Nordea DK og Nordea SE. I sverige benytter
>> jeg brugernanvn, adgangskode + engangs adgangskode fra et fysisk kort hvor
>> jeg skraber denne engangs adgangskode fri når jeg skal bruge den. Hvordan
>> det skulle kunne lykkedes nogen at omgå dette er mig en gåde men jeg så så
>> heller ikke det omtalte program.
>
>
> Een åbenlys mulighed er, at trojeren ringer hackeren op når du tilgår
> banken. Mens du er logget ind, har han også adgang

Enhver handling i netbanken skal bekræftes med en engangs kode. Logind
kræver en kode. At afsende en betaling eller flere samtidigt kræver en ny
kode m.m. så hvordan skulle en hacker kunne foretage sig noget uden
engangskoder?


--
:: J.K.Arning :: 20-01-2007 13:46:51 :: http://arning.dk ::

J.K.Arning (20-01-2007)
Kommentar
Fra : J.K.Arning


Dato : 20-01-07 13:58

On Sat, 20 Jan 2007 13:47:55 +0100, J.K.Arning wrote:

> Enhver handling i netbanken skal bekræftes med en engangs kode. Logind
> kræver en kode. At afsende en betaling eller flere samtidigt kræver en ny
> kode m.m. så hvordan skulle en hacker kunne foretage sig noget uden
> engangskoder?

Sagt på en anden måde, det kræver en engangskode at logge ind, hvis du ikke
kan oplyse en ny engangskode kan du intet foretage dig udover at se en
saldo eller generelt browse rundt på siden.

--
:: J.K.Arning :: 20-01-2007 13:56:46 :: http://arning.dk ::

jørgen (20-01-2007)
Kommentar
Fra : jørgen


Dato : 20-01-07 14:05

J.K.Arning wrote:

> Sagt på en anden måde, det kræver en engangskode at logge ind, hvis du ikke
> kan oplyse en ny engangskode kan du intet foretage dig udover at se en
> saldo eller generelt browse rundt på siden.

Ok, jeg antog man kun skulle bruge engangskoden til at logge på.

Så kan man måske forestille sig systemet brudt ved, at hackeren viser
een ting for brugeren, og en anden ting for banken. Dvs det er et
forkert kontonr og pengebeløb brugeren godkender

J.K.Arning (20-01-2007)
Kommentar
Fra : J.K.Arning


Dato : 20-01-07 14:15

On Sat, 20 Jan 2007 14:04:44 +0100, jørgen wrote:

> J.K.Arning wrote:
>
>> Sagt på en anden måde, det kræver en engangskode at logge ind, hvis du ikke
>> kan oplyse en ny engangskode kan du intet foretage dig udover at se en
>> saldo eller generelt browse rundt på siden.
>
> Ok, jeg antog man kun skulle bruge engangskoden til at logge på.
>
> Så kan man måske forestille sig systemet brudt ved, at hackeren viser
> een ting for brugeren, og en anden ting for banken. Dvs det er et
> forkert kontonr og pengebeløb brugeren godkender

Ja det ville give mening, men så skal hackeren altså også som du vistnok
tidligere skriver rent faktisk være tilstede lige når det sker.

--
:: J.K.Arning :: 20-01-2007 14:13:58 :: http://arning.dk ::

Christian Laursen (20-01-2007)
Kommentar
Fra : Christian Laursen


Dato : 20-01-07 14:16

"J.K.Arning" <spam@arning.dk> writes:

> On Sat, 20 Jan 2007 14:04:44 +0100, jørgen wrote:
>
>> Så kan man måske forestille sig systemet brudt ved, at hackeren viser
>> een ting for brugeren, og en anden ting for banken. Dvs det er et
>> forkert kontonr og pengebeløb brugeren godkender
>
> Ja det ville give mening, men så skal hackeren altså også som du vistnok
> tidligere skriver rent faktisk være tilstede lige når det sker.

Den slags kan da automatiseres.

--
Christian Laursen

Ukendt (20-01-2007)
Kommentar
Fra : Ukendt


Dato : 20-01-07 15:58


Check Danske Banks "active card"

Forskellig kode og adgang hver gang som virker i 20 sekunder! . . .
- betyder at der er intet gemt på computeren og banken kan kontaktes fra
enhver computer . . .




jørgen (20-01-2007)
Kommentar
Fra : jørgen


Dato : 20-01-07 16:03

Blume, Alf wrote:
> Check Danske Banks "active card"
>
> Forskellig kode og adgang hver gang som virker i 20 sekunder! . . .
> - betyder at der er intet gemt på computeren og banken kan kontaktes fra
> enhver computer . . .

Det er da meget godt. Men hvis hackeren har infiltreret computeren, og
kan opfange engangskoden i det splitsekund den indtastes; så er der vel
ikke noget som forhindrer ham i at "annullere" brugerens egen
pengeoverførsel, og udføre sin egen - med den gyldige kode?

gil (20-01-2007)
Kommentar
Fra : gil


Dato : 20-01-07 16:51

Den 20-01-2007 16:03, skrev jørgen:

>
> Det er da meget godt. Men hvis hackeren har infiltreret computeren, og
> kan opfange engangskoden i det splitsekund den indtastes; så er der vel
> ikke noget som forhindrer ham i at "annullere" brugerens egen
> pengeoverførsel, og udføre sin egen - med den gyldige kode?

Først skal du logge på med en engangskode. For at gennemføre en
overførsel skal denne konfirmeres med endnu en kode. Man aflæser på
skærmen en af banken genereret kode, denne indtastes i ens Active Card
som så generer koden til bekræftigelse. Virker *meget* vandtæt.

--
gil

jørgen (20-01-2007)
Kommentar
Fra : jørgen


Dato : 20-01-07 16:58

gil wrote:

> Virker *meget* vandtæt.

Måske. Jeg har 0% kendskab til hvordan den tekniske del af systemet er
bygget op. Så jeg tør ikke sige hvad der er muligt, og hvad der ikke er

gil (20-01-2007)
Kommentar
Fra : gil


Dato : 20-01-07 17:20

Den 20-01-2007 16:58, skrev jørgen:


>
> Måske. Jeg har 0% kendskab til hvordan den tekniske del af systemet er
> bygget op. Så jeg tør ikke sige hvad der er muligt, og hvad der ikke er
>

Lidt mere om produktet:
http://www.itsecuritymall.com/actividentity/tokens_feat.html

--
gil

jørgen (20-01-2007)
Kommentar
Fra : jørgen


Dato : 20-01-07 17:50

gil wrote:

> Lidt mere om produktet:
> http://www.itsecuritymall.com/actividentity/tokens_feat.html

Den del er muligvis sikker nok. Det er hvordan systemet behandler den
token og overførslen brugeren er ved at godkende, som måske kan være hullet

gil (20-01-2007)
Kommentar
Fra : gil


Dato : 20-01-07 17:59

Den 20-01-2007 17:49, skrev jørgen:


>
> Den del er muligvis sikker nok. Det er hvordan systemet behandler den
> token og overførslen brugeren er ved at godkende, som måske kan være hullet
>

Det er jeg helt med på; men umiddelbart virker konstruktionen med nye
koder, hver gang der skal foretages en transaktion, som en mere
gennemtænk løsning, sammenlignet med visse andre løsninger.

--
gil

Andreas Plesner Jaco~ (20-01-2007)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 20-01-07 18:26

On 2007-01-20, gil <gil@obyon.com> wrote:
>
> Først skal du logge på med en engangskode. For at gennemføre en
> overførsel skal denne konfirmeres med endnu en kode. Man aflæser på
> skærmen en af banken genereret kode, denne indtastes i ens Active Card
> som så generer koden til bekræftigelse. Virker *meget* vandtæt.

Jørgen har dog ret i at man kan udføre et man-in-the-middle angreb, og
udskifte brugerens transaktion med ens egen.

--
Andreas

gil (20-01-2007)
Kommentar
Fra : gil


Dato : 20-01-07 18:43

Den 20-01-2007 18:25, skrev Andreas Plesner Jacobsen:

>
> Jørgen har dog ret i at man kan udføre et man-in-the-middle angreb, og
> udskifte brugerens transaktion med ens egen.
>

Nej, i det separate skærmbillede hvor accept koden skal indtastes
fremgår det klart hvad det er der vil ske når koden er indtastet og man
trykker OK. Altså i klart sprog fra hvor til hvor.

--
gil

Kent Friis (20-01-2007)
Kommentar
Fra : Kent Friis


Dato : 20-01-07 18:47

Den Sat, 20 Jan 2007 18:43:24 +0100 skrev gil:
> Den 20-01-2007 18:25, skrev Andreas Plesner Jacobsen:
>
>>
>> Jørgen har dog ret i at man kan udføre et man-in-the-middle angreb, og
>> udskifte brugerens transaktion med ens egen.
>>
>
> Nej, i det separate skærmbillede hvor accept koden skal indtastes
> fremgår det klart hvad det er der vil ske når koden er indtastet og man
> trykker OK. Altså i klart sprog fra hvor til hvor.

Hvilken garanti har du for at det der står på skærmen er det samme som
bliver sendt over netværket?

Mvh
Kent

--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

gil (20-01-2007)
Kommentar
Fra : gil


Dato : 20-01-07 19:05

Den 20-01-2007 18:46, skrev Kent Friis:


>
> Hvilken garanti har du for at det der står på skærmen er det samme som
> bliver sendt over netværket?
>

OM koden, der skal laves accept på, er unik i forhold til det som *jeg*
mener at have gang i, ved jeg ikke; men umiddelbart efter at have
trykket OK, så vil transaktionen fremgå af kontoen, er dette ikke i
overensstemmelse med det tilsigtede, ja så må alle alarmklokker vel
ringe. *Jeg* tror det er lang ude; men alt kan jo lade sige gøre, siger
nogle.

--
gil

Kent Friis (20-01-2007)
Kommentar
Fra : Kent Friis


Dato : 20-01-07 19:11

Den Sat, 20 Jan 2007 19:04:33 +0100 skrev gil:
> Den 20-01-2007 18:46, skrev Kent Friis:
>
>
>>
>> Hvilken garanti har du for at det der står på skærmen er det samme som
>> bliver sendt over netværket?
>>
>
> OM koden, der skal laves accept på, er unik i forhold til det som *jeg*
> mener at have gang i, ved jeg ikke;

Det kan den ikke være. Banken ved ikke hvad du mener at have gang i,
de ved kun hvad de modtager fra den angrebne maskine. Og du ved ikke
hvad banken tror du vil, og koden du skal indtaste kan heller ikke
fortælle det.

> men umiddelbart efter at have
> trykket OK, så vil transaktionen fremgå af kontoen,

Men det kan du jo ikke se før du får næste kontoudtog fra banken. Den
angrebne PC kan jo bare fortælle dig hvad den tror du vil vide (nemlig
at du har overført de penge du bad om til den rigtige konto).

> er dette ikke i
> overensstemmelse med det tilsigtede, ja så må alle alarmklokker vel
> ringe.

Når først du opdager det er kontoen tom.

> *Jeg* tror det er lang ude; men alt kan jo lade sige gøre, siger
> nogle.

Det kan sagtens lad sig gøre. Der er en masse arbejde i det, og en
stor del af arbejdet vil være bank-specifikt, så der er klart nemmere
mål at angribe.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

gil (20-01-2007)
Kommentar
Fra : gil


Dato : 20-01-07 19:11

Den 20-01-2007 18:46, skrev Kent Friis:


>
> Hvilken garanti har du for at det der står på skærmen er det samme som
> bliver sendt over netværket?
>

Danske Bank erkender i dag, i JP, at de bliver lænset; men efter
artiklen at dømme, er det på systemer med nøglefiler problemet skal findes.

http://epn.dk/finans/pengeinstitutter/article17286.ece

--
gil

Alex Holst (20-01-2007)
Kommentar
Fra : Alex Holst


Dato : 20-01-07 19:06

J.K.Arning wrote:
> Jeg har både konto og netbank i Nordea DK og Nordea SE. I sverige benytter
> jeg brugernanvn, adgangskode + engangs adgangskode fra et fysisk kort hvor
> jeg skraber denne engangs adgangskode fri når jeg skal bruge den. Hvordan
> det skulle kunne lykkedes nogen at omgå dette er mig en gåde men jeg så så
> heller ikke det omtalte program.

Jeg så det heller ikke, men det er min forståelse at angrebet, i bedste
mitm stil, opsnappede engangskoderne og ændrede på transaktionerne inden
de blev afsendt.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Erling S. (20-01-2007)
Kommentar
Fra : Erling S.


Dato : 20-01-07 12:28

Kasper Laudrup skrev:
> Hej gruppe,
>
> Da jeg nu så et andet indlæg omkring Nordea, tænkte jeg på, om nogen
> tilfældigvis så TV-avisen i går, hvor en repræsentant fra Nordea
> argumenterede for sikkerheden i deres netbank. I forbindelse med angreb i
> Sverige havde "hackere" fået fat i brugeres password ved at installere
> keyloggere (formentligt via trojanere i emails), men han argumenterede så
> for, at sikkerheden i den danske Nordea var langt bedre, da man
> også brugte nøglefiler.
>
> Nu bruger jeg ikke selv Nordea og er ikke nogen sikkerhedsekspert, men er
> det ikke umiddelbart noget vrøvl? Hvis man har kontrol nok over offerets
> computer til at installere en keylogger, er det vel intet problem at få
> fat i den nævnte nøglefil også, det er vel egentligt hurtigere end at
> vente på at brugeren indtaster sit password?
>
> Har jeg misforstået noget?
>
> Nu bruger jeg som sagt ikke selv Nordea, så spørgsmålet er blot ud fra
> generel interesse...
>
> Mvh.
> Kasper
>
Hej.
Jo umiddelbart skulle man tro, at en dygtig hacker sagtens kunne få fat
i nøglefilen, som mange lægger på deres harddisk.
Lidt sværere er det for dem, hvis man i stedet har sin nøglefil på en
diskette eller usb-stick - hvor de netop skal "være der", mens man
bruger nøglefilen (den kan jo også stjæles bogstavelig - hvis man ikke
passer på sine filer).
Men i princippet er man aldrig 100% sikker.
Der kunne nok gøres mere fra Nordeas side for at sikre deres systemer bedre.
/Erling

Bjarke Andersen (20-01-2007)
Kommentar
Fra : Bjarke Andersen


Dato : 20-01-07 13:00

Kasper Laudrup <laudrup_fjern_dette_@linuxfan.dk> crashed Echelon writing
news:pan.2007.01.20.11.15.12.149989@linuxfan.dk:

> Da jeg nu så et andet indlæg omkring Nordea, tænkte jeg på, om nogen
> tilfældigvis så TV-avisen i går, hvor en repræsentant fra Nordea
> argumenterede for sikkerheden i deres netbank. I forbindelse med angreb i
> Sverige havde "hackere" fået fat i brugeres password ved at installere
> keyloggere (formentligt via trojanere i emails), men han argumenterede så
> for, at sikkerheden i den danske Nordea var langt bedre, da man
> også brugte nøglefiler.

Tja nøglefiler kan tages ud af computeren.


> Nu bruger jeg ikke selv Nordea og er ikke nogen sikkerhedsekspert, men er
> det ikke umiddelbart noget vrøvl? Hvis man har kontrol nok over offerets
> computer til at installere en keylogger, er det vel intet problem at få
> fat i den nævnte nøglefil også, det er vel egentligt hurtigere end at
> vente på at brugeren indtaster sit password?

Jeg vil sige du har ret.

Dog undrer denne Nordea sag mig. Da for et år eller 2 siden var lignende
sag i Danmark, brystede svenske Nordea sig med at anvende skrabelodder
eller med engangkoder.

Har Nordea i Sverige nedgraderet sikkerheden?

I min verden burde alle banker udlevere Secur-ID eller lign, da de giver et
niveau sikkerhed mere. Udover man skal kende login, og have evt
sikkerhedsnøgler fra maskinen, skal man osse fysisk have fat i
nøglegeneratoren, som kunden har.

Sorry for manglende rigtig buzz word. Jeg har savsmuld i øjnene og hjernen
er gået kold.

--
Bjarke Andersen

J.K.Arning (20-01-2007)
Kommentar
Fra : J.K.Arning


Dato : 20-01-07 13:41

On 20 Jan 2007 12:00:23 GMT, Bjarke Andersen wrote:


> Dog undrer denne Nordea sag mig. Da for et år eller 2 siden var lignende
> sag i Danmark, brystede svenske Nordea sig med at anvende skrabelodder
> eller med engangkoder.
>
> Har Nordea i Sverige nedgraderet sikkerheden?

Nej det har de ikke og derfor undrer historien mig også men som skrevet i
et andet indlæg så så jeg ikke programmet.

--
:: J.K.Arning :: 20-01-2007 13:39:39 :: http://arning.dk ::

Alex Holst (20-01-2007)
Kommentar
Fra : Alex Holst


Dato : 20-01-07 19:31

Bjarke Andersen wrote:
> I min verden burde alle banker udlevere Secur-ID eller lign, da de giver et
> niveau sikkerhed mere. Udover man skal kende login, og have evt
> sikkerhedsnøgler fra maskinen, skal man osse fysisk have fat i
> nøglegeneratoren, som kunden har.

Hvis en angriber har totalt kontrol over en brugers maskine, kan intet
forhindre at brugerens godkendte transaktioner bliver omskrevet inden de
sendes til banken.

(Personligt kunne jeg godt tænke mig at det at benytte netbank fra en
angrebet PC sidestilles med at opbevare Dankort og pinkode sammen. Så
hæfter kunden for evt. tab.)

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

jørgen (20-01-2007)
Kommentar
Fra : jørgen


Dato : 20-01-07 19:49

Alex Holst wrote:

> (Personligt kunne jeg godt tænke mig at det at benytte netbank fra en
> angrebet PC sidestilles med at opbevare Dankort og pinkode sammen. Så
> hæfter kunden for evt. tab.)

Hvorfor dog det? Som computer-verdenen ser ud i dag, kan selv de
dygtigste eksperter blive ramt. Er man oppe mod meget dygtige hackere,
så optager man dem sikkert slet ikke, før det er for sent.

Det er altså ikke det samme, som at skrive sin pinkode på sit dankort

Alex Holst (20-01-2007)
Kommentar
Fra : Alex Holst


Dato : 20-01-07 21:26

jørgen wrote:
> Alex Holst wrote:
>
>> (Personligt kunne jeg godt tænke mig at det at benytte netbank fra en
>> angrebet PC sidestilles med at opbevare Dankort og pinkode sammen. Så
>> hæfter kunden for evt. tab.)
>
> Hvorfor dog det? Som computer-verdenen ser ud i dag, kan selv de
> dygtigste eksperter blive ramt.

Som computer-verdenen ser ud i dag, kan man let undgå at blive "ramt",
blot man følger nogle relativt simple regler om PC brug. Det virker fint
for menneskerne i min omgangskreds.

Vi har haft denne diskussion en million-milliard gange her i gruppen.

> Er man oppe mod meget dygtige hackere,
> så optager man dem sikkert slet ikke, før det er for sent.
>
> Det er altså ikke det samme, som at skrive sin pinkode på sit dankort

Det er først hvis man bliver udset som mål af angribere der har tid og
resourcer til at finde nye huller i ens operativsystem. Ankelbiderne der
sender malware/phishing mail falder ikke i denne gruppe.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Axel Hammerschmidt (20-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 20-01-07 21:34

Alex Holst <a@mongers.org> wrote:

<snip>

> Hvis en angriber har totalt kontrol over en brugers maskine, kan intet
> forhindre at brugerens godkendte transaktioner bliver omskrevet inden de
> sendes til banken.

Det er jeg ikke enig i. Nu ved jeg ikke om det virker på den måde, men
med ActivCard skal man indtraste et tal, som man bliver præsenteret for
på skærmen ved selve transaktionen, i sin ActivCard. Det tal, som
ActivCard melder tilbage skal så indtastes og bliver sendt tilbage til
banken før transaktionen bliver gennemført.

Det første tal, som banken sender kan så gøres afhængig af de
talværdier, f.eks beløbene og kontonumrer som indgår.

Kent Friis (20-01-2007)
Kommentar
Fra : Kent Friis


Dato : 20-01-07 21:42

Den Sat, 20 Jan 2007 21:34:15 +0100 skrev Axel Hammerschmidt:
> Alex Holst <a@mongers.org> wrote:
>
> <snip>
>
>> Hvis en angriber har totalt kontrol over en brugers maskine, kan intet
>> forhindre at brugerens godkendte transaktioner bliver omskrevet inden de
>> sendes til banken.
>
> Det er jeg ikke enig i. Nu ved jeg ikke om det virker på den måde, men
> med ActivCard skal man indtraste et tal, som man bliver præsenteret for
> på skærmen ved selve transaktionen, i sin ActivCard. Det tal, som
> ActivCard melder tilbage skal så indtastes og bliver sendt tilbage til
> banken før transaktionen bliver gennemført.
>
> Det første tal, som banken sender kan så gøres afhængig af de
> talværdier, f.eks beløbene og kontonumrer som indgår.

Og hvordan kommer du derfra og til at brugeren kan verificere at
det er de korrekte tal?

Eller med "afhængig af", at beløb + kontonummer er en del af
tallet (som så kommer op i nærheden af 20 cifre), så det kan aflæses
direkte?

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Axel Hammerschmidt (20-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 20-01-07 21:59

Kent Friis <nospam@nospam.invalid> wrote:

> Den Sat, 20 Jan 2007 21:34:15 +0100 skrev Axel Hammerschmidt:
>
> > Alex Holst <a@mongers.org> wrote:
> >
> > <snip>
> >
> >> Hvis en angriber har totalt kontrol over en brugers maskine, kan intet
> >> forhindre at brugerens godkendte transaktioner bliver omskrevet inden de
> >> sendes til banken.
> >
> > Det er jeg ikke enig i. Nu ved jeg ikke om det virker på den måde, men
> > med ActivCard skal man indtraste et tal, som man bliver præsenteret for
> > på skærmen ved selve transaktionen, i sin ActivCard. Det tal, som
> > ActivCard melder tilbage skal så indtastes og bliver sendt tilbage til
> > banken før transaktionen bliver gennemført.
> >
> > Det første tal, som banken sender kan så gøres afhængig af de
> > talværdier, f.eks beløbene og kontonumrer som indgår.
>
> Og hvordan kommer du derfra og til at brugeren kan verificere at
> det er de korrekte tal?

Det er kun banken, som er modtager der skal.

> Eller med "afhængig af", at beløb + kontonummer er en del af
> tallet (som så kommer op i nærheden af 20 cifre), så det kan aflæses
> direkte?

Det behøver det ikke at være. Det kan være alt fra en simpel tværsum til
en hash funktion. Nytten er, at det fungerer som en digital signatur.

Kent Friis (20-01-2007)
Kommentar
Fra : Kent Friis


Dato : 20-01-07 22:01

Den Sat, 20 Jan 2007 21:58:45 +0100 skrev Axel Hammerschmidt:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>> Den Sat, 20 Jan 2007 21:34:15 +0100 skrev Axel Hammerschmidt:
>>
>> > Alex Holst <a@mongers.org> wrote:
>> >
>> > <snip>
>> >
>> >> Hvis en angriber har totalt kontrol over en brugers maskine, kan intet
>> >> forhindre at brugerens godkendte transaktioner bliver omskrevet inden de
>> >> sendes til banken.
>> >
>> > Det er jeg ikke enig i. Nu ved jeg ikke om det virker på den måde, men
>> > med ActivCard skal man indtraste et tal, som man bliver præsenteret for
>> > på skærmen ved selve transaktionen, i sin ActivCard. Det tal, som
>> > ActivCard melder tilbage skal så indtastes og bliver sendt tilbage til
>> > banken før transaktionen bliver gennemført.
>> >
>> > Det første tal, som banken sender kan så gøres afhængig af de
>> > talværdier, f.eks beløbene og kontonumrer som indgår.
>>
>> Og hvordan kommer du derfra og til at brugeren kan verificere at
>> det er de korrekte tal?
>
> Det er kun banken, som er modtager der skal.

Hvordan ved banken hvilket kontonummer kunden tænkte på? Altså når
kunden vil overføre til kontonummer 1234, men banken aldrig ser andet
end kontonummer 4321.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

gil (20-01-2007)
Kommentar
Fra : gil


Dato : 20-01-07 22:41

Den 20-01-2007 22:01, skrev Kent Friis:

>
> Hvordan ved banken hvilket kontonummer kunden tænkte på? Altså når
> kunden vil overføre til kontonummer 1234, men banken aldrig ser andet
> end kontonummer 4321.
>

Hvis banken aldrig ser andet end 4321, så vil jeg jo også blive
præsenteret for det forkerte i skærmbillede hvor accept koden skal
indtastes, right?

--
gil

Kent Friis (20-01-2007)
Kommentar
Fra : Kent Friis


Dato : 20-01-07 23:01

Den Sat, 20 Jan 2007 22:40:37 +0100 skrev gil:
> Den 20-01-2007 22:01, skrev Kent Friis:
>
>>
>> Hvordan ved banken hvilket kontonummer kunden tænkte på? Altså når
>> kunden vil overføre til kontonummer 1234, men banken aldrig ser andet
>> end kontonummer 4321.
>>
>
> Hvis banken aldrig ser andet end 4321, så vil jeg jo også blive
> præsenteret for det forkerte i skærmbillede hvor accept koden skal
> indtastes, right?

Du sidder ikke nede i banken.

Det du ser er hvad din PC viser. Hvis din PC er "h4x0rd", så viser
den det angriberen ønsker du skal se.

Det er hele princippet i et MITM-angreb. Du aner ikke hvad banken
ser, og banken aner ikke hvad du ser.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

gil (21-01-2007)
Kommentar
Fra : gil


Dato : 21-01-07 00:00

Den 20-01-2007 23:01, skrev Kent Friis:


>
> Du sidder ikke nede i banken.
>
> Det du ser er hvad din PC viser. Hvis din PC er "h4x0rd", så viser
> den det angriberen ønsker du skal se.
>
> Det er hele princippet i et MITM-angreb. Du aner ikke hvad banken
> ser, og banken aner ikke hvad du ser.
>

Hvis 'banken' ikke svarer rigtigt på min forespørgsel svarer jeg sku' da
ikke OK. Din teori omfatter to spørgsmål til 'banken', mit og
angriberens. Forventer du to svar fra 'banken'? No way.

--
gil



Kent Friis (21-01-2007)
Kommentar
Fra : Kent Friis


Dato : 21-01-07 00:03

Den Sun, 21 Jan 2007 00:00:29 +0100 skrev gil:
> Den 20-01-2007 23:01, skrev Kent Friis:
>
>
>>
>> Du sidder ikke nede i banken.
>>
>> Det du ser er hvad din PC viser. Hvis din PC er "h4x0rd", så viser
>> den det angriberen ønsker du skal se.
>>
>> Det er hele princippet i et MITM-angreb. Du aner ikke hvad banken
>> ser, og banken aner ikke hvad du ser.
>>
>
> Hvis 'banken' ikke svarer rigtigt på min forespørgsel svarer jeg sku' da
> ikke OK.

Hvilken forespøgsel?

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

gil (21-01-2007)
Kommentar
Fra : gil


Dato : 21-01-07 00:10

Den 21-01-2007 00:02, skrev Kent Friis:


>
> Hvilken forespøgsel?
>

Med ActivCard, som bruger adgang, kan min PC ikke overtages af en
angriber, så derfor.

--
gil

Kent Friis (21-01-2007)
Kommentar
Fra : Kent Friis


Dato : 21-01-07 00:20

Den Sun, 21 Jan 2007 00:10:17 +0100 skrev gil:
> Den 21-01-2007 00:02, skrev Kent Friis:
>>
>> Hvilken forespøgsel?
>
> Med ActivCard, som bruger adgang, kan min PC ikke overtages af en
> angriber, så derfor.

Med den holdning må jeg give Alex ret i at det eneste effektive er
at lade folk selv hæfte for tabet.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Kent Friis (21-01-2007)
Kommentar
Fra : Kent Friis


Dato : 21-01-07 00:25

Den Sun, 21 Jan 2007 00:00:29 +0100 skrev gil:
> Den 20-01-2007 23:01, skrev Kent Friis:
>
>
>>
>> Du sidder ikke nede i banken.
>>
>> Det du ser er hvad din PC viser. Hvis din PC er "h4x0rd", så viser
>> den det angriberen ønsker du skal se.
>>
>> Det er hele princippet i et MITM-angreb. Du aner ikke hvad banken
>> ser, og banken aner ikke hvad du ser.
>>
>
> Hvis 'banken' ikke svarer rigtigt på min forespørgsel svarer jeg sku' da
> ikke OK. Din teori omfatter to spørgsmål til 'banken', mit og
> angriberens. Forventer du to svar fra 'banken'? No way.

Det er iøvrigt ikke "min teori". Man in the middle (MITM) angreb har
været kendt i mange år - ja jeg er næsten sikker på at de har været
kendt siden før jeg blev født.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Axel Hammerschmidt (21-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 21-01-07 01:07

Kent Friis <nospam@nospam.invalid> wrote:

> Den Sun, 21 Jan 2007 00:00:29 +0100 skrev gil:
> > Den 20-01-2007 23:01, skrev Kent Friis:
> >
> >
> >>
> >> Du sidder ikke nede i banken.
> >>
> >> Det du ser er hvad din PC viser. Hvis din PC er "h4x0rd", så viser
> >> den det angriberen ønsker du skal se.
> >>
> >> Det er hele princippet i et MITM-angreb. Du aner ikke hvad banken
> >> ser, og banken aner ikke hvad du ser.
> >>
> >
> > Hvis 'banken' ikke svarer rigtigt på min forespørgsel svarer jeg sku' da
> > ikke OK. Din teori omfatter to spørgsmål til 'banken', mit og
> > angriberens. Forventer du to svar fra 'banken'? No way.
>
> Det er iøvrigt ikke "min teori". Man in the middle (MITM) angreb har
> været kendt i mange år - ja jeg er næsten sikker på at de har været
> kendt siden før jeg blev født.

Men det (man-in-the-middle) er ikke sådan et angreb vi har her.

: Hvis en angriber har totalt kontrol over en brugers maskine, kan intet
: forhindre at brugerens godkendte transaktioner bliver omskrevet inden
: de sendes til banken.

ActivCard er det samme som en OTP.

I øvrigt vil jeg gerne vide hvordan banken ikke har sikret sig mod en
der "har totalt kontrol over en brugers maskine" når det under alle
omstændigheder gælder for kontohaveren?

Alex Holst (21-01-2007)
Kommentar
Fra : Alex Holst


Dato : 21-01-07 01:36

Axel Hammerschmidt wrote:
> Men det (man-in-the-middle) er ikke sådan et angreb vi har her.

Angriberen sidder mellem to kommunikationspunkter: Det ene punkt er
brugeren og det andet er bankens servere. Angriberen manipulerer med
data sendt i begge retninger.

Det er ikke *brugeren* der signer eller sender data, det er brugerens
software.. som er under andres kontrol.

> I øvrigt vil jeg gerne vide hvordan banken ikke har sikret sig mod en
> der "har totalt kontrol over en brugers maskine" når det under alle
> omstændigheder gælder for kontohaveren?

Jeg kan ikke lige få ovenstående formulering til at give mening. Kan du
prøve igen? Vil du vide hvordan en bank kan sikre sig mod at en ond
person sidder foran computeren og flytter penge?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Axel Hammerschmidt (21-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 21-01-07 18:52

Alex Holst <a@mongers.org> wrote:

> Axel Hammerschmidt wrote:
>
> > Men det (man-in-the-middle) er ikke sådan et angreb vi har her.
>
> Angriberen sidder mellem to kommunikationspunkter: Det ene punkt er
> brugeren og det andet er bankens servere. Angriberen manipulerer med
> data sendt i begge retninger.
>
> Det er ikke *brugeren* der signer eller sender data, det er brugerens
> software.. som er under andres kontrol.

Det er kun indput/output der er under andres (end bankens) kontrol.

> > I øvrigt vil jeg gerne vide hvordan banken ikke har sikret sig mod en
> > der "har totalt kontrol over en brugers maskine" når det under alle
> > omstændigheder gælder for kontohaveren?
>
> Jeg kan ikke lige få ovenstående formulering til at give mening. Kan du
> prøve igen? Vil du vide hvordan en bank kan sikre sig mod at en ond
> person sidder foran computeren og flytter penge?

Banken skal "forhindre at brugerens godkendte transaktioner bliver
omskrevet inden de sendes til banken".

Alex Holst (21-01-2007)
Kommentar
Fra : Alex Holst


Dato : 21-01-07 19:28

Axel Hammerschmidt wrote:
>> Jeg kan ikke lige få ovenstående formulering til at give mening. Kan du
>> prøve igen? Vil du vide hvordan en bank kan sikre sig mod at en ond
>> person sidder foran computeren og flytter penge?
>
> Banken skal "forhindre at brugerens godkendte transaktioner bliver
> omskrevet inden de sendes til banken".

Det er umuligt med de fleste nuværende computersystemer og protokoller.
Det er hele pointen i denne diskussion: Hvis andre har kontrol over din
PC, kan du ikke stole på noget som helst.

Med en TPM chip og en chain-of-trust der starter ved power-on, kan man i
det mindste opdage og deaktivere malware, men Microsoft har så travlt
med at benytte TPM chippen til deres egne defekte DRM og anti-piracy
formål at mange brugere ikke vil have noget med deres Trusted Computing
at gøre.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Axel Hammerschmidt (22-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 22-01-07 01:09

Alex Holst <a@mongers.org> wrote:

> Axel Hammerschmidt wrote:
>
> >> Jeg kan ikke lige få ovenstående formulering til at give mening. Kan du
> >> prøve igen? Vil du vide hvordan en bank kan sikre sig mod at en ond
> >> person sidder foran computeren og flytter penge?
> >
> > Banken skal "forhindre at brugerens godkendte transaktioner bliver
> > omskrevet inden de sendes til banken".
>
> Det er umuligt med de fleste nuværende computersystemer og protokoller.
> Det er hele pointen i denne diskussion: Hvis andre har kontrol over din
> PC, kan du ikke stole på noget som helst.

Det er så ikke umuligt. Og det er pointen i denne diskussion.

> Med en TPM chip og en chain-of-trust der starter ved power-on, kan man i
> det mindste opdage og deaktivere malware, men Microsoft har så travlt
> med at benytte TPM chippen til deres egne defekte DRM og anti-piracy
> formål at mange brugere ikke vil have noget med deres Trusted Computing
> at gøre.

OTP med MAC opnår det samme.

Alex Holst (22-01-2007)
Kommentar
Fra : Alex Holst


Dato : 22-01-07 09:10

Axel Hammerschmidt wrote:
> Alex Holst <a@mongers.org> wrote:
>> Med en TPM chip og en chain-of-trust der starter ved power-on, kan man i
>> det mindste opdage og deaktivere malware, men Microsoft har så travlt
>> med at benytte TPM chippen til deres egne defekte DRM og anti-piracy
>> formål at mange brugere ikke vil have noget med deres Trusted Computing
>> at gøre.
>
> OTP med MAC opnår det samme.

Udtørret svensk pølseret har større sandsynlighed for at hjælpe brugeren
med at opdage og deaktivere malware end "OTP med MAC" nogensinde får.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Axel Hammerschmidt (22-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 22-01-07 22:36

Alex Holst <a@mongers.org> wrote:

> Axel Hammerschmidt wrote:
>
> > Alex Holst <a@mongers.org> wrote:
> >
> >> Med en TPM chip og en chain-of-trust der starter ved power-on, kan man i
> >> det mindste opdage og deaktivere malware, men Microsoft har så travlt
> >> med at benytte TPM chippen til deres egne defekte DRM og anti-piracy
> >> formål at mange brugere ikke vil have noget med deres Trusted Computing
> >> at gøre.
> >
> > OTP med MAC opnår det samme.
>
> Udtørret svensk pølseret har større sandsynlighed for at hjælpe brugeren
> med at opdage og deaktivere malware end "OTP med MAC" nogensinde får.

Du kan da ellers selv godt li' at anvende akronymer.

Axel Hammerschmidt (21-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 21-01-07 00:19

Kent Friis <nospam@nospam.invalid> wrote:

> Den Sat, 20 Jan 2007 21:58:45 +0100 skrev Axel Hammerschmidt:
> > Kent Friis <nospam@nospam.invalid> wrote:
> >
> >> Den Sat, 20 Jan 2007 21:34:15 +0100 skrev Axel Hammerschmidt:
> >>
> >> > Alex Holst <a@mongers.org> wrote:
> >> >
> >> > <snip>
> >> >
> >> >> Hvis en angriber har totalt kontrol over en brugers maskine, kan intet
> >> >> forhindre at brugerens godkendte transaktioner bliver omskrevet inden de
> >> >> sendes til banken.
> >> >
> >> > Det er jeg ikke enig i. Nu ved jeg ikke om det virker på den måde, men
> >> > med ActivCard skal man indtraste et tal, som man bliver præsenteret for
> >> > på skærmen ved selve transaktionen, i sin ActivCard. Det tal, som
> >> > ActivCard melder tilbage skal så indtastes og bliver sendt tilbage til
> >> > banken før transaktionen bliver gennemført.
> >> >
> >> > Det første tal, som banken sender kan så gøres afhængig af de
> >> > talværdier, f.eks beløbene og kontonumrer som indgår.
> >>
> >> Og hvordan kommer du derfra og til at brugeren kan verificere at
> >> det er de korrekte tal?
> >
> > Det er kun banken, som er modtager der skal.
>
> Hvordan ved banken hvilket kontonummer kunden tænkte på? Altså når
> kunden vil overføre til kontonummer 1234, men banken aldrig ser andet
> end kontonummer 4321.

Kunden indtaster sin bestilling til konto 1234 og sender det. Men banken
modtager en bestilling til konto 4321 og sender et tal svarende hertil
tilbage. Kunden indtaster det tal (challengetallet) i sin ActivCard og
får et nyt tal og sender så et tal svarende til konto 1234 og det nye
tal tilbage.

Hvordan kan en med total kontrol over brugerens computer omskrive dette
nye tal inden det sendes, så det både passer med kontonummer 4321 og det
tal banken har brugt?

Selv om jeg ikke ved hvordan Den Danske Banks ActivCard virker i
detaljer så vil jeg mene, at det ikke bare er et spørgsmål om der kan
være en trediemand et sted med "totalt kontrol over en brugers maskine".
Du har jo selv total kontrol over din egen computer. Så banken har da i
højeste grad en interesse i at en godkendt transaktion ikke kan blive
omskrevet inden det sendes.

Kent Friis (21-01-2007)
Kommentar
Fra : Kent Friis


Dato : 21-01-07 00:23

Den Sun, 21 Jan 2007 00:18:49 +0100 skrev Axel Hammerschmidt:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>> Den Sat, 20 Jan 2007 21:58:45 +0100 skrev Axel Hammerschmidt:
>> > Kent Friis <nospam@nospam.invalid> wrote:
>> >
>> >> Den Sat, 20 Jan 2007 21:34:15 +0100 skrev Axel Hammerschmidt:
>> >>
>> >> > Alex Holst <a@mongers.org> wrote:
>> >> >
>> >> > <snip>
>> >> >
>> >> >> Hvis en angriber har totalt kontrol over en brugers maskine, kan intet
>> >> >> forhindre at brugerens godkendte transaktioner bliver omskrevet inden de
>> >> >> sendes til banken.
>> >> >
>> >> > Det er jeg ikke enig i. Nu ved jeg ikke om det virker på den måde, men
>> >> > med ActivCard skal man indtraste et tal, som man bliver præsenteret for
>> >> > på skærmen ved selve transaktionen, i sin ActivCard. Det tal, som
>> >> > ActivCard melder tilbage skal så indtastes og bliver sendt tilbage til
>> >> > banken før transaktionen bliver gennemført.
>> >> >
>> >> > Det første tal, som banken sender kan så gøres afhængig af de
>> >> > talværdier, f.eks beløbene og kontonumrer som indgår.
>> >>
>> >> Og hvordan kommer du derfra og til at brugeren kan verificere at
>> >> det er de korrekte tal?
>> >
>> > Det er kun banken, som er modtager der skal.
>>
>> Hvordan ved banken hvilket kontonummer kunden tænkte på? Altså når
>> kunden vil overføre til kontonummer 1234, men banken aldrig ser andet
>> end kontonummer 4321.
>
> Kunden indtaster sin bestilling til konto 1234 og sender det. Men banken
> modtager en bestilling til konto 4321 og sender et tal svarende hertil
> tilbage. Kunden indtaster det tal (challengetallet) i sin ActivCard og
> får et nyt tal og sender så et tal svarende til konto 1234 og det nye
> tal tilbage.

Der mangler et eller andet her. Hvordan ved activcard'en at det er
konto 1234? Vil du have brugeren til at indtaste kontonummeret både
på PC'en og på activecard'en?

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Axel Hammerschmidt (21-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 21-01-07 01:07

Kent Friis <nospam@nospam.invalid> wrote:

> Den Sun, 21 Jan 2007 00:18:49 +0100 skrev Axel Hammerschmidt:
> > Kent Friis <nospam@nospam.invalid> wrote:
> >
> >> Den Sat, 20 Jan 2007 21:58:45 +0100 skrev Axel Hammerschmidt:
> >> > Kent Friis <nospam@nospam.invalid> wrote:
> >> >
> >> >> Den Sat, 20 Jan 2007 21:34:15 +0100 skrev Axel Hammerschmidt:
> >> >>
> >> >> > Alex Holst <a@mongers.org> wrote:
> >> >> >
> >> >> > <snip>
> >> >> >
> >> >> >> Hvis en angriber har totalt kontrol over en brugers maskine, kan
> >> >> >> intet forhindre at brugerens godkendte transaktioner bliver
> >> >> >> omskrevet inden de sendes til banken.
> >> >> >
> >> >> > Det er jeg ikke enig i. Nu ved jeg ikke om det virker på den måde,
> >> >> > men med ActivCard skal man indtraste et tal, som man bliver
> >> >> > præsenteret for på skærmen ved selve transaktionen, i sin
> >> >> > ActivCard. Det tal, som ActivCard melder tilbage skal så indtastes
> >> >> > og bliver sendt tilbage til banken før transaktionen bliver
> >> >> > gennemført.
> >> >> >
> >> >> > Det første tal, som banken sender kan så gøres afhængig af de
> >> >> > talværdier, f.eks beløbene og kontonumrer som indgår.
> >> >>
> >> >> Og hvordan kommer du derfra og til at brugeren kan verificere at
> >> >> det er de korrekte tal?
> >> >
> >> > Det er kun banken, som er modtager der skal.
> >>
> >> Hvordan ved banken hvilket kontonummer kunden tænkte på? Altså når
> >> kunden vil overføre til kontonummer 1234, men banken aldrig ser andet
> >> end kontonummer 4321.
> >
> > Kunden indtaster sin bestilling til konto 1234 og sender det. Men banken
> > modtager en bestilling til konto 4321 og sender et tal svarende hertil
> > tilbage. Kunden indtaster det tal (challengetallet) i sin ActivCard og
> > får et nyt tal og sender så et tal svarende til konto 1234 og det nye
> > tal tilbage.
>
> Der mangler et eller andet her. Hvordan ved activcard'en at det er
> konto 1234? Vil du have brugeren til at indtaste kontonummeret både
> på PC'en og på activecard'en?

Nej. Kunden sender et tal svarende til konto 1234 og det nye tal (fra
ActivCard) tilbage og det er det tal, der så skal omskrives.

Kent Friis (21-01-2007)
Kommentar
Fra : Kent Friis


Dato : 21-01-07 01:40

Den Sun, 21 Jan 2007 01:06:35 +0100 skrev Axel Hammerschmidt:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>> Den Sun, 21 Jan 2007 00:18:49 +0100 skrev Axel Hammerschmidt:
>> > Kent Friis <nospam@nospam.invalid> wrote:
>> >
>> >> Den Sat, 20 Jan 2007 21:58:45 +0100 skrev Axel Hammerschmidt:
>> >> > Kent Friis <nospam@nospam.invalid> wrote:
>> >> >
>> >> >> Den Sat, 20 Jan 2007 21:34:15 +0100 skrev Axel Hammerschmidt:
>> >> >>
>> >> >> > Alex Holst <a@mongers.org> wrote:
>> >> >> >
>> >> >> > <snip>
>> >> >> >
>> >> >> >> Hvis en angriber har totalt kontrol over en brugers maskine, kan
>> >> >> >> intet forhindre at brugerens godkendte transaktioner bliver
>> >> >> >> omskrevet inden de sendes til banken.
>> >> >> >
>> >> >> > Det er jeg ikke enig i. Nu ved jeg ikke om det virker på den måde,
>> >> >> > men med ActivCard skal man indtraste et tal, som man bliver
>> >> >> > præsenteret for på skærmen ved selve transaktionen, i sin
>> >> >> > ActivCard. Det tal, som ActivCard melder tilbage skal så indtastes
>> >> >> > og bliver sendt tilbage til banken før transaktionen bliver
>> >> >> > gennemført.
>> >> >> >
>> >> >> > Det første tal, som banken sender kan så gøres afhængig af de
>> >> >> > talværdier, f.eks beløbene og kontonumrer som indgår.
>> >> >>
>> >> >> Og hvordan kommer du derfra og til at brugeren kan verificere at
>> >> >> det er de korrekte tal?
>> >> >
>> >> > Det er kun banken, som er modtager der skal.
>> >>
>> >> Hvordan ved banken hvilket kontonummer kunden tænkte på? Altså når
>> >> kunden vil overføre til kontonummer 1234, men banken aldrig ser andet
>> >> end kontonummer 4321.
>> >
>> > Kunden indtaster sin bestilling til konto 1234 og sender det. Men banken
>> > modtager en bestilling til konto 4321 og sender et tal svarende hertil
>> > tilbage. Kunden indtaster det tal (challengetallet) i sin ActivCard og
>> > får et nyt tal og sender så et tal svarende til konto 1234 og det nye
>> > tal tilbage.
>>
>> Der mangler et eller andet her. Hvordan ved activcard'en at det er
>> konto 1234? Vil du have brugeren til at indtaste kontonummeret både
>> på PC'en og på activecard'en?
>
> Nej. Kunden sender et tal svarende til konto 1234 og det nye tal (fra
> ActivCard) tilbage og det er det tal, der så skal omskrives.

Med "et tal svarende til", mener du da en checksum eller lignende af
kontonummer + tallet fra activcard'en? Skal kunden beregne checksummen
i hovedet? Activecard'en kender ikke kontonummeret, og kan derfor
ikke beregne checksum'en, og hvis det er PC'en der skal beregne den,
har den jo allerede grundlaget for beregningen, og kan bare lave
beregningen med det andet kontonummer.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

gil (21-01-2007)
Kommentar
Fra : gil


Dato : 21-01-07 01:51

Den 21-01-2007 01:39, skrev Kent Friis:

>
> ikke beregne checksum'en, og hvis det er PC'en der skal beregne den,
> har den jo allerede grundlaget for beregningen, og kan bare lave
> beregningen med det andet kontonummer.
>

PC'en skal *aldrig* beregne noget.

--
gil

Kent Friis (21-01-2007)
Kommentar
Fra : Kent Friis


Dato : 21-01-07 02:03

Den Sun, 21 Jan 2007 01:50:43 +0100 skrev gil:
> Den 21-01-2007 01:39, skrev Kent Friis:
>
>>
>> ikke beregne checksum'en, og hvis det er PC'en der skal beregne den,
>> har den jo allerede grundlaget for beregningen, og kan bare lave
>> beregningen med det andet kontonummer.
>>
>
> PC'en skal *aldrig* beregne noget.

I så fald er der to valgmuligheder tilbage: Enten at indtaste kontonummer
+ beløb på active-card'en, og lad den beregne det, eller ved at kunden
laver beregningen i hovedet.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Axel Hammerschmidt (21-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 21-01-07 18:52

Kent Friis <nospam@nospam.invalid> wrote:

> Den Sun, 21 Jan 2007 01:06:35 +0100 skrev Axel Hammerschmidt:
> > Kent Friis <nospam@nospam.invalid> wrote:
> >
> >> Den Sun, 21 Jan 2007 00:18:49 +0100 skrev Axel Hammerschmidt:
> >> > Kent Friis <nospam@nospam.invalid> wrote:
> >> >
> >> >> Den Sat, 20 Jan 2007 21:58:45 +0100 skrev Axel Hammerschmidt:
> >> >> > Kent Friis <nospam@nospam.invalid> wrote:
> >> >> >
> >> >> >> Den Sat, 20 Jan 2007 21:34:15 +0100 skrev Axel Hammerschmidt:
> >> >> >>
> >> >> >> > Alex Holst <a@mongers.org> wrote:
> >> >> >> >
> >> >> >> > <snip>
> >> >> >> >
> >> >> >> >> Hvis en angriber har totalt kontrol over en brugers maskine, kan
> >> >> >> >> intet forhindre at brugerens godkendte transaktioner bliver
> >> >> >> >> omskrevet inden de sendes til banken.
> >> >> >> >
> >> >> >> > Det er jeg ikke enig i. Nu ved jeg ikke om det virker på den måde,
> >> >> >> > men med ActivCard skal man indtraste et tal, som man bliver
> >> >> >> > præsenteret for på skærmen ved selve transaktionen, i sin
> >> >> >> > ActivCard. Det tal, som ActivCard melder tilbage skal så indtastes
> >> >> >> > og bliver sendt tilbage til banken før transaktionen bliver
> >> >> >> > gennemført.
> >> >> >> >
> >> >> >> > Det første tal, som banken sender kan så gøres afhængig af de
> >> >> >> > talværdier, f.eks beløbene og kontonumrer som indgår.
> >> >> >>
> >> >> >> Og hvordan kommer du derfra og til at brugeren kan verificere at
> >> >> >> det er de korrekte tal?
> >> >> >
> >> >> > Det er kun banken, som er modtager der skal.
> >> >>
> >> >> Hvordan ved banken hvilket kontonummer kunden tænkte på? Altså når
> >> >> kunden vil overføre til kontonummer 1234, men banken aldrig ser andet
> >> >> end kontonummer 4321.
> >> >
> >> > Kunden indtaster sin bestilling til konto 1234 og sender det. Men banken
> >> > modtager en bestilling til konto 4321 og sender et tal svarende hertil
> >> > tilbage. Kunden indtaster det tal (challengetallet) i sin ActivCard og
> >> > får et nyt tal og sender så et tal svarende til konto 1234 og det nye
> >> > tal tilbage.
> >>
> >> Der mangler et eller andet her. Hvordan ved activcard'en at det er
> >> konto 1234? Vil du have brugeren til at indtaste kontonummeret både
> >> på PC'en og på activecard'en?
> >
> > Nej. Kunden sender et tal svarende til konto 1234 og det nye tal (fra
> > ActivCard) tilbage og det er det tal, der så skal omskrives.
>
> Med "et tal svarende til", mener du da en checksum eller lignende af
> kontonummer + tallet fra activcard'en?

En check på at f.eks kontonummer ikke er ændret.

> Skal kunden beregne checksummen i hovedet? Activecard'en kender ikke
> kontonummeret, og kan derfor ikke beregne checksum'en, og hvis det er
> PC'en der skal beregne den, har den jo allerede grundlaget for
> beregningen, og kan bare lave beregningen med det andet kontonummer.

Kontrollen kan foregå på kundens maskine, lige efter responstallet
bliver indtastet (vi skal ikke skrive kunden helt ud af forløbet).
Tallet fra ActivCard skal passe med kontonummeret kunden sendte. Eller
(kontrollen kan foregå) hos banken, med det kontonummer banken fik.
Ingen (heller ikke kunden) undtagen banken (og ActivCard - det er
firmaet som laver DDBs Token regnemaskine) kender challenge/respons-
eller kontrol algoritmerne, så kundens godkendte transaktioner kan blive
omskrevet inden de sendes til banken. Hackeren kan ikke mere end kunden,
hvis det skal være realistisk.

Kent Friis (21-01-2007)
Kommentar
Fra : Kent Friis


Dato : 21-01-07 19:17

Den Sun, 21 Jan 2007 18:52:20 +0100 skrev Axel Hammerschmidt:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>> Den Sun, 21 Jan 2007 01:06:35 +0100 skrev Axel Hammerschmidt:
>> > Kent Friis <nospam@nospam.invalid> wrote:
>> >
>> >> Den Sun, 21 Jan 2007 00:18:49 +0100 skrev Axel Hammerschmidt:
>> >> > Kent Friis <nospam@nospam.invalid> wrote:
>> >> >
>> >> >> Den Sat, 20 Jan 2007 21:58:45 +0100 skrev Axel Hammerschmidt:
>> >> >> > Kent Friis <nospam@nospam.invalid> wrote:
>> >> >> >
>> >> >> >> Den Sat, 20 Jan 2007 21:34:15 +0100 skrev Axel Hammerschmidt:
>> >> >> >>
>> >> >> >> > Alex Holst <a@mongers.org> wrote:
>> >> >> >> >
>> >> >> >> > <snip>
>> >> >> >> >
>> >> >> >> >> Hvis en angriber har totalt kontrol over en brugers maskine, kan
>> >> >> >> >> intet forhindre at brugerens godkendte transaktioner bliver
>> >> >> >> >> omskrevet inden de sendes til banken.
>> >> >> >> >
>> >> >> >> > Det er jeg ikke enig i. Nu ved jeg ikke om det virker på den måde,
>> >> >> >> > men med ActivCard skal man indtraste et tal, som man bliver
>> >> >> >> > præsenteret for på skærmen ved selve transaktionen, i sin
>> >> >> >> > ActivCard. Det tal, som ActivCard melder tilbage skal så indtastes
>> >> >> >> > og bliver sendt tilbage til banken før transaktionen bliver
>> >> >> >> > gennemført.
>> >> >> >> >
>> >> >> >> > Det første tal, som banken sender kan så gøres afhængig af de
>> >> >> >> > talværdier, f.eks beløbene og kontonumrer som indgår.
>> >> >> >>
>> >> >> >> Og hvordan kommer du derfra og til at brugeren kan verificere at
>> >> >> >> det er de korrekte tal?
>> >> >> >
>> >> >> > Det er kun banken, som er modtager der skal.
>> >> >>
>> >> >> Hvordan ved banken hvilket kontonummer kunden tænkte på? Altså når
>> >> >> kunden vil overføre til kontonummer 1234, men banken aldrig ser andet
>> >> >> end kontonummer 4321.
>> >> >
>> >> > Kunden indtaster sin bestilling til konto 1234 og sender det. Men banken
>> >> > modtager en bestilling til konto 4321 og sender et tal svarende hertil
>> >> > tilbage. Kunden indtaster det tal (challengetallet) i sin ActivCard og
>> >> > får et nyt tal og sender så et tal svarende til konto 1234 og det nye
>> >> > tal tilbage.
>> >>
>> >> Der mangler et eller andet her. Hvordan ved activcard'en at det er
>> >> konto 1234? Vil du have brugeren til at indtaste kontonummeret både
>> >> på PC'en og på activecard'en?
>> >
>> > Nej. Kunden sender et tal svarende til konto 1234 og det nye tal (fra
>> > ActivCard) tilbage og det er det tal, der så skal omskrives.
>>
>> Med "et tal svarende til", mener du da en checksum eller lignende af
>> kontonummer + tallet fra activcard'en?
>
> En check på at f.eks kontonummer ikke er ændret.

I bankens ende er kontonummeret ikke ændret. Der har altid stået 9999.
I kundens ende er kontonummeret ikke ændret. Der har altid stået 1234.

For at opdage problemet, er du nødt til at sammenligne begge ender,
via en kanal angriberen ikke har kontrol over. Altså udenom kundens
PC.

>> Skal kunden beregne checksummen i hovedet? Activecard'en kender ikke
>> kontonummeret, og kan derfor ikke beregne checksum'en, og hvis det er
>> PC'en der skal beregne den, har den jo allerede grundlaget for
>> beregningen, og kan bare lave beregningen med det andet kontonummer.
>
> Kontrollen kan foregå på kundens maskine,

Game over.

Hvis du lader forbryderen stå for kontrollen, har du allerede tabt.

> lige efter responstallet
> bliver indtastet (vi skal ikke skrive kunden helt ud af forløbet).
> Tallet fra ActivCard skal passe med kontonummeret kunden sendte. Eller
> (kontrollen kan foregå) hos banken, med det kontonummer banken fik.

Det eneste kontonummer banken fik er 9999, Fup og Svindel A/S.

> Ingen (heller ikke kunden) undtagen banken (og ActivCard - det er
> firmaet som laver DDBs Token regnemaskine) kender challenge/respons-
> eller kontrol algoritmerne, så kundens godkendte transaktioner kan blive
> omskrevet inden de sendes til banken. Hackeren kan ikke mere end kunden,
> hvis det skal være realistisk.

Han har ikke brug for at kunne mere end kunden. Kunden kan tømme sin
egen konto.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Axel Hammerschmidt (22-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 22-01-07 01:09

Kent Friis <nospam@nospam.invalid> wrote:

> Den Sun, 21 Jan 2007 18:52:20 +0100 skrev Axel Hammerschmidt:
> > Kent Friis <nospam@nospam.invalid> wrote:
> >
> >> Den Sun, 21 Jan 2007 01:06:35 +0100 skrev Axel Hammerschmidt:
> >> > Kent Friis <nospam@nospam.invalid> wrote:
> >> >
> >> >> Den Sun, 21 Jan 2007 00:18:49 +0100 skrev Axel Hammerschmidt:
> >> >> > Kent Friis <nospam@nospam.invalid> wrote:
> >> >> >
> >> >> >> Den Sat, 20 Jan 2007 21:58:45 +0100 skrev Axel Hammerschmidt:
> >> >> >> > Kent Friis <nospam@nospam.invalid> wrote:
> >> >> >> >
> >> >> >> >> Den Sat, 20 Jan 2007 21:34:15 +0100 skrev Axel Hammerschmidt:
> >> >> >> >>
> >> >> >> >> > Alex Holst <a@mongers.org> wrote:
> >> >> >> >> >
> >> >> >> >> > <snip>
> >> >> >> >> >
> >> >> >> >> >> Hvis en angriber har totalt kontrol over en brugers
> >> >> >> >> >> maskine, kan intet forhindre at brugerens godkendte
> >> >> >> >> >> transaktioner bliver omskrevet inden de sendes til banken.
> >> >> >> >> >
> >> >> >> >> > Det er jeg ikke enig i. Nu ved jeg ikke om det virker på den
> >> >> >> >> > måde, men med ActivCard skal man indtraste et tal, som man
> >> >> >> >> > bliver præsenteret for på skærmen ved selve transaktionen, i
> >> >> >> >> > sin ActivCard. Det tal, som ActivCard melder tilbage skal så
> >> >> >> >> > indtastes og bliver sendt tilbage til banken før
> >> >> >> >> > transaktionen bliver gennemført.
> >> >> >> >> >
> >> >> >> >> > Det første tal, som banken sender kan så gøres afhængig af
> >> >> >> >> > de talværdier, f.eks beløbene og kontonumrer som indgår.
> >> >> >> >>
> >> >> >> >> Og hvordan kommer du derfra og til at brugeren kan verificere
> >> >> >> >> at det er de korrekte tal?
> >> >> >> >
> >> >> >> > Det er kun banken, som er modtager der skal.
> >> >> >>
> >> >> >> Hvordan ved banken hvilket kontonummer kunden tænkte på? Altså
> >> >> >> når kunden vil overføre til kontonummer 1234, men banken aldrig
> >> >> >> ser andet end kontonummer 4321.
> >> >> >
> >> >> > Kunden indtaster sin bestilling til konto 1234 og sender det. Men
> >> >> > banken modtager en bestilling til konto 4321 og sender et tal
> >> >> > svarende hertil tilbage. Kunden indtaster det tal
> >> >> > (challengetallet) i sin ActivCard og får et nyt tal og sender så
> >> >> > et tal svarende til konto 1234 og det nye tal tilbage.
> >> >>
> >> >> Der mangler et eller andet her. Hvordan ved activcard'en at det er
> >> >> konto 1234? Vil du have brugeren til at indtaste kontonummeret både
> >> >> på PC'en og på activecard'en?
> >> >
> >> > Nej. Kunden sender et tal svarende til konto 1234 og det nye tal (fra
> >> > ActivCard) tilbage og det er det tal, der så skal omskrives.
> >>
> >> Med "et tal svarende til", mener du da en checksum eller lignende af
> >> kontonummer + tallet fra activcard'en?
> >
> > En check på at f.eks kontonummer ikke er ændret.
>
> I bankens ende er kontonummeret ikke ændret. Der har altid stået 9999.
> I kundens ende er kontonummeret ikke ændret. Der har altid stået 1234.
>
> For at opdage problemet, er du nødt til at sammenligne begge ender,
> via en kanal angriberen ikke har kontrol over. Altså udenom kundens
> PC.

Det behøver banken ikke for at opdage at der er med OTP og MAC.

> >> Skal kunden beregne checksummen i hovedet? Activecard'en kender ikke
> >> kontonummeret, og kan derfor ikke beregne checksum'en, og hvis det er
> >> PC'en der skal beregne den, har den jo allerede grundlaget for
> >> beregningen, og kan bare lave beregningen med det andet kontonummer.
> >
> > Kontrollen kan foregå på kundens maskine,
>
> Game over.
>
> Hvis du lader forbryderen stå for kontrollen, har du allerede tabt.

Angriberen har samme begrænsede kontrol som kunden.

> > lige efter responstallet bliver indtastet (vi skal ikke skrive kunden
> > helt ud af forløbet). Tallet fra ActivCard skal passe med kontonummeret
> > kunden sendte. Eller (kontrollen kan foregå) hos banken, med det
> > kontonummer banken fik.
>
> Det eneste kontonummer banken fik er 9999, Fup og Svindel A/S.

Det er lige meget, når transaktionen ikke gennemføres.

> > Ingen (heller ikke kunden) undtagen banken (og ActivCard - det er
> > firmaet som laver DDBs Token regnemaskine) kender challenge/respons-
> > eller kontrol algoritmerne, så kundens godkendte transaktioner kan blive
> > omskrevet inden de sendes til banken. Hackeren kan ikke mere end kunden,
> > hvis det skal være realistisk.
>
> Han har ikke brug for at kunne mere end kunden. Kunden kan tømme sin
> egen konto.

Selvfølgelig kan han det, men så passer det der kommer efter
challenge/respons osse med kontonummeret.

Kent Friis (22-01-2007)
Kommentar
Fra : Kent Friis


Dato : 22-01-07 16:34

Den Mon, 22 Jan 2007 01:08:57 +0100 skrev Axel Hammerschmidt:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>> Den Sun, 21 Jan 2007 18:52:20 +0100 skrev Axel Hammerschmidt:
>> > Kent Friis <nospam@nospam.invalid> wrote:
>> >
>> >> Den Sun, 21 Jan 2007 01:06:35 +0100 skrev Axel Hammerschmidt:
>> >> > Kent Friis <nospam@nospam.invalid> wrote:
>> >> >
>> >> >> Den Sun, 21 Jan 2007 00:18:49 +0100 skrev Axel Hammerschmidt:
>> >> >> > Kent Friis <nospam@nospam.invalid> wrote:
>> >> >> >
>> >> >> >> Den Sat, 20 Jan 2007 21:58:45 +0100 skrev Axel Hammerschmidt:
>> >> >> >> > Kent Friis <nospam@nospam.invalid> wrote:
>> >> >> >> >
>> >> >> >> >> Den Sat, 20 Jan 2007 21:34:15 +0100 skrev Axel Hammerschmidt:
>> >> >> >> >>
>> >> >> >> >> > Alex Holst <a@mongers.org> wrote:
>> >> >> >> >> >
>> >> >> >> >> > <snip>
>> >> >> >> >> >
>> >> >> >> >> >> Hvis en angriber har totalt kontrol over en brugers
>> >> >> >> >> >> maskine, kan intet forhindre at brugerens godkendte
>> >> >> >> >> >> transaktioner bliver omskrevet inden de sendes til banken.
>> >> >> >> >> >
>> >> >> >> >> > Det er jeg ikke enig i. Nu ved jeg ikke om det virker på den
>> >> >> >> >> > måde, men med ActivCard skal man indtraste et tal, som man
>> >> >> >> >> > bliver præsenteret for på skærmen ved selve transaktionen, i
>> >> >> >> >> > sin ActivCard. Det tal, som ActivCard melder tilbage skal så
>> >> >> >> >> > indtastes og bliver sendt tilbage til banken før
>> >> >> >> >> > transaktionen bliver gennemført.
>> >> >> >> >> >
>> >> >> >> >> > Det første tal, som banken sender kan så gøres afhængig af
>> >> >> >> >> > de talværdier, f.eks beløbene og kontonumrer som indgår.
>> >> >> >> >>
>> >> >> >> >> Og hvordan kommer du derfra og til at brugeren kan verificere
>> >> >> >> >> at det er de korrekte tal?
>> >> >> >> >
>> >> >> >> > Det er kun banken, som er modtager der skal.
>> >> >> >>
>> >> >> >> Hvordan ved banken hvilket kontonummer kunden tænkte på? Altså
>> >> >> >> når kunden vil overføre til kontonummer 1234, men banken aldrig
>> >> >> >> ser andet end kontonummer 4321.
>> >> >> >
>> >> >> > Kunden indtaster sin bestilling til konto 1234 og sender det. Men
>> >> >> > banken modtager en bestilling til konto 4321 og sender et tal
>> >> >> > svarende hertil tilbage. Kunden indtaster det tal
>> >> >> > (challengetallet) i sin ActivCard og får et nyt tal og sender så
>> >> >> > et tal svarende til konto 1234 og det nye tal tilbage.
>> >> >>
>> >> >> Der mangler et eller andet her. Hvordan ved activcard'en at det er
>> >> >> konto 1234? Vil du have brugeren til at indtaste kontonummeret både
>> >> >> på PC'en og på activecard'en?
>> >> >
>> >> > Nej. Kunden sender et tal svarende til konto 1234 og det nye tal (fra
>> >> > ActivCard) tilbage og det er det tal, der så skal omskrives.
>> >>
>> >> Med "et tal svarende til", mener du da en checksum eller lignende af
>> >> kontonummer + tallet fra activcard'en?
>> >
>> > En check på at f.eks kontonummer ikke er ændret.
>>
>> I bankens ende er kontonummeret ikke ændret. Der har altid stået 9999.
>> I kundens ende er kontonummeret ikke ændret. Der har altid stået 1234.
>>
>> For at opdage problemet, er du nødt til at sammenligne begge ender,
>> via en kanal angriberen ikke har kontrol over. Altså udenom kundens
>> PC.
>
> Det behøver banken ikke for at opdage at der er med OTP og MAC.

Det du kalder "OTP og MAC" er så det vi andre kalder tankeoverføring?
Altså at banken ved hvad kunden tænker, uanset at alt hvad de ser
viser hvad forbryderen viser dem.

>> >> Skal kunden beregne checksummen i hovedet? Activecard'en kender ikke
>> >> kontonummeret, og kan derfor ikke beregne checksum'en, og hvis det er
>> >> PC'en der skal beregne den, har den jo allerede grundlaget for
>> >> beregningen, og kan bare lave beregningen med det andet kontonummer.
>> >
>> > Kontrollen kan foregå på kundens maskine,
>>
>> Game over.
>>
>> Hvis du lader forbryderen stå for kontrollen, har du allerede tabt.
>
> Angriberen har samme begrænsede kontrol som kunden.

At lade kundens maskine (som er Pwned af angriberen) stå for kontrollen
er det samme som at lade angriberen stå for kontrollen.

>> > lige efter responstallet bliver indtastet (vi skal ikke skrive kunden
>> > helt ud af forløbet). Tallet fra ActivCard skal passe med kontonummeret
>> > kunden sendte. Eller (kontrollen kan foregå) hos banken, med det
>> > kontonummer banken fik.
>>
>> Det eneste kontonummer banken fik er 9999, Fup og Svindel A/S.
>
> Det er lige meget, når transaktionen ikke gennemføres.

Du drømmer. Banken kan ikke se der er et problem, og kunden kan ikke
se der er et problem. Før tre måneder senere, når kunden får et
kontoudtog med posten. (Eller alternativt, når kunden forsøger at
hæve penge men bliver afvist fordi kontoen er tom.

>> > Ingen (heller ikke kunden) undtagen banken (og ActivCard - det er
>> > firmaet som laver DDBs Token regnemaskine) kender challenge/respons-
>> > eller kontrol algoritmerne, så kundens godkendte transaktioner kan blive
>> > omskrevet inden de sendes til banken. Hackeren kan ikke mere end kunden,
>> > hvis det skal være realistisk.
>>
>> Han har ikke brug for at kunne mere end kunden. Kunden kan tømme sin
>> egen konto.
>
> Selvfølgelig kan han det, men så passer det der kommer efter
> challenge/respons osse med kontonummeret.

Banken kan stadig ikke se forskel på hvem der har besluttet hvilken
konto pengene skal overføres til.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Axel Hammerschmidt (22-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 22-01-07 22:36

Kent Friis <nospam@nospam.invalid> wrote:

> Den Mon, 22 Jan 2007 01:08:57 +0100 skrev Axel Hammerschmidt:
> > Kent Friis <nospam@nospam.invalid> wrote:
> >
> >> Den Sun, 21 Jan 2007 18:52:20 +0100 skrev Axel Hammerschmidt:
> >> > Kent Friis <nospam@nospam.invalid> wrote:
> >> >
> >> >> Den Sun, 21 Jan 2007 01:06:35 +0100 skrev Axel Hammerschmidt:
> >> >> > Kent Friis <nospam@nospam.invalid> wrote:
> >> >> >
> >> >> >> Den Sun, 21 Jan 2007 00:18:49 +0100 skrev Axel Hammerschmidt:
> >> >> >> > Kent Friis <nospam@nospam.invalid> wrote:
> >> >> >> >
> >> >> >> >> Den Sat, 20 Jan 2007 21:58:45 +0100 skrev Axel Hammerschmidt:
> >> >> >> >> > Kent Friis <nospam@nospam.invalid> wrote:
> >> >> >> >> >
> >> >> >> >> >> Den Sat, 20 Jan 2007 21:34:15 +0100 skrev Axel Hammerschmidt:
> >> >> >> >> >>
> >> >> >> >> >> > Alex Holst <a@mongers.org> wrote:
> >> >> >> >> >> >
> >> >> >> >> >> > <snip>
> >> >> >> >> >> >
> >> >> >> >> >> >> Hvis en angriber har totalt kontrol over en brugers
> >> >> >> >> >> >> maskine, kan intet forhindre at brugerens godkendte
> >> >> >> >> >> >> transaktioner bliver omskrevet inden de sendes til banken.
> >> >> >> >> >> >
> >> >> >> >> >> > Det er jeg ikke enig i. Nu ved jeg ikke om det virker på den
> >> >> >> >> >> > måde, men med ActivCard skal man indtraste et tal, som man
> >> >> >> >> >> > bliver præsenteret for på skærmen ved selve transaktionen, i
> >> >> >> >> >> > sin ActivCard. Det tal, som ActivCard melder tilbage skal så
> >> >> >> >> >> > indtastes og bliver sendt tilbage til banken før
> >> >> >> >> >> > transaktionen bliver gennemført.
> >> >> >> >> >> >
> >> >> >> >> >> > Det første tal, som banken sender kan så gøres afhængig af
> >> >> >> >> >> > de talværdier, f.eks beløbene og kontonumrer som indgår.
> >> >> >> >> >>
> >> >> >> >> >> Og hvordan kommer du derfra og til at brugeren kan verificere
> >> >> >> >> >> at det er de korrekte tal?
> >> >> >> >> >
> >> >> >> >> > Det er kun banken, som er modtager der skal.
> >> >> >> >>
> >> >> >> >> Hvordan ved banken hvilket kontonummer kunden tænkte på? Altså
> >> >> >> >> når kunden vil overføre til kontonummer 1234, men banken aldrig
> >> >> >> >> ser andet end kontonummer 4321.
> >> >> >> >
> >> >> >> > Kunden indtaster sin bestilling til konto 1234 og sender det. Men
> >> >> >> > banken modtager en bestilling til konto 4321 og sender et tal
> >> >> >> > svarende hertil tilbage. Kunden indtaster det tal
> >> >> >> > (challengetallet) i sin ActivCard og får et nyt tal og sender så
> >> >> >> > et tal svarende til konto 1234 og det nye tal tilbage.
> >> >> >>
> >> >> >> Der mangler et eller andet her. Hvordan ved activcard'en at det er
> >> >> >> konto 1234? Vil du have brugeren til at indtaste kontonummeret både
> >> >> >> på PC'en og på activecard'en?
> >> >> >
> >> >> > Nej. Kunden sender et tal svarende til konto 1234 og det nye tal (fra
> >> >> > ActivCard) tilbage og det er det tal, der så skal omskrives.
> >> >>
> >> >> Med "et tal svarende til", mener du da en checksum eller lignende af
> >> >> kontonummer + tallet fra activcard'en?
> >> >
> >> > En check på at f.eks kontonummer ikke er ændret.
> >>
> >> I bankens ende er kontonummeret ikke ændret. Der har altid stået 9999.
> >> I kundens ende er kontonummeret ikke ændret. Der har altid stået 1234.
> >>
> >> For at opdage problemet, er du nødt til at sammenligne begge ender,
> >> via en kanal angriberen ikke har kontrol over. Altså udenom kundens
> >> PC.
> >
> > Det behøver banken ikke for at opdage at der er med OTP og MAC.
>
> Det du kalder "OTP og MAC" er så det vi andre kalder tankeoverføring?
> Altså at banken ved hvad kunden tænker, uanset at alt hvad de ser
> viser hvad forbryderen viser dem.

http://en.wikipedia.org/wiki/One-time_pad
http://en.wikipedia.org/wiki/Message_authentication_code

HTH

> >> >> Skal kunden beregne checksummen i hovedet? Activecard'en kender ikke
> >> >> kontonummeret, og kan derfor ikke beregne checksum'en, og hvis det er
> >> >> PC'en der skal beregne den, har den jo allerede grundlaget for
> >> >> beregningen, og kan bare lave beregningen med det andet kontonummer.
> >> >
> >> > Kontrollen kan foregå på kundens maskine,
> >>
> >> Game over.
> >>
> >> Hvis du lader forbryderen stå for kontrollen, har du allerede tabt.
> >
> > Angriberen har samme begrænsede kontrol som kunden.
>
> At lade kundens maskine (som er Pwned af angriberen) stå for kontrollen
> er det samme som at lade angriberen stå for kontrollen.

I DDBs tilfælde kører der et java applet vindue.

> >> > lige efter responstallet bliver indtastet (vi skal ikke skrive kunden
> >> > helt ud af forløbet). Tallet fra ActivCard skal passe med kontonummeret
> >> > kunden sendte. Eller (kontrollen kan foregå) hos banken, med det
> >> > kontonummer banken fik.
> >>
> >> Det eneste kontonummer banken fik er 9999, Fup og Svindel A/S.
> >
> > Det er lige meget, når transaktionen ikke gennemføres.
>
> Du drømmer. Banken kan ikke se der er et problem, og kunden kan ikke
> se der er et problem. Før tre måneder senere, når kunden får et
> kontoudtog med posten. (Eller alternativt, når kunden forsøger at
> hæve penge men bliver afvist fordi kontoen er tom.

Det er ikke phishing vi taler om. Men jeg er efterhånden af den
opfattelse, at du kun tænker i de baner.

> >> > Ingen (heller ikke kunden) undtagen banken (og ActivCard - det er
> >> > firmaet som laver DDBs Token regnemaskine) kender challenge/respons-
> >> > eller kontrol algoritmerne, så kundens godkendte transaktioner kan blive
> >> > omskrevet inden de sendes til banken. Hackeren kan ikke mere end kunden,
> >> > hvis det skal være realistisk.
> >>
> >> Han har ikke brug for at kunne mere end kunden. Kunden kan tømme sin
> >> egen konto.
> >
> > Selvfølgelig kan han det, men så passer det der kommer efter
> > challenge/respons osse med kontonummeret.
>
> Banken kan stadig ikke se forskel på hvem der har besluttet hvilken
> konto pengene skal overføres til.

Kan du underbygge det?

Kent Friis (23-01-2007)
Kommentar
Fra : Kent Friis


Dato : 23-01-07 00:12

Den Mon, 22 Jan 2007 22:35:49 +0100 skrev Axel Hammerschmidt:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>> Den Mon, 22 Jan 2007 01:08:57 +0100 skrev Axel Hammerschmidt:
>> > Kent Friis <nospam@nospam.invalid> wrote:
>> >
>> >> Den Sun, 21 Jan 2007 18:52:20 +0100 skrev Axel Hammerschmidt:
>> >> > Kent Friis <nospam@nospam.invalid> wrote:
>> >> >
>> >> >> Den Sun, 21 Jan 2007 01:06:35 +0100 skrev Axel Hammerschmidt:
>> >> >> > Kent Friis <nospam@nospam.invalid> wrote:
>> >> >> >
>> >> >> >> Den Sun, 21 Jan 2007 00:18:49 +0100 skrev Axel Hammerschmidt:
>> >> >> >> > Kent Friis <nospam@nospam.invalid> wrote:
>> >> >> >> >
>> >> >> >> >> Den Sat, 20 Jan 2007 21:58:45 +0100 skrev Axel Hammerschmidt:
>> >> >> >> >> > Kent Friis <nospam@nospam.invalid> wrote:
>> >> >> >> >> >
>> >> >> >> >> >> Den Sat, 20 Jan 2007 21:34:15 +0100 skrev Axel Hammerschmidt:
>> >> >> >> >> >>
>> >> >> >> >> >> > Alex Holst <a@mongers.org> wrote:
>> >> >> >> >> >> >
>> >> >> >> >> >> > <snip>
>> >> >> >> >> >> >
>> >> >> >> >> >> >> Hvis en angriber har totalt kontrol over en brugers
>> >> >> >> >> >> >> maskine, kan intet forhindre at brugerens godkendte
>> >> >> >> >> >> >> transaktioner bliver omskrevet inden de sendes til banken.
>> >> >> >> >> >> >
>> >> >> >> >> >> > Det er jeg ikke enig i. Nu ved jeg ikke om det virker på den
>> >> >> >> >> >> > måde, men med ActivCard skal man indtraste et tal, som man
>> >> >> >> >> >> > bliver præsenteret for på skærmen ved selve transaktionen, i
>> >> >> >> >> >> > sin ActivCard. Det tal, som ActivCard melder tilbage skal så
>> >> >> >> >> >> > indtastes og bliver sendt tilbage til banken før
>> >> >> >> >> >> > transaktionen bliver gennemført.
>> >> >> >> >> >> >
>> >> >> >> >> >> > Det første tal, som banken sender kan så gøres afhængig af
>> >> >> >> >> >> > de talværdier, f.eks beløbene og kontonumrer som indgår.
>> >> >> >> >> >>
>> >> >> >> >> >> Og hvordan kommer du derfra og til at brugeren kan verificere
>> >> >> >> >> >> at det er de korrekte tal?
>> >> >> >> >> >
>> >> >> >> >> > Det er kun banken, som er modtager der skal.
>> >> >> >> >>
>> >> >> >> >> Hvordan ved banken hvilket kontonummer kunden tænkte på? Altså
>> >> >> >> >> når kunden vil overføre til kontonummer 1234, men banken aldrig
>> >> >> >> >> ser andet end kontonummer 4321.
>> >> >> >> >
>> >> >> >> > Kunden indtaster sin bestilling til konto 1234 og sender det. Men
>> >> >> >> > banken modtager en bestilling til konto 4321 og sender et tal
>> >> >> >> > svarende hertil tilbage. Kunden indtaster det tal
>> >> >> >> > (challengetallet) i sin ActivCard og får et nyt tal og sender så
>> >> >> >> > et tal svarende til konto 1234 og det nye tal tilbage.
>> >> >> >>
>> >> >> >> Der mangler et eller andet her. Hvordan ved activcard'en at det er
>> >> >> >> konto 1234? Vil du have brugeren til at indtaste kontonummeret både
>> >> >> >> på PC'en og på activecard'en?
>> >> >> >
>> >> >> > Nej. Kunden sender et tal svarende til konto 1234 og det nye tal (fra
>> >> >> > ActivCard) tilbage og det er det tal, der så skal omskrives.
>> >> >>
>> >> >> Med "et tal svarende til", mener du da en checksum eller lignende af
>> >> >> kontonummer + tallet fra activcard'en?
>> >> >
>> >> > En check på at f.eks kontonummer ikke er ændret.
>> >>
>> >> I bankens ende er kontonummeret ikke ændret. Der har altid stået 9999.
>> >> I kundens ende er kontonummeret ikke ændret. Der har altid stået 1234.
>> >>
>> >> For at opdage problemet, er du nødt til at sammenligne begge ender,
>> >> via en kanal angriberen ikke har kontrol over. Altså udenom kundens
>> >> PC.
>> >
>> > Det behøver banken ikke for at opdage at der er med OTP og MAC.
>>
>> Det du kalder "OTP og MAC" er så det vi andre kalder tankeoverføring?
>> Altså at banken ved hvad kunden tænker, uanset at alt hvad de ser
>> viser hvad forbryderen viser dem.
>
> http://en.wikipedia.org/wiki/One-time_pad
> http://en.wikipedia.org/wiki/Message_authentication_code

Ingen af disse giver banken mulighed for at se hvad kunden tænker, og
dermed heller ikke mulighed for at checke om de data de modtager svarer
til hvad kunden tænker.

>> >> >> Skal kunden beregne checksummen i hovedet? Activecard'en kender ikke
>> >> >> kontonummeret, og kan derfor ikke beregne checksum'en, og hvis det er
>> >> >> PC'en der skal beregne den, har den jo allerede grundlaget for
>> >> >> beregningen, og kan bare lave beregningen med det andet kontonummer.
>> >> >
>> >> > Kontrollen kan foregå på kundens maskine,
>> >>
>> >> Game over.
>> >>
>> >> Hvis du lader forbryderen stå for kontrollen, har du allerede tabt.
>> >
>> > Angriberen har samme begrænsede kontrol som kunden.
>>
>> At lade kundens maskine (som er Pwned af angriberen) stå for kontrollen
>> er det samme som at lade angriberen stå for kontrollen.
>
> I DDBs tilfælde kører der et java applet vindue.

På brugerens maskine, som kan gøre præcis hvad angriberen har lyst til.

>> >> > lige efter responstallet bliver indtastet (vi skal ikke skrive kunden
>> >> > helt ud af forløbet). Tallet fra ActivCard skal passe med kontonummeret
>> >> > kunden sendte. Eller (kontrollen kan foregå) hos banken, med det
>> >> > kontonummer banken fik.
>> >>
>> >> Det eneste kontonummer banken fik er 9999, Fup og Svindel A/S.
>> >
>> > Det er lige meget, når transaktionen ikke gennemføres.
>>
>> Du drømmer. Banken kan ikke se der er et problem, og kunden kan ikke
>> se der er et problem. Før tre måneder senere, når kunden får et
>> kontoudtog med posten. (Eller alternativt, når kunden forsøger at
>> hæve penge men bliver afvist fordi kontoen er tom.
>
> Det er ikke phishing vi taler om. Men jeg er efterhånden af den
> opfattelse, at du kun tænker i de baner.

Det overrasker efterhånden ikke at du ikke engang har fattet hvad
vi snakker om. Jeg har i denne diskussion kun snakket om de samme
MITM-angreb som vi hele tiden har diskuteret - at kundens computer er
overtaget af 3.-part, og denne derved kan erstatte kundens overførsel
med sin egen.

>> >> > Ingen (heller ikke kunden) undtagen banken (og ActivCard - det er
>> >> > firmaet som laver DDBs Token regnemaskine) kender challenge/respons-
>> >> > eller kontrol algoritmerne, så kundens godkendte transaktioner kan blive
>> >> > omskrevet inden de sendes til banken. Hackeren kan ikke mere end kunden,
>> >> > hvis det skal være realistisk.
>> >>
>> >> Han har ikke brug for at kunne mere end kunden. Kunden kan tømme sin
>> >> egen konto.
>> >
>> > Selvfølgelig kan han det, men så passer det der kommer efter
>> > challenge/respons osse med kontonummeret.
>>
>> Banken kan stadig ikke se forskel på hvem der har besluttet hvilken
>> konto pengene skal overføres til.
>
> Kan du underbygge det?

Ganske simpelt:

Her er et tal: 1234.
Er det det tal jeg tænker på lige nu?

Du har præcis lige så mange informationer til rådighed som banken.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Axel Hammerschmidt (23-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 23-01-07 00:31

Kent Friis <nospam@nospam.invalid> wrote:

> Den Mon, 22 Jan 2007 22:35:49 +0100 skrev Axel Hammerschmidt:
> > Kent Friis <nospam@nospam.invalid> wrote:
> >
> >> Den Mon, 22 Jan 2007 01:08:57 +0100 skrev Axel Hammerschmidt:
> >> > Kent Friis <nospam@nospam.invalid> wrote:
> >> >
> >> >> Den Sun, 21 Jan 2007 18:52:20 +0100 skrev Axel Hammerschmidt:
> >> >> > Kent Friis <nospam@nospam.invalid> wrote:
> >> >> >
> >> >> >> Den Sun, 21 Jan 2007 01:06:35 +0100 skrev Axel Hammerschmidt:
> >> >> >> > Kent Friis <nospam@nospam.invalid> wrote:
> >> >> >> >
> >> >> >> >> Den Sun, 21 Jan 2007 00:18:49 +0100 skrev Axel Hammerschmidt:
> >> >> >> >> > Kent Friis <nospam@nospam.invalid> wrote:
> >> >> >> >> >
> >> >> >> >> >> Den Sat, 20 Jan 2007 21:58:45 +0100 skrev Axel Hammerschmidt:
> >> >> >> >> >> > Kent Friis <nospam@nospam.invalid> wrote:
> >> >> >> >> >> >
> >> >> >> >> >> >> Den Sat, 20 Jan 2007 21:34:15 +0100 skrev Axel
> >> >> >> >> >> >> Hammerschmidt:
> >> >> >> >> >> >>
> >> >> >> >> >> >> > Alex Holst <a@mongers.org> wrote:
> >> >> >> >> >> >> >
> >> >> >> >> >> >> > <snip>
> >> >> >> >> >> >> >
> >> >> >> >> >> >> >> Hvis en angriber har totalt kontrol over en brugers
> >> >> >> >> >> >> >> maskine, kan intet forhindre at brugerens godkendte
> >> >> >> >> >> >> >> transaktioner bliver omskrevet inden de sendes til
> >> >> >> >> >> >> >> banken.
> >> >> >> >> >> >> >
> >> >> >> >> >> >> > Det er jeg ikke enig i. Nu ved jeg ikke om det virker
> >> >> >> >> >> >> > på den måde, men med ActivCard skal man indtraste et
> >> >> >> >> >> >> > tal, som man bliver præsenteret for på skærmen ved
> >> >> >> >> >> >> > selve transaktionen, i sin ActivCard. Det tal, som
> >> >> >> >> >> >> > ActivCard melder tilbage skal så indtastes og bliver
> >> >> >> >> >> >> > sendt tilbage til banken før transaktionen bliver
> >> >> >> >> >> >> > gennemført.
> >> >> >> >> >> >> >
> >> >> >> >> >> >> > Det første tal, som banken sender kan så gøres
> >> >> >> >> >> >> > afhængig af de talværdier, f.eks beløbene og
> >> >> >> >> >> >> > kontonumrer som indgår.
> >> >> >> >> >> >>
> >> >> >> >> >> >> Og hvordan kommer du derfra og til at brugeren kan
> >> >> >> >> >> >> verificere at det er de korrekte tal?
> >> >> >> >> >> >
> >> >> >> >> >> > Det er kun banken, som er modtager der skal.
> >> >> >> >> >>
> >> >> >> >> >> Hvordan ved banken hvilket kontonummer kunden tænkte på?
> >> >> >> >> >> Altså når kunden vil overføre til kontonummer 1234, men
> >> >> >> >> >> banken aldrig ser andet end kontonummer 4321.
> >> >> >> >> >
> >> >> >> >> > Kunden indtaster sin bestilling til konto 1234 og sender
> >> >> >> >> > det. Men banken modtager en bestilling til konto 4321 og
> >> >> >> >> > sender et tal svarende hertil tilbage. Kunden indtaster det
> >> >> >> >> > tal (challengetallet) i sin ActivCard og får et nyt tal og
> >> >> >> >> > sender så et tal svarende til konto 1234 og det nye tal
> >> >> >> >> > tilbage.
> >> >> >> >>
> >> >> >> >> Der mangler et eller andet her. Hvordan ved activcard'en at
> >> >> >> >> det er konto 1234? Vil du have brugeren til at indtaste
> >> >> >> >> kontonummeret både på PC'en og på activecard'en?
> >> >> >> >
> >> >> >> > Nej. Kunden sender et tal svarende til konto 1234 og det nye
> >> >> >> > tal (fra ActivCard) tilbage og det er det tal, der så skal
> >> >> >> > omskrives.
> >> >> >>
> >> >> >> Med "et tal svarende til", mener du da en checksum eller lignende
> >> >> >> af kontonummer + tallet fra activcard'en?
> >> >> >
> >> >> > En check på at f.eks kontonummer ikke er ændret.
> >> >>
> >> >> I bankens ende er kontonummeret ikke ændret. Der har altid stået
> >> >> I 9999. kundens ende er kontonummeret ikke ændret. Der har altid
> >> >> I stået 1234.
> >> >>
> >> >> For at opdage problemet, er du nødt til at sammenligne begge ender,
> >> >> via en kanal angriberen ikke har kontrol over. Altså udenom kundens
> >> >> PC.
> >> >
> >> > Det behøver banken ikke for at opdage at der er med OTP og MAC.
> >>
> >> Det du kalder "OTP og MAC" er så det vi andre kalder tankeoverføring?
> >> Altså at banken ved hvad kunden tænker, uanset at alt hvad de ser viser
> >> hvad forbryderen viser dem.
> >
> > http://en.wikipedia.org/wiki/One-time_pad
> > http://en.wikipedia.org/wiki/Message_authentication_code
>
> Ingen af disse giver banken mulighed for at se hvad kunden tænker, og
> dermed heller ikke mulighed for at checke om de data de modtager svarer
> til hvad kunden tænker.
>
> >> >> >> Skal kunden beregne checksummen i hovedet? Activecard'en kender
> >> >> >> ikke kontonummeret, og kan derfor ikke beregne checksum'en, og
> >> >> >> hvis det er PC'en der skal beregne den, har den jo allerede
> >> >> >> grundlaget for beregningen, og kan bare lave beregningen med det
> >> >> >> andet kontonummer.
> >> >> >
> >> >> > Kontrollen kan foregå på kundens maskine,
> >> >>
> >> >> Game over.
> >> >>
> >> >> Hvis du lader forbryderen stå for kontrollen, har du allerede tabt.
> >> >
> >> > Angriberen har samme begrænsede kontrol som kunden.
> >>
> >> At lade kundens maskine (som er Pwned af angriberen) stå for kontrollen
> >> er det samme som at lade angriberen stå for kontrollen.
> >
> > I DDBs tilfælde kører der et java applet vindue.
>
> På brugerens maskine, som kan gøre præcis hvad angriberen har lyst til.

Angriveren kan ikke mere end kunden.

> >> >> > lige efter responstallet bliver indtastet (vi skal ikke skrive
> >> >> > kunden helt ud af forløbet). Tallet fra ActivCard skal passe med
> >> >> > kontonummeret kunden sendte. Eller (kontrollen kan foregå) hos
> >> >> > banken, med det kontonummer banken fik.
> >> >>
> >> >> Det eneste kontonummer banken fik er 9999, Fup og Svindel A/S.
> >> >
> >> > Det er lige meget, når transaktionen ikke gennemføres.
> >>
> >> Du drømmer. Banken kan ikke se der er et problem, og kunden kan ikke se
> >> der er et problem. Før tre måneder senere, når kunden får et kontoudtog
> >> med posten. (Eller alternativt, når kunden forsøger at hæve penge men
> >> bliver afvist fordi kontoen er tom.
> >
> > Det er ikke phishing vi taler om. Men jeg er efterhånden af den
> > opfattelse, at du kun tænker i de baner.
>
> Det overrasker efterhånden ikke at du ikke engang har fattet hvad
> vi snakker om. Jeg har i denne diskussion kun snakket om de samme
> MITM-angreb som vi hele tiden har diskuteret - at kundens computer er
> overtaget af 3.-part, og denne derved kan erstatte kundens overførsel
> med sin egen.

Nu lyder det du beskriver mere som sort magi.

> >> >> > Ingen (heller ikke kunden) undtagen banken (og ActivCard - det er
> >> >> > firmaet som laver DDBs Token regnemaskine) kender
> >> >> > challenge/respons- eller kontrol algoritmerne, så kundens
> >> >> > godkendte transaktioner kan blive omskrevet inden de sendes til
> >> >> > banken. Hackeren kan ikke mere end kunden, hvis det skal være
> >> >> > realistisk.
> >> >>
> >> >> Han har ikke brug for at kunne mere end kunden. Kunden kan tømme sin
> >> >> egen konto.
> >> >
> >> > Selvfølgelig kan han det, men så passer det der kommer efter
> >> > challenge/respons osse med kontonummeret.
> >>
> >> Banken kan stadig ikke se forskel på hvem der har besluttet hvilken
> >> konto pengene skal overføres til.
> >
> > Kan du underbygge det?
>
> Ganske simpelt:
>
> Her er et tal: 1234.
> Er det det tal jeg tænker på lige nu?
>
> Du har præcis lige så mange informationer til rådighed som banken.

Det er jo sort magi!

Kent Friis (23-01-2007)
Kommentar
Fra : Kent Friis


Dato : 23-01-07 17:46

Den Tue, 23 Jan 2007 00:31:10 +0100 skrev Axel Hammerschmidt:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>> Den Mon, 22 Jan 2007 22:35:49 +0100 skrev Axel Hammerschmidt:
>> > Kent Friis <nospam@nospam.invalid> wrote:
>> >
>> >> At lade kundens maskine (som er Pwned af angriberen) stå for kontrollen
>> >> er det samme som at lade angriberen stå for kontrollen.
>> >
>> > I DDBs tilfælde kører der et java applet vindue.
>>
>> På brugerens maskine, som kan gøre præcis hvad angriberen har lyst til.
>
> Angriveren kan ikke mere end kunden.

Netop.

Kunden kan overføre kundens penge til en konto i Sydamerika. Angriberen
kan overføre kundens penge til en konto i Sydamerika.

>> > Det er ikke phishing vi taler om. Men jeg er efterhånden af den
>> > opfattelse, at du kun tænker i de baner.
>>
>> Det overrasker efterhånden ikke at du ikke engang har fattet hvad
>> vi snakker om. Jeg har i denne diskussion kun snakket om de samme
>> MITM-angreb som vi hele tiden har diskuteret - at kundens computer er
>> overtaget af 3.-part, og denne derved kan erstatte kundens overførsel
>> med sin egen.
>
> Nu lyder det du beskriver mere som sort magi.

Hvordan var det nu?

"Any sufficiently advanced technology is indistinguishable from magic."
- Arthur C. Clarke.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Alex Holst (20-01-2007)
Kommentar
Fra : Alex Holst


Dato : 20-01-07 23:10

Axel Hammerschmidt wrote:
> Det er jeg ikke enig i. Nu ved jeg ikke om det virker på den måde, men
> med ActivCard skal man indtraste et tal, som man bliver præsenteret for
> på skærmen ved selve transaktionen, i sin ActivCard. Det tal, som
> ActivCard melder tilbage skal så indtastes og bliver sendt tilbage til
> banken før transaktionen bliver gennemført.
>
> Det første tal, som banken sender kan så gøres afhængig af de
> talværdier, f.eks beløbene og kontonumrer som indgår.

Hvad forhindrer en angriber i at sende "onde" beløb og kontonr til
banken, men vise brugeren de rigtige beløb og kontonr sammen med en
challenge der er baseret på angriberens valgte data?

Når andre har kontrol over din PC, kan du ikke længere stole på noget
som helst. Jeg kan anbefale at læse Ross Andersons "Security
Engineering", der behandler dette emne rimeligt godt.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

gil (20-01-2007)
Kommentar
Fra : gil


Dato : 20-01-07 23:37

Den 20-01-2007 23:09, skrev Alex Holst:

>
> Hvad forhindrer en angriber i at sende "onde" beløb og kontonr til
> banken, men vise brugeren de rigtige beløb og kontonr sammen med en
> challenge der er baseret på angriberens valgte data?
>

Jeg taster et kontonummer, tal. I skærmbilledet hvor acceptkoden tastes
er kontonummeret omsat til klart sprog. Hvis banken modtager et "ondt
beløb og kontonummer"; vil mit skærmbillede (acceptkode rammen) vise en
forkert modtager.

--
gil

Alex Holst (21-01-2007)
Kommentar
Fra : Alex Holst


Dato : 21-01-07 01:13

gil wrote:
> Jeg taster et kontonummer, tal. I skærmbilledet hvor acceptkoden tastes
> er kontonummeret omsat til klart sprog. Hvis banken modtager et "ondt
> beløb og kontonummer"; vil mit skærmbillede (acceptkode rammen) vise en
> forkert modtager.

Softwaren der er ansvarlig for at vise kontonummeret kan påvirkes
ligesom alt andet på din maskine.

(Hvad mener du med 'omsat til klart sprog'?)

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

gil (21-01-2007)
Kommentar
Fra : gil


Dato : 21-01-07 01:23

Den 21-01-2007 01:13, skrev Alex Holst:


>
> (Hvad mener du med 'omsat til klart sprog'?)
>

1234567890 bliver til "Ole's skothandel".

--
gil

jørgen (21-01-2007)
Kommentar
Fra : jørgen


Dato : 21-01-07 01:29

gil wrote:

> 1234567890 bliver til "Ole's skothandel".
>

Anden gang man sender til samme konto, så ved tyven hvad 1234567890 betyder

gil (21-01-2007)
Kommentar
Fra : gil


Dato : 21-01-07 01:35

Den 21-01-2007 01:28, skrev jørgen:


>
> Anden gang man sender til samme konto, så ved tyven hvad 1234567890 betyder
>

Acceptkoden er *aldrig* den samme.

--
gil

Kent Friis (21-01-2007)
Kommentar
Fra : Kent Friis


Dato : 21-01-07 01:42

Den Sun, 21 Jan 2007 01:35:16 +0100 skrev gil:
> Den 21-01-2007 01:28, skrev jørgen:
>
>
>>
>> Anden gang man sender til samme konto, så ved tyven hvad 1234567890 betyder
>>
>
> Acceptkoden er *aldrig* den samme.

Det var kontonummeret du snakkede om.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Klaus Ellegaard (21-01-2007)
Kommentar
Fra : Klaus Ellegaard


Dato : 21-01-07 01:46

gil <gil@obyon.com> writes:

>> (Hvad mener du med 'omsat til klart sprog'?)

>1234567890 bliver til "Ole's skothandel".

Det sker kun ved overførsler inden for samme pengeinstitut. Hvis man
f.eks. overfører penge til en anden bank eller udlandet, har banken
ikke (altid) information om indehaveren.

Den onde mand skal altså bare vente på, at brugeren overfører penge
til et andet pengeinstitut.

Mvh.
   Klaus.

Alex Holst (21-01-2007)
Kommentar
Fra : Alex Holst


Dato : 21-01-07 01:57

gil wrote:
> Den 21-01-2007 01:13, skrev Alex Holst:
>
>
>> (Hvad mener du med 'omsat til klart sprog'?)
>>
>
> 1234567890 bliver til "Ole's skothandel".

Så vidt jeg ved kan man ikke lave vilkårlige opslag på kontonumre og få
ejeridentifikation tilbage i hovedet, så det er sikkert info som er
tilgængelig på anden vis. Malwaren kan hente den oplysning samme sted
som brugerens software gør.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

gil (21-01-2007)
Kommentar
Fra : gil


Dato : 21-01-07 02:11

Den 21-01-2007 01:56, skrev Alex Holst:

>
> ejeridentifikation tilbage i hovedet, så det er sikkert info som er
> tilgængelig på anden vis. Malwaren kan hente den oplysning samme sted
> som brugerens software gør.
>

'Brugeren' er i dette tilfælde banken, så, no way.

--
gil

jørgen (21-01-2007)
Kommentar
Fra : jørgen


Dato : 21-01-07 03:57

gil wrote:

> 'Brugeren' er i dette tilfælde banken, så, no way.

Trojaneren kunne være så snedigt udtænkt, at den benytter banken til at
hente informationer omkring kontoen. Det vil ikke være noget problem,
hvis der først skal indtastes kode til sidst i forløbet.

Alex Holst (21-01-2007)
Kommentar
Fra : Alex Holst


Dato : 21-01-07 10:07

gil wrote:
> Den 21-01-2007 01:56, skrev Alex Holst:
>
>> ejeridentifikation tilbage i hovedet, så det er sikkert info som er
>> tilgængelig på anden vis. Malwaren kan hente den oplysning samme sted
>> som brugerens software gør.
>>
>
> 'Brugeren' er i dette tilfælde banken, så, no way.

Nej, "brugeren" er stadigt en person der benytter en PC med malware
installeret.

Det er naturligvis en mulighed at den benyttede protokol ikke tillader
vilkårlige opslag, så derfor vil et stykke malware ikke umiddelbart
kunne pille ved transaktioner inden for samme bank, medmindre brugeren
blindt trykker 'ok'.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Axel Hammerschmidt (21-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 21-01-07 01:07

Alex Holst <a@mongers.org> wrote:

> Axel Hammerschmidt wrote:
>
> > Det er jeg ikke enig i. Nu ved jeg ikke om det virker på den måde, men
> > med ActivCard skal man indtraste et tal, som man bliver præsenteret for
> > på skærmen ved selve transaktionen, i sin ActivCard. Det tal, som
> > ActivCard melder tilbage skal så indtastes og bliver sendt tilbage til
> > banken før transaktionen bliver gennemført.
> >
> > Det første tal, som banken sender kan så gøres afhængig af de
> > talværdier, f.eks beløbene og kontonumrer som indgår.
>
> Hvad forhindrer en angriber i at sende "onde" beløb og kontonr til
> banken, men vise brugeren de rigtige beløb og kontonr sammen med en
> challenge der er baseret på angriberens valgte data?

Hvordan får angriberen fat i "en challenge der er baseret på angriberens
valgte data" som passer, når angriberen ikke har de tal som kommer fra
bankens computer og kundens ActivCard?

> Når andre har kontrol over din PC, kan du ikke længere stole på noget
> som helst. Jeg kan anbefale at læse Ross Andersons "Security
> Engineering", der behandler dette emne rimeligt godt.

Så kan du måske svare på, om banken ikke har sikret sig mod en der "har
totalt kontrol over en brugers maskine" når det under alle
omstændigheder gælder for kontohaveren?

Klaus Ellegaard (21-01-2007)
Kommentar
Fra : Klaus Ellegaard


Dato : 21-01-07 01:42

hlexa@hotmail.com (Axel Hammerschmidt) writes:

>Hvordan får angriberen fat i "en challenge der er baseret på angriberens
>valgte data" som passer, når angriberen ikke har de tal som kommer fra
>bankens computer og kundens ActivCard?

Teorien her er, at challenges er uafhængige af transaktionen. Der
er vist hverken dokumentation for eller imod den teori.

Da brugerens pc er overtaget af en ond mand, er der ikke længere
sammenhæng mellem det, brugeren taster, og det, der bliver sendt
over nettet.

Således kan brugeren taste "http://ekstrabladet.dk" og få vist
forsiden fra information.dk. Eller alle forekomster af "Fogh"
på siden kan være erstattet med "Ole Sohn".

Eller, mere relevant: Brugeren logger på sin netbank på sædvanlig
vis: brugernavn og talkode oplyst af ActivCard. Han browser lidt
rundt og ser kontooversigter og den slags. Altsammen sker uden at
der fifles med data.

Men nu beder brugeren om at få flyttet 200 kr fra sin egen konto
til konto 123456789 (moster Anna) som betaling for et flot sæt
hjemmehæklede grydelapper.

Denne transaktion bliver ikke sendt til banken. Den onde mand har
erstattet beløbet med 50.000 kr og kontonummeret med 987654321.
Det er altså dette beløb og kontonummer, banken ser. Brugeren tror
stadig, han er i gang med at betale for grydelapperne.

Banken sender nu et tilfældigt challenge til brugeren, som har
reference til overførslens interne nummer - hverken til beløb
eller konto.

Den onde mand erstatter det forkerte beløb og kontonummer med
moster Annas, så brugeren ikke aner uråd. Den glade bruger taster
challenge'et ind på ActivCard'et, får en response-værdi, som han
taster ind i browseren.

Response-værdien sendes uændret til banken, der nu har brugerens
accept(!) på, at 50.000 kroner skal flyttes til den onde mand.


Der er to "problemer" med denne historie:

1. Det antages, at bankens challenge er baseret på et internt
nummer og altså ikke indeholder kodet information om beløb
og/eller kontonumre. Vi kan vist hverken dokumentere for
eller imod den teori.

2. Det er uendeligt meget nemmere at gå efter at udnytte en
bruger, der har sikkerheden baseret på nøglefil og password.
Så selvom ovenstående i princippet er muligt, er det så
besværligt, at ActivCard'et i praksis må siges at være så
godt som 100% sikkert. I forhold til alternativet, altså.


I princippet kan man sammenligne de to løsninger således:

Man stjæler to låste kufferter. Man har kun behov for (eller tid)
til at få den ene åbnet.

Der er kodelås på den første kuffert. I det ulåste papirrum er
der en mobiltelefon og et ActivCard. For at få kombinationen til
kodelåsen, skal man ringe til et kendt nummer på mobiltelefonen,
identificere sig selv, få en kode, taste den ind på ActivCard'et,
læse det viste op for manden i telefonen, som så vil kvittere med
tal-kombinationen til kodelåsen.

Der er kodelås på den anden kuffert, men i det ulåste papirrum
foran ligger kombinationen. Så det er bare at dreje tallene frem
på kodelåsen.

Hvilken kuffert vil de fleste tyve vælge at åbne?

Mvh.
   Klaus.

Kent Friis (21-01-2007)
Kommentar
Fra : Kent Friis


Dato : 21-01-07 02:00

Den Sun, 21 Jan 2007 00:42:20 +0000 (UTC) skrev Klaus Ellegaard:
>
> 1. Det antages, at bankens challenge er baseret på et internt
> nummer og altså ikke indeholder kodet information om beløb
> og/eller kontonumre. Vi kan vist hverken dokumentere for
> eller imod den teori.

Det kan lade sig gøre, men kræver at brugeren involveres. Enten ved
at brugeren skal indtaste kontonummeret+beløb (ok, kontonummer er
nok, der er ingen fidus i at fuske med beløbet, hvis man ikke får
pengene) på active-card'en, som banken kan verificere, eller ved
at banken inkluderer kontonummeret i challengen, så active-card'en
kan vise den på skærmen, og brugeren verificere at det er den
rigtige konto.

Det kræver dermed at de data der skal indtastes manuelt øges fra 4-6
tegn, til at være nok til at indeholde et helt kontonummer, hvilket
vil gøre ideen upopulær hos kunderne.

> 2. Det er uendeligt meget nemmere at gå efter at udnytte en
> bruger, der har sikkerheden baseret på nøglefil og password.
> Så selvom ovenstående i princippet er muligt, er det så
> besværligt, at ActivCard'et i praksis må siges at være så
> godt som 100% sikkert. I forhold til alternativet, altså.

Det var faktisk noget af det første jeg skrev. Det kan sagtens lade
sig gøre, men det kræver meget mere arbejde.

Problemet er bare at hvis Nordea-Sverige bruger token-løsningen,
er dette den eneste mulighed for at angribe systemet (udover fejl
i systemet). Generelt set har du ret, det er for besværligt i
forhold til at angribe en bank der kun bruger alm. password. Men
når vi allerede ved at pengene er væk, så er det uinteressant
at andre banker havde været nemmere at stjæle fra.

> I princippet kan man sammenligne de to løsninger således:
>
> Man stjæler to låste kufferter. Man har kun behov for (eller tid)
> til at få den ene åbnet.
>
> Der er kodelås på den første kuffert. I det ulåste papirrum er
> der en mobiltelefon og et ActivCard. For at få kombinationen til
> kodelåsen, skal man ringe til et kendt nummer på mobiltelefonen,
> identificere sig selv, få en kode, taste den ind på ActivCard'et,
> læse det viste op for manden i telefonen, som så vil kvittere med
> tal-kombinationen til kodelåsen.
>
> Der er kodelås på den anden kuffert, men i det ulåste papirrum
> foran ligger kombinationen. Så det er bare at dreje tallene frem
> på kodelåsen.
>
> Hvilken kuffert vil de fleste tyve vælge at åbne?

Og så har vi situationen vi diskuterer her: I den kuffert med
activecard'en lå der en bærbar PC, det gør der ikke længere. Hvad
er den nemmeste måde tyven kan have brugt til at få PC'en ud?

Hint: Han har ikke fået den ud ved at åbne den anden kuffert.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Morten Guldager (21-01-2007)
Kommentar
Fra : Morten Guldager


Dato : 21-01-07 08:58

2007-01-21 Klaus Ellegaard wrote
> hlexa@hotmail.com (Axel Hammerschmidt) writes:
>
>>Hvordan får angriberen fat i "en challenge der er baseret på angriberens
>>valgte data" som passer, når angriberen ikke har de tal som kommer fra
>>bankens computer og kundens ActivCard?
>
> Teorien her er, at challenges er uafhængige af transaktionen. Der
> er vist hverken dokumentation for eller imod den teori.
>
> Da brugerens pc er overtaget af en ond mand, er der ikke længere
> sammenhæng mellem det, brugeren taster, og det, der bliver sendt
> over nettet.
>
> Således kan brugeren taste "http://ekstrabladet.dk" og få vist
> forsiden fra information.dk. Eller alle forekomster af "Fogh"
> på siden kan være erstattet med "Ole Sohn".
>
> Eller, mere relevant: Brugeren logger på sin netbank på sædvanlig
> vis: brugernavn og talkode oplyst af ActivCard. Han browser lidt
> rundt og ser kontooversigter og den slags. Altsammen sker uden at
> der fifles med data.
>
> Men nu beder brugeren om at få flyttet 200 kr fra sin egen konto
> til konto 123456789 (moster Anna) som betaling for et flot sæt
> hjemmehæklede grydelapper.
>
> Denne transaktion bliver ikke sendt til banken. Den onde mand har
> erstattet beløbet med 50.000 kr og kontonummeret med 987654321.
> Det er altså dette beløb og kontonummer, banken ser. Brugeren tror
> stadig, han er i gang med at betale for grydelapperne.
>
> Banken sender nu et tilfældigt challenge til brugeren, som har
> reference til overførslens interne nummer - hverken til beløb
> eller konto.
>
> Den onde mand erstatter det forkerte beløb og kontonummer med
> moster Annas, så brugeren ikke aner uråd. Den glade bruger taster
> challenge'et ind på ActivCard'et, får en response-værdi, som han
> taster ind i browseren.
>
> Response-værdien sendes uændret til banken, der nu har brugerens
> accept(!) på, at 50.000 kroner skal flyttes til den onde mand.
>
>
> Der er to "problemer" med denne historie:
>
> 1. Det antages, at bankens challenge er baseret på et internt
> nummer og altså ikke indeholder kodet information om beløb
> og/eller kontonumre. Vi kan vist hverken dokumentere for
> eller imod den teori.

Og selv om moster Annas kontonummer er blevet en de af det 4
cifrede nøgle-index så kan brugeren ikke kontrolere dette uden
at bruge sin PC. (som jo er busted)

Banken kunne i disse moderne tider krydre sin netbank med SMS
udsendelse.
Så brugeren blev præsenteret for transaktionen der skulle godkendes
både på PC'en og på mobilen.

Jeg kan ikke helt gennemskue om ikke det vil være bedre om nøgle-index
ligger i SMS'en, så fristes brugeren ikke til at til at taste nøglen
ind uden at have set SMS'en.

Det vil gøre det væsentligt mere bøvlet at være vandal.



/Morten

Axel Hammerschmidt (21-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 21-01-07 18:52

Klaus Ellegaard <klausellegaard@msn.com> wrote:

> hlexa@hotmail.com (Axel Hammerschmidt) writes:
>
> >Hvordan får angriberen fat i "en challenge der er baseret på angriberens
> >valgte data" som passer, når angriberen ikke har de tal som kommer fra
> >bankens computer og kundens ActivCard?
>
> Teorien her er, at challenges er uafhængige af transaktionen. Der
> er vist hverken dokumentation for eller imod den teori.

Jeg spekulerer osse:

Results 1 - 10 of about 35,900 for ActivCard Token. (0.05 seconds)

Danske Netbank bruger ActivCards Token regnemaskine. Der står nok (jeg
har ikke læst alle 35.900 hit) ikke direkte noget om hvordan challenge
evt er afhængig af transaktionen.

Men som der står i det Wiki som jeg citerer i mit svar til Alex Holst,
så vil en MIC (eller MAC som det hedder der) hvis den funktion ellers er
med, sikre mod man-in-the-middle angrebet. Kombineres tallet fra
ActivCard med transaktionsdata har man netop sikret mod at indholdet
bliver ændret uden at det opdages.

Kent Friis (21-01-2007)
Kommentar
Fra : Kent Friis


Dato : 21-01-07 19:05

Den Sun, 21 Jan 2007 18:52:19 +0100 skrev Axel Hammerschmidt:
> Klaus Ellegaard <klausellegaard@msn.com> wrote:
>
>> hlexa@hotmail.com (Axel Hammerschmidt) writes:
>>
>> >Hvordan får angriberen fat i "en challenge der er baseret på angriberens
>> >valgte data" som passer, når angriberen ikke har de tal som kommer fra
>> >bankens computer og kundens ActivCard?
>>
>> Teorien her er, at challenges er uafhængige af transaktionen. Der
>> er vist hverken dokumentation for eller imod den teori.
>
> Jeg spekulerer osse:
>
> Results 1 - 10 of about 35,900 for ActivCard Token. (0.05 seconds)
>
> Danske Netbank bruger ActivCards Token regnemaskine. Der står nok (jeg
> har ikke læst alle 35.900 hit) ikke direkte noget om hvordan challenge
> evt er afhængig af transaktionen.
>
> Men som der står i det Wiki som jeg citerer i mit svar til Alex Holst,
> så vil en MIC (eller MAC som det hedder der) hvis den funktion ellers er
> med, sikre mod man-in-the-middle angrebet. Kombineres tallet fra
> ActivCard med transaktionsdata har man netop sikret mod at indholdet
> bliver ændret uden at det opdages.

Hvis kontonummer + beløb indtastes direkte i active-card'en, ja. Ellers
ikke.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Axel Hammerschmidt (22-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 22-01-07 01:09

Kent Friis <nospam@nospam.invalid> wrote:

> Den Sun, 21 Jan 2007 18:52:19 +0100 skrev Axel Hammerschmidt:
> > Klaus Ellegaard <klausellegaard@msn.com> wrote:
> >
> >> hlexa@hotmail.com (Axel Hammerschmidt) writes:
> >>
> >> >Hvordan får angriberen fat i "en challenge der er baseret på
> >> >angriberens valgte data" som passer, når angriberen ikke har de tal
> >> >som kommer fra bankens computer og kundens ActivCard?
> >>
> >> Teorien her er, at challenges er uafhængige af transaktionen. Der
> >> er vist hverken dokumentation for eller imod den teori.
> >
> > Jeg spekulerer osse:
> >
> > Results 1 - 10 of about 35,900 for ActivCard Token. (0.05 seconds)
> >
> > Danske Netbank bruger ActivCards Token regnemaskine. Der står nok (jeg
> > har ikke læst alle 35.900 hit) ikke direkte noget om hvordan challenge
> > evt er afhængig af transaktionen.
> >
> > Men som der står i det Wiki som jeg citerer i mit svar til Alex Holst,
> > så vil en MIC (eller MAC som det hedder der) hvis den funktion ellers er
> > med, sikre mod man-in-the-middle angrebet. Kombineres tallet fra
> > ActivCard med transaktionsdata har man netop sikret mod at indholdet
> > bliver ændret uden at det opdages.
>
> Hvis kontonummer + beløb indtastes direkte i active-card'en, ja. Ellers
> ikke.

Det kan klares i software på kundens computer. Med OTP med MAC.

Kent Friis (21-01-2007)
Kommentar
Fra : Kent Friis


Dato : 21-01-07 01:45

Den Sun, 21 Jan 2007 01:06:36 +0100 skrev Axel Hammerschmidt:
> Alex Holst <a@mongers.org> wrote:
>
>> Axel Hammerschmidt wrote:
>>
>> > Det er jeg ikke enig i. Nu ved jeg ikke om det virker på den måde, men
>> > med ActivCard skal man indtraste et tal, som man bliver præsenteret for
>> > på skærmen ved selve transaktionen, i sin ActivCard. Det tal, som
>> > ActivCard melder tilbage skal så indtastes og bliver sendt tilbage til
>> > banken før transaktionen bliver gennemført.
>> >
>> > Det første tal, som banken sender kan så gøres afhængig af de
>> > talværdier, f.eks beløbene og kontonumrer som indgår.
>>
>> Hvad forhindrer en angriber i at sende "onde" beløb og kontonr til
>> banken, men vise brugeren de rigtige beløb og kontonr sammen med en
>> challenge der er baseret på angriberens valgte data?
>
> Hvordan får angriberen fat i "en challenge der er baseret på angriberens
> valgte data" som passer, når angriberen ikke har de tal som kommer fra
> bankens computer og kundens ActivCard?

Al kommunikationen går gennem den angrebne PC. Dermed kender
angriberen alle de nødvendige data.

>> Når andre har kontrol over din PC, kan du ikke længere stole på noget
>> som helst. Jeg kan anbefale at læse Ross Andersons "Security
>> Engineering", der behandler dette emne rimeligt godt.
>
> Så kan du måske svare på, om banken ikke har sikret sig mod en der "har
> totalt kontrol over en brugers maskine" når det under alle
> omstændigheder gælder for kontohaveren?

Banken har sikret sig imod at brugeren overfører alle sine egne penge
til en anden konto ved at gøre brugeren selv ansvarlig for den
handling.

Det er først når det er andre der gør det at problemet opstår.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Axel Hammerschmidt (21-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 21-01-07 18:52

Kent Friis <nospam@nospam.invalid> wrote:

> Den Sun, 21 Jan 2007 01:06:36 +0100 skrev Axel Hammerschmidt:
> > Alex Holst <a@mongers.org> wrote:
> >
> >> Axel Hammerschmidt wrote:
> >>
> >> > Det er jeg ikke enig i. Nu ved jeg ikke om det virker på den måde, men
> >> > med ActivCard skal man indtraste et tal, som man bliver præsenteret for
> >> > på skærmen ved selve transaktionen, i sin ActivCard. Det tal, som
> >> > ActivCard melder tilbage skal så indtastes og bliver sendt tilbage til
> >> > banken før transaktionen bliver gennemført.
> >> >
> >> > Det første tal, som banken sender kan så gøres afhængig af de
> >> > talværdier, f.eks beløbene og kontonumrer som indgår.
> >>
> >> Hvad forhindrer en angriber i at sende "onde" beløb og kontonr til
> >> banken, men vise brugeren de rigtige beløb og kontonr sammen med en
> >> challenge der er baseret på angriberens valgte data?
> >
> > Hvordan får angriberen fat i "en challenge der er baseret på angriberens
> > valgte data" som passer, når angriberen ikke har de tal som kommer fra
> > bankens computer og kundens ActivCard?
>
> Al kommunikationen går gennem den angrebne PC. Dermed kender
> angriberen alle de nødvendige data.

Angriberen ved ikke hvad responstallet fra kundens ActivCard er i det
tilfælde, at det der kom tilbage fra banken var baseret på den rigtige
konto (1234).

> >> Når andre har kontrol over din PC, kan du ikke længere stole på noget
> >> som helst. Jeg kan anbefale at læse Ross Andersons "Security
> >> Engineering", der behandler dette emne rimeligt godt.
> >
> > Så kan du måske svare på, om banken ikke har sikret sig mod en der "har
> > totalt kontrol over en brugers maskine" når det under alle
> > omstændigheder gælder for kontohaveren?
>
> Banken har sikret sig imod at brugeren overfører alle sine egne penge
> til en anden konto ved at gøre brugeren selv ansvarlig for den
> handling.

Jamen før det. Brugeren har ingen kontrol over ActivCard og tilhørende
software. Brugeren ser kun challenge/respons tallene, men ved ikke
hvordan de opstår eller de videre indgår i forløbet.

Kent Friis (21-01-2007)
Kommentar
Fra : Kent Friis


Dato : 21-01-07 19:09

Den Sun, 21 Jan 2007 18:52:20 +0100 skrev Axel Hammerschmidt:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>> Den Sun, 21 Jan 2007 01:06:36 +0100 skrev Axel Hammerschmidt:
>> > Alex Holst <a@mongers.org> wrote:
>> >
>> >> Axel Hammerschmidt wrote:
>> >>
>> >> > Det er jeg ikke enig i. Nu ved jeg ikke om det virker på den måde, men
>> >> > med ActivCard skal man indtraste et tal, som man bliver præsenteret for
>> >> > på skærmen ved selve transaktionen, i sin ActivCard. Det tal, som
>> >> > ActivCard melder tilbage skal så indtastes og bliver sendt tilbage til
>> >> > banken før transaktionen bliver gennemført.
>> >> >
>> >> > Det første tal, som banken sender kan så gøres afhængig af de
>> >> > talværdier, f.eks beløbene og kontonumrer som indgår.
>> >>
>> >> Hvad forhindrer en angriber i at sende "onde" beløb og kontonr til
>> >> banken, men vise brugeren de rigtige beløb og kontonr sammen med en
>> >> challenge der er baseret på angriberens valgte data?
>> >
>> > Hvordan får angriberen fat i "en challenge der er baseret på angriberens
>> > valgte data" som passer, når angriberen ikke har de tal som kommer fra
>> > bankens computer og kundens ActivCard?
>>
>> Al kommunikationen går gennem den angrebne PC. Dermed kender
>> angriberen alle de nødvendige data.
>
> Angriberen ved ikke hvad responstallet fra kundens ActivCard er i det
> tilfælde, at det der kom tilbage fra banken var baseret på den rigtige
> konto (1234).

Hvor kender banken konto 1234 fra? Det eneste der er sendt til banken
er konto 9999.

>> >> Når andre har kontrol over din PC, kan du ikke længere stole på noget
>> >> som helst. Jeg kan anbefale at læse Ross Andersons "Security
>> >> Engineering", der behandler dette emne rimeligt godt.
>> >
>> > Så kan du måske svare på, om banken ikke har sikret sig mod en der "har
>> > totalt kontrol over en brugers maskine" når det under alle
>> > omstændigheder gælder for kontohaveren?
>>
>> Banken har sikret sig imod at brugeren overfører alle sine egne penge
>> til en anden konto ved at gøre brugeren selv ansvarlig for den
>> handling.
>
> Jamen før det.

Hvadfornoget "før det"? Der er intet der forhindrer brugeren selv i at
overføre alle sine penge til en forbryder.

> Brugeren har ingen kontrol over ActivCard og tilhørende
> software. Brugeren ser kun challenge/respons tallene, men ved ikke
> hvordan de opstår eller de videre indgår i forløbet.

Irrelevant.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Alex Holst (21-01-2007)
Kommentar
Fra : Alex Holst


Dato : 21-01-07 01:54

Axel Hammerschmidt wrote:
> Hvordan får angriberen fat i "en challenge der er baseret på angriberens
> valgte data" som passer, når angriberen ikke har de tal som kommer fra
> bankens computer og kundens ActivCard?

1. Brugeren tænder sin PC der har malware installeret.
2. Brugeren logger ind i sin netbank.
3. Brugeren starter en transaktion, kr. 200 til kontonr 1234.
4. Malware opfanger dette og sender i virkeligheden en
transaktionsrequest på kr. 50.000.000 til konto 9999.
5. Banken svarer med et tal, baseret på dataene i punkt 4.
6. Malware viser brugeren en skærm hvor der står kr. 200, kontonr. 1234
samt bankens tal fra punkt 5 og beder om et ActivCard response.
7. Brugeren indtaster bankens tal i sin ActivCard.
8. Brugeren indtaster ActivCardets response i sin web browser og har
dermed godkendt en transaktion på mange penge til konto 9999.
9. THE END

>> Når andre har kontrol over din PC, kan du ikke længere stole på noget
>> som helst. Jeg kan anbefale at læse Ross Andersons "Security
>> Engineering", der behandler dette emne rimeligt godt.
>
> Så kan du måske svare på, om banken ikke har sikret sig mod en der "har
> totalt kontrol over en brugers maskine" når det under alle
> omstændigheder gælder for kontohaveren?

Bankens sikring ligger primært i den danske lovgivning:
Bedrageri/svindel er ulovligt, så derfor er det de færreste der gør
dumme ting med deres bankkonti.

En angriber der har kortvarig kontrol over en bankkundes PC er ligeglad
med den danske lovgivning.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

gil (21-01-2007)
Kommentar
Fra : gil


Dato : 21-01-07 02:29

Den 21-01-2007 01:53, skrev Alex Holst:

>
> 1. Brugeren tænder sin PC der har malware installeret.
> 2. Brugeren logger ind i sin netbank.
> 3. Brugeren starter en transaktion, kr. 200 til kontonr 1234.
> 4. Malware opfanger dette og sender i virkeligheden en
> transaktionsrequest på kr. 50.000.000 til konto 9999.
> 5. Banken svarer med et tal, baseret på dataene i punkt 4.
> 6. Malware viser brugeren en skærm hvor der står kr. 200, kontonr. 1234
> samt bankens tal fra punkt 5 og beder om et ActivCard response.

1234 er på nuværende tidspunkt omsat til: A/S Fup og Svindel og jeg
godkender ikke.

--
gil

Christian Iversen (21-01-2007)
Kommentar
Fra : Christian Iversen


Dato : 21-01-07 02:50

gil wrote:

> Den 21-01-2007 01:53, skrev Alex Holst:
>
>>
>> 1. Brugeren tænder sin PC der har malware installeret.
>> 2. Brugeren logger ind i sin netbank.
>> 3. Brugeren starter en transaktion, kr. 200 til kontonr 1234.
>> 4. Malware opfanger dette og sender i virkeligheden en
>> transaktionsrequest på kr. 50.000.000 til konto 9999.
>> 5. Banken svarer med et tal, baseret på dataene i punkt 4.
>> 6. Malware viser brugeren en skærm hvor der står kr. 200, kontonr. 1234
>> samt bankens tal fra punkt 5 og beder om et ActivCard response.
>
> 1234 er på nuværende tidspunkt omsat til: A/S Fup og Svindel og jeg
> godkender ikke.

Vi prøver lige igen. Følgende er sandt for scenariet:

- Din computer er inficeret med et fjendtligt program.
- Du har netbank med et activecard-lignende aggregat.
- Konto 1234 er Tante Erda, som du gerne vil give 200 i fødselsdagsgave.
- Konto 9999 er Ond. E. Schvindler, som du meget nødigt vil miste penge til.

1. Du tænder for din PC

2. Du logger ind på netbank

3. Du beder netbank om at overføre 200 kr til konto 1234 (din tante)

4. Da din computer har et fjentligt program der har kontrol over hvad der
bliver vist på skærmen og sendt over internettet, sender din computer i
_virkeligheden_ en forespørgsel om at overføre 50.000.000 kr til konto
9999. Bankens server modtager denne forespørgsel, og sender en
challenge-kode tilbage til din computer (sådan en kode som skal tastes ind
på et activecard)

5. På din skærm står nu at du skal godkende en overførsel på 200 kr til
konto 1234, for det er netop dén tekst det ondsindede program vælger at
vise - og det på trods af at banken har fået noget andet at vide.

6. Fordi det du kan se på skærmen ser korrekt ud, taster du challenge-koden
ind i dit activecard, og modtager en response-kode. Denne kode taster du så
ind i netbanken.

7. Programmet sender din _korrekte_ godkendelseskode på overførslen af
50.000.000 kr til bankens server.

8. Bankens server har nu modtaget både en forespørgsel på at overføre
50.000.000 kr, og en korrekt godkendelse af denne forspørgsel. Den bliver
derfor udført.


På intet tidspunkt har du på din skærm set kontonr. 9999, og på intet
tidspunkt har banken set kontonr. 1234.

Forstår du det nu?

--
| Christian Iversen | This is all true, and erhm... |
| chrivers@iversen-net.dk | |


gil (21-01-2007)
Kommentar
Fra : gil


Dato : 21-01-07 10:09

Den 21-01-2007 02:50, skrev Christian Iversen:

>
> På intet tidspunkt har du på din skærm set kontonr. 9999, og på intet
> tidspunkt har banken set kontonr. 1234.
>

Men jeg svarer ikke før jeg har set 1234 omsat til "Tante Erda". Hvis
banken aldrig er blevet bedt om at omsætte 1234 til klart sprog hvordan
så? Det skærmbillede som jeg godkender i indeholder to oplysninger,
kontonummer 1234, som jeg har tastet, og svaret fra banken "Tante Erda".
Da banken aldrig er blevet præsenteret for en forespørgsel på 1234, hvor
kommer så det rigtige svar fra?

--
gil

Christian Iversen (21-01-2007)
Kommentar
Fra : Christian Iversen


Dato : 21-01-07 16:51

gil wrote:

> Den 21-01-2007 02:50, skrev Christian Iversen:
>
>>
>> På intet tidspunkt har du på din skærm set kontonr. 9999, og på intet
>> tidspunkt har banken set kontonr. 1234.
>>
>
> Men jeg svarer ikke før jeg har set 1234 omsat til "Tante Erda".

Det sker _kun_ hvis Erda også er kunde i samme bank, eller visse andre
banker som lige netop din bank har en samarbejdsaftale med. Mener ud at du
aldrig overfører penge til andre end denne kundekreds?

> Hvis banken aldrig er blevet bedt om at omsætte 1234 til klart sprog
> hvordan så?

Programmet kan jo have ligger på din computer et stykke tid, og kan slå til
første gang du overfører penge til en konto som du tidligere har overført
til. På den måde er det ingen sag for programmet at opbygge en liste over
de korrekte navne.

Det er desuden ikke sikkert at programmet ikke bare kan sende en
overførsels_forespørgsel_ til banken, som den så bagefter afviser. Den
almindelige netbank kan jo (i visse tilfælde, som sagt) vise navnet på
modtageren inden du har godkendt overførslen.

> Det skærmbillede som jeg godkender i indeholder to oplysninger,
> kontonummer 1234, som jeg har tastet, og svaret fra banken "Tante Erda".

Igen, kun nogle gange.

> Da banken aldrig er blevet præsenteret for en forespørgsel på 1234, hvor
> kommer så det rigtige svar fra?

Enten har programmet set dig overføre penge til Erda før, eller også har den
lavet en falsk forespørgsel.

Under alle omstændigheder ikke noget stort problem.

--
| Christian Iversen | It means that racist people can retire. |
| chrivers@iversen-net.dk | |


gil (21-01-2007)
Kommentar
Fra : gil


Dato : 21-01-07 16:58

Den 21-01-2007 16:50, skrev Christian Iversen:

>
> banker som lige netop din bank har en samarbejdsaftale med. Mener ud at du
> aldrig overfører penge til andre end denne kundekreds?
>

Du vil som minimum altid få at vide hvilket pengeinstitut du overfører
til, de første tal i kontonummeret er jo reg. nummeret på pengeinstitutet.

--
gil

Andreas Plesner Jaco~ (21-01-2007)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 21-01-07 17:05

On 2007-01-21, gil <gil@obyon.com> wrote:
>
>> banker som lige netop din bank har en samarbejdsaftale med. Mener ud at du
>> aldrig overfører penge til andre end denne kundekreds?
>
> Du vil som minimum altid få at vide hvilket pengeinstitut du overfører
> til, de første tal i kontonummeret er jo reg. nummeret på pengeinstitutet.

Hvad skulle forhindre angriberen i at skrive det rigtige navn i denne
rubrik?

--
Andreas

Christian Iversen (21-01-2007)
Kommentar
Fra : Christian Iversen


Dato : 21-01-07 21:25

gil wrote:

> Den 21-01-2007 16:50, skrev Christian Iversen:
>
>>
>> banker som lige netop din bank har en samarbejdsaftale med. Mener ud at
>> du aldrig overfører penge til andre end denne kundekreds?
>>
>
> Du vil som minimum altid få at vide hvilket pengeinstitut du overfører
> til, de første tal i kontonummeret er jo reg. nummeret på pengeinstitutet.

Hør nu her - fordi din computer er inficeret af et fjendtligt program kan du
ikke regne med NOGET der står på skærmen.

Hvordan ved du så at det pengeinstitut der står på skærmen er det samme som
dét der bliver overført til? (hint: det kan du umuligt vide)

--
| Christian Iversen | He's either brilliant on a horse... or |
| chrivers@iversen-net.dk | he's NOT |


Sune Vuorela (21-01-2007)
Kommentar
Fra : Sune Vuorela


Dato : 21-01-07 23:13

On 2007-01-21, Christian Iversen <chrivers@iversen-net.dk> wrote:
> Hvordan ved du så at det pengeinstitut der står på skærmen er det samme som
> dét der bliver overført til? (hint: det kan du umuligt vide)

Smæk en hub op foran og fang trafikken (og dekrypter den ;)

/Sune

Christian Iversen (22-01-2007)
Kommentar
Fra : Christian Iversen


Dato : 22-01-07 01:59

Sune Vuorela wrote:

> On 2007-01-21, Christian Iversen <chrivers@iversen-net.dk> wrote:
>> Hvordan ved du så at det pengeinstitut der står på skærmen er det samme
>> som dét der bliver overført til? (hint: det kan du umuligt vide)
>
> Smæk en hub op foran og fang trafikken (og dekrypter den ;)

Det ser ud som om du spøøøger, men for lige at slå det fast: Det er
naturligvis umuligt hvis vi antager at man ikke kan snyde brugeren til at
acceptere et falsk SSL-certifikat (dét er til gengæld ikke umuligt)

--
| Christian Iversen | But apart from that, fanTASTIC similarity! |
| chrivers@iversen-net.dk | |


Alex Holst (21-01-2007)
Kommentar
Fra : Alex Holst


Dato : 21-01-07 10:14

gil wrote:
> Den 21-01-2007 01:53, skrev Alex Holst:
>
>> 1. Brugeren tænder sin PC der har malware installeret.
>> 2. Brugeren logger ind i sin netbank.
>> 3. Brugeren starter en transaktion, kr. 200 til kontonr 1234.
>> 4. Malware opfanger dette og sender i virkeligheden en
>> transaktionsrequest på kr. 50.000.000 til konto 9999.
>> 5. Banken svarer med et tal, baseret på dataene i punkt 4.
>> 6. Malware viser brugeren en skærm hvor der står kr. 200, kontonr. 1234
>> samt bankens tal fra punkt 5 og beder om et ActivCard response.
>
> 1234 er på nuværende tidspunkt omsat til: A/S Fup og Svindel og jeg
> godkender ikke.

Det er hel klart men god feature, at kontonumre oversættes til ejernavnet.

Men som Klaus gjorde opmærksom på, er det kun kontonumre inden for samme
bank der kan omsættes på den måde. Min egen netbank gør intet i denne
stil, selv ikke når penge flyttes mellem mine egne konti eller til min
hustrus konti.

Jeg vil desuden påstå, at hvis du virkeligt opdager der står "A/S Fup og
Svindel" i stedet for rette modtager, så har du også en så god
brugeradfærd at malware ikke bliver installeret på din PC - og så har du
slet ikke nogle af de problemer vi har diskuteret.


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Axel Hammerschmidt (21-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 21-01-07 18:52

Alex Holst <a@mongers.org> wrote:

> Axel Hammerschmidt wrote:
>
> > Hvordan får angriberen fat i "en challenge der er baseret på angriberens
> > valgte data" som passer, når angriberen ikke har de tal som kommer fra
> > bankens computer og kundens ActivCard?
>
> 1. Brugeren tænder sin PC der har malware installeret.
> 2. Brugeren logger ind i sin netbank.
> 3. Brugeren starter en transaktion, kr. 200 til kontonr 1234.
> 4. Malware opfanger dette og sender i virkeligheden en
> transaktionsrequest på kr. 50.000.000 til konto 9999.
> 5. Banken svarer med et tal, baseret på dataene i punkt 4.
> 6. Malware viser brugeren en skærm hvor der står kr. 200, kontonr. 1234
> samt bankens tal fra punkt 5 og beder om et ActivCard response.
> 7. Brugeren indtaster bankens tal i sin ActivCard.
> 8. Brugeren indtaster ActivCardets response i sin web browser og har
> dermed godkendt en transaktion på mange penge til konto 9999.
> 9. THE END

Nej til pkt 8. Fordi nu passer det tal banken modtager ikke med det
kontonummer/beløb i pkt 3:

: The one time pad does not provide any mechanism to ensure message
: integrity, and in theory a man-in-the-middle attacker who knows the
: exact message being sent can straightforwardly replace all or part of
: that message with text of their choosing that is the same length.
: Standard techniques to prevent this, such as the use of a message
: authentication code, can be used along with a one-time pad system, but
: they lack the perfect security that OTP enjoys.

http://en.wikipedia.org/wiki/One-time_pad

Og det er det, der var pointen med at osse kontonummer/beløb kom med i
det der sendes tilbage.

> >> Når andre har kontrol over din PC, kan du ikke længere stole på noget
> >> som helst. Jeg kan anbefale at læse Ross Andersons "Security
> >> Engineering", der behandler dette emne rimeligt godt.
> >
> > Så kan du måske svare på, om banken ikke har sikret sig mod en der "har
> > totalt kontrol over en brugers maskine" når det under alle
> > omstændigheder gælder for kontohaveren?
>
> Bankens sikring ligger primært i den danske lovgivning:
> Bedrageri/svindel er ulovligt, så derfor er det de færreste der gør
> dumme ting med deres bankkonti.

Banken kan sikre sig ved at ingen, der har total kontrol over brugerens
computer, heller ikke brugeren, ved noget om hvad der skal sendes
tilbage. De kender kun tallet fra ActivCard.

Kent Friis (21-01-2007)
Kommentar
Fra : Kent Friis


Dato : 21-01-07 19:04

Den Sun, 21 Jan 2007 18:52:19 +0100 skrev Axel Hammerschmidt:
> Alex Holst <a@mongers.org> wrote:
>
>> Axel Hammerschmidt wrote:
>>
>> > Hvordan får angriberen fat i "en challenge der er baseret på angriberens
>> > valgte data" som passer, når angriberen ikke har de tal som kommer fra
>> > bankens computer og kundens ActivCard?
>>
>> 1. Brugeren tænder sin PC der har malware installeret.
>> 2. Brugeren logger ind i sin netbank.
>> 3. Brugeren starter en transaktion, kr. 200 til kontonr 1234.
>> 4. Malware opfanger dette og sender i virkeligheden en
>> transaktionsrequest på kr. 50.000.000 til konto 9999.
>> 5. Banken svarer med et tal, baseret på dataene i punkt 4.
>> 6. Malware viser brugeren en skærm hvor der står kr. 200, kontonr. 1234
>> samt bankens tal fra punkt 5 og beder om et ActivCard response.
>> 7. Brugeren indtaster bankens tal i sin ActivCard.
>> 8. Brugeren indtaster ActivCardets response i sin web browser og har
>> dermed godkendt en transaktion på mange penge til konto 9999.
>> 9. THE END
>
> Nej til pkt 8. Fordi nu passer det tal banken modtager ikke med det
> kontonummer/beløb i pkt 3:

Du har overset punkt 4. Banken ser aldrig 200 og 1234, men kun
50.000.000 og 9999.

> Banken kan sikre sig ved at ingen, der har total kontrol over brugerens
> computer, heller ikke brugeren, ved noget om hvad der skal sendes
> tilbage. De kender kun tallet fra ActivCard.

Hvordan kan brugerens computer sende noget tilbage, som ingen der har
adgang til den ved noget om?

Eller sagt på en anden måde, hvordan får CPU'en fat i noget der ikke
står i RAM?

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Axel Hammerschmidt (22-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 22-01-07 01:09

Kent Friis <nospam@nospam.invalid> wrote:

> Den Sun, 21 Jan 2007 18:52:19 +0100 skrev Axel Hammerschmidt:
>
> > Alex Holst <a@mongers.org> wrote:
> >
> >> Axel Hammerschmidt wrote:
> >>
> >> > Hvordan får angriberen fat i "en challenge der er baseret på
> >> > angriberens valgte data" som passer, når angriberen ikke har de tal
> >> > som kommer fra bankens computer og kundens ActivCard?
> >>
> >> 1. Brugeren tænder sin PC der har malware installeret.
> >> 2. Brugeren logger ind i sin netbank.
> >> 3. Brugeren starter en transaktion, kr. 200 til kontonr 1234.
> >> 4. Malware opfanger dette og sender i virkeligheden en
> >> transaktionsrequest på kr. 50.000.000 til konto 9999.
> >> 5. Banken svarer med et tal, baseret på dataene i punkt 4.
> >> 6. Malware viser brugeren en skærm hvor der står kr. 200, kontonr. 1234
> >> samt bankens tal fra punkt 5 og beder om et ActivCard response.
> >> 7. Brugeren indtaster bankens tal i sin ActivCard.
> >> 8. Brugeren indtaster ActivCardets response i sin web browser og har
> >> dermed godkendt en transaktion på mange penge til konto 9999.
> >> 9. THE END
> >
> > Nej til pkt 8. Fordi nu passer det tal banken modtager ikke med det
> > kontonummer/beløb i pkt 3:
>
> Du har overset punkt 4. Banken ser aldrig 200 og 1234, men kun
> 50.000.000 og 9999.

Se svaret til Alex.

> > Banken kan sikre sig ved at ingen, der har total kontrol over brugerens
> > computer, heller ikke brugeren, ved noget om hvad der skal sendes
> > tilbage. De kender kun tallet fra ActivCard.
>
> Hvordan kan brugerens computer sende noget tilbage, som ingen der har
> adgang til den ved noget om?

Der skulle ha' stået: ingen, der har total kontrol over brugerens
computer, heller ikke brugeren, kender det der skal sendes tilbage. De
kender kun tallet fra ActivCard og kontonummeret (i det her eksempel)
men ikke hvordan det kombineres. Heller ikke challenge/respons
funktionen.

Alex Holst (21-01-2007)
Kommentar
Fra : Alex Holst


Dato : 21-01-07 19:18

Axel Hammerschmidt wrote:
> Alex Holst <a@mongers.org> wrote:
>
>> Axel Hammerschmidt wrote:
>>
>>> Hvordan får angriberen fat i "en challenge der er baseret på angriberens
>>> valgte data" som passer, når angriberen ikke har de tal som kommer fra
>>> bankens computer og kundens ActivCard?
>> 1. Brugeren tænder sin PC der har malware installeret.
>> 2. Brugeren logger ind i sin netbank.
>> 3. Brugeren starter en transaktion, kr. 200 til kontonr 1234.
>> 4. Malware opfanger dette og sender i virkeligheden en
>> transaktionsrequest på kr. 50.000.000 til konto 9999.
>> 5. Banken svarer med et tal, baseret på dataene i punkt 4.
>> 6. Malware viser brugeren en skærm hvor der står kr. 200, kontonr. 1234
>> samt bankens tal fra punkt 5 og beder om et ActivCard response.
>> 7. Brugeren indtaster bankens tal i sin ActivCard.
>> 8. Brugeren indtaster ActivCardets response i sin web browser og har
>> dermed godkendt en transaktion på mange penge til konto 9999.
>> 9. THE END
>
> Nej til pkt 8. Fordi nu passer det tal banken modtager ikke med det
> kontonummer/beløb i pkt 3:

Jo til pkt 8, fordi banken ser aldrig hvad brugeren indtaster i punkt 3.
Banken ser kun hvad angriberen sender i punkt 4.

Vil du ikke nok læse de relevante afsnit i "Security Engineering"
omkring dette emne? Det er ikke specielt kompliceret. Bogen er gratis
til download. Du kan finde et link i OSS'ens 'videre læsning om sikkerhed'.

Hvis du kan opfinde en protokol der er immum overfor mitm og
kompromitteret computing base kan du tjene *mange* penge. Bill
Gates/Mærsk-agtig mange penge.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Axel Hammerschmidt (22-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 22-01-07 01:09

Alex Holst <a@mongers.org> wrote:

> Axel Hammerschmidt wrote:
>
> > Alex Holst <a@mongers.org> wrote:
> >
> >> Axel Hammerschmidt wrote:
> >>
> >>> Hvordan får angriberen fat i "en challenge der er baseret på angriberens
> >>> valgte data" som passer, når angriberen ikke har de tal som kommer fra
> >>> bankens computer og kundens ActivCard?
> >> 1. Brugeren tænder sin PC der har malware installeret.
> >> 2. Brugeren logger ind i sin netbank.
> >> 3. Brugeren starter en transaktion, kr. 200 til kontonr 1234.
> >> 4. Malware opfanger dette og sender i virkeligheden en
> >> transaktionsrequest på kr. 50.000.000 til konto 9999.
> >> 5. Banken svarer med et tal, baseret på dataene i punkt 4.
> >> 6. Malware viser brugeren en skærm hvor der står kr. 200, kontonr. 1234
> >> samt bankens tal fra punkt 5 og beder om et ActivCard response.
> >> 7. Brugeren indtaster bankens tal i sin ActivCard.
> >> 8. Brugeren indtaster ActivCardets response i sin web browser og har
> >> dermed godkendt en transaktion på mange penge til konto 9999.
> >> 9. THE END
> >
> > Nej til pkt 8. Fordi nu passer det tal banken modtager ikke med det
> > kontonummer/beløb i pkt 3:
>
> Jo til pkt 8, fordi banken ser aldrig hvad brugeren indtaster i punkt 3.
> Banken ser kun hvad angriberen sender i punkt 4.

Nej til pkt 8. Banken behøver ikke se hvad brugeren indtastede i punkt
3, når det der kommer tilbage anden gang ikke passer med det banken
modtog første gang, og gør det ikke det, fordi angriberen (og kunden)
ikke ved hvordan kontonummer og challenge/respons kombineres, afvises
transaktionen.

> Vil du ikke nok læse de relevante afsnit i "Security Engineering"
> omkring dette emne? Det er ikke specielt kompliceret. Bogen er gratis
> til download. Du kan finde et link i OSS'ens 'videre læsning om sikkerhed'.
>
> Hvis du kan opfinde en protokol der er immum overfor mitm og
> kompromitteret computing base kan du tjene *mange* penge. Bill
> Gates/Mærsk-agtig mange penge.

ActivCard tjener da penge. Det de laver kan måske forbedres.

Du kan jo kigge på det jeg citerede fra WiKien. Ingen bliver klogere af
at du henviser til at en bog, som du påstår viser du har ret.

Andreas Plesner Jaco~ (22-01-2007)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 22-01-07 07:58

On 2007-01-22, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>>
>> Jo til pkt 8, fordi banken ser aldrig hvad brugeren indtaster i punkt 3.
>> Banken ser kun hvad angriberen sender i punkt 4.
>
> Nej til pkt 8. Banken behøver ikke se hvad brugeren indtastede i punkt
> 3, når det der kommer tilbage anden gang ikke passer med det banken
> modtog første gang, og gør det ikke det, fordi angriberen (og kunden)
> ikke ved hvordan kontonummer og challenge/respons kombineres, afvises
> transaktionen.

Vi tager den lige en gang til: "Det onde program" har sendt det samme
(forkerte) kontonummer begge gange, men vist det rigtige kontonummer på
kundens skærm.
Kunden har ingen mulighed for at kontrollere at det challenge han
modtager har noget at gøre med det kontonummer han ser på skærmen.
Heller ikke hvis du bruger OTP og MAC. MAC sikrer kun at beskeden ikke
bliver fusket med når den har forladt kundens PC, og da er det allerede
for sent.

Ortogonalt til denne diskussion: Det er ikke realistisk (og ikke
nødvendigt) at bankerne bruger OTP til at kryptere disse informationer.

Og nej. ActivCard og skrabelodskoder er ikke OTP.

--
Andreas

Axel Hammerschmidt (22-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 22-01-07 22:36

Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote:

> On 2007-01-22, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>
> >> Jo til pkt 8, fordi banken ser aldrig hvad brugeren indtaster i punkt 3.
> >> Banken ser kun hvad angriberen sender i punkt 4.
> >
> > Nej til pkt 8. Banken behøver ikke se hvad brugeren indtastede i punkt
> > 3, når det der kommer tilbage anden gang ikke passer med det banken
> > modtog første gang, og gør det ikke det, fordi angriberen (og kunden)
> > ikke ved hvordan kontonummer og challenge/respons kombineres, afvises
> > transaktionen.
>
> Vi tager den lige en gang til: "Det onde program" har sendt det samme
> (forkerte) kontonummer begge gange, men vist det rigtige kontonummer på
> kundens skærm.

Der står mere på kundens skærm end bare (det rigtige) kontonummer.
Hvordan er de øvrige oplysninger kommet der?

> Kunden har ingen mulighed for at kontrollere at det challenge han
> modtager har noget at gøre med det kontonummer han ser på skærmen.
> Heller ikke hvis du bruger OTP og MAC. MAC sikrer kun at beskeden ikke
> bliver fusket med når den har forladt kundens PC, og da er det allerede
> for sent.

Selvfølgelig har kunden ikke det. Det er heller ikke nødvendigt. Det
skal banken.

Hvorfor tror du kunden skal mulighed for at kontrollere, at det
challenge han modtager har noget at gøre med det kontonummer han ser på
skærmen?

Tror du ikke kunden ser andet på sin skærm end sit kontonummer?

> Ortogonalt til denne diskussion: Det er ikke realistisk (og ikke
> nødvendigt) at bankerne bruger OTP til at kryptere disse informationer.
>
> Og nej. ActivCard og skrabelodskoder er ikke OTP.

Det går eller under den betegnelse.

Andreas Plesner Jaco~ (23-01-2007)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 23-01-07 08:54

On 2007-01-22, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>>
>> Vi tager den lige en gang til: "Det onde program" har sendt det samme
>> (forkerte) kontonummer begge gange, men vist det rigtige kontonummer på
>> kundens skærm.
>
> Der står mere på kundens skærm end bare (det rigtige) kontonummer.
> Hvordan er de øvrige oplysninger kommet der?

Hvad står der mere udover modtagende banks navn? Der står ikke mere på
min skærm når jeg overfører.

>> Kunden har ingen mulighed for at kontrollere at det challenge han
>> modtager har noget at gøre med det kontonummer han ser på skærmen.
>> Heller ikke hvis du bruger OTP og MAC. MAC sikrer kun at beskeden ikke
>> bliver fusket med når den har forladt kundens PC, og da er det allerede
>> for sent.
>
> Selvfølgelig har kunden ikke det. Det er heller ikke nødvendigt. Det
> skal banken.

Nej, banken skal kontrollere at det response de modtager på deres
challenge er korrekt. Banken kan ikke kontrollere at det challenge der
vises på brugerens skærm har sammenhæng med resten af oplysningerne.

> Hvorfor tror du kunden skal mulighed for at kontrollere, at det
> challenge han modtager har noget at gøre med det kontonummer han ser på
> skærmen?
>
> Tror du ikke kunden ser andet på sin skærm end sit kontonummer?

Jo, modtagerens kontonummer. Og det er blevet udskiftet af det onde
program.

>> Ortogonalt til denne diskussion: Det er ikke realistisk (og ikke
>> nødvendigt) at bankerne bruger OTP til at kryptere disse informationer.
>>
>> Og nej. ActivCard og skrabelodskoder er ikke OTP.
>
> Det går eller under den betegnelse.

Hvor? Det er så afgjort løgn.

--
Andreas

Axel Hammerschmidt (23-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 23-01-07 17:28

Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote:

> On 2007-01-22, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
> >>
> >> Vi tager den lige en gang til: "Det onde program" har sendt det samme
> >> (forkerte) kontonummer begge gange, men vist det rigtige kontonummer på
> >> kundens skærm.
> >
> > Der står mere på kundens skærm end bare (det rigtige) kontonummer.
> > Hvordan er de øvrige oplysninger kommet der?
>
> Hvad står der mere udover modtagende banks navn? Der står ikke mere på
> min skærm når jeg overfører.

Klik på

<http://www.danskebank.dk/privat>

Vælg Danske Netbank -> Demo

og klik på linket i: Se nogle af de mange muligheder i "Om Danske
Netbank".

Vælg "På egen hånd >" -> Startside

og fortæl mig hvordan en ond hacker kan lave det, så det narre nogen som
helst.

<snip: en masse spekulation>

Klaus Ellegaard (23-01-2007)
Kommentar
Fra : Klaus Ellegaard


Dato : 23-01-07 17:31

hlexa@hotmail.com (Axel Hammerschmidt) writes:

>Vælg "På egen hånd >" -> Startside

>og fortæl mig hvordan en ond hacker kan lave det, så det narre nogen som
>helst.

Den onde mand skal intet eftergøre overhovedet. Det eneste, han
skal, er at ændre et par oplysninger på vejen mellem banken og
kunden. Al HTML og alle funktioner i netbanken er de originale
og fuldstændigt uændrede.

Han skal udskifte kontoen "1234" med "9999" mellem kunden og
banken, og han skal udskifte "9999" med "1234" den anden vej.
Intet yderligere.

Mvh.
   Klaus.

Axel Hammerschmidt (23-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 23-01-07 17:46

Klaus Ellegaard <klausellegaard@msn.com> wrote:

> hlexa@hotmail.com (Axel Hammerschmidt) writes:
>
> >Vælg "På egen hånd >" -> Startside
>
> >og fortæl mig hvordan en ond hacker kan lave det, så det narre nogen som
> >helst.
>
> Den onde mand skal intet eftergøre overhovedet. Det eneste, han
> skal, er at ændre et par oplysninger på vejen mellem banken og
> kunden. Al HTML og alle funktioner i netbanken er de originale
> og fuldstændigt uændrede.

Og det (kan) forhindres i ActivCard Token, som beskrevet i:

Message-ID: <1hs9cew.22wyze12mnkgwN%hlexa@hotmail.com>

Vi er ved at gå i ring, fordi folk blander det jeg taler om sammen med
phishing. Det er åbenbart det eneste de kender.

Andreas Plesner Jaco~ (23-01-2007)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 23-01-07 17:55

On 2007-01-23, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>
> Og det (kan) forhindres i ActivCard Token, som beskrevet i:

Nej, for kunden har ingen chance for at vide om den challenge, han
indtaster i sit token, har noget med transaktionen han ser på skærmen at
gøre.

> Vi er ved at gå i ring, fordi folk blander det jeg taler om sammen med
> phishing. Det er åbenbart det eneste de kender.

Traditionel phishing kan netop forhindres med et ActivCard. En
kompromitteret PC kan ikke.

--
Andreas

Axel Hammerschmidt (23-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 23-01-07 20:18

Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote:

> On 2007-01-23, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
> >
> > Og det (kan) forhindres i ActivCard Token, som beskrevet i:
>
> Nej, for kunden har ingen chance for at vide om den challenge, han
> indtaster i sit token, har noget med transaktionen han ser på skærmen at
> gøre.

Se svar to på det samme i:

Message-ID: <1hsd3i3.afdpt01lahvstN%hlexa@hotmail.com>

> > Vi er ved at gå i ring, fordi folk blander det jeg taler om sammen med
> > phishing. Det er åbenbart det eneste de kender.
>
> Traditionel phishing kan netop forhindres med et ActivCard. En
> kompromitteret PC kan ikke.

Jo, når de data banken og kunden udveksler kombineres med
challenge/respons tallene.

Andreas Plesner Jaco~ (23-01-2007)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 23-01-07 20:29

On 2007-01-23, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>> >
>> > Og det (kan) forhindres i ActivCard Token, som beskrevet i:
>>
>> Nej, for kunden har ingen chance for at vide om den challenge, han
>> indtaster i sit token, har noget med transaktionen han ser på skærmen at
>> gøre.
>
> Se svar to på det samme i:

Jeg giver op.
Hvis der er andre end Axel, der ikke er med på, hvordan en angriber kan
udnytte fuld kontrol med klient-PC'en, må i sige til, så skal jeg
forsøge igen.

--
Andreas

Axel Hammerschmidt (23-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 23-01-07 23:26

Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote:

<snip>

> Jeg giver op.
> Hvis der er andre end Axel, der ikke er med på, hvordan en angriber kan
> udnytte fuld kontrol med klient-PC'en, må i sige til, så skal jeg
> forsøge igen.

Det ved alle, så må det jo være sandt:

<http://en.wikipedia.org/wiki/Argumentum_ad_populum>

eller, en på dansk:

<http://blog.tv2.dk/ateo/page3.html>

Find ned til "Argumentum ad populum".

De tilknyttede kommentar til bloggen er i øvrigt underholdende.

Kent Friis (23-01-2007)
Kommentar
Fra : Kent Friis


Dato : 23-01-07 23:39

Den Tue, 23 Jan 2007 23:25:50 +0100 skrev Axel Hammerschmidt:
> Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote:
>
> <snip>
>
>> Jeg giver op.
>> Hvis der er andre end Axel, der ikke er med på, hvordan en angriber kan
>> udnytte fuld kontrol med klient-PC'en, må i sige til, så skal jeg
>> forsøge igen.
>
> Det ved alle, så må det jo være sandt:

Nej, det ved alle ikke. Men Andreas vil gerne forklare dem det, hvis
de ikke har forstået det.

Han har bare opgivet at forklare dig det (og det har vi andre
efterhånden også).

Mvh
Kent

PS: Det overrasker mig efterhånden ikke at du heller ikke kan forstå en
så simpel sætning.
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Axel Hammerschmidt (24-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 24-01-07 00:02

Kent Friis <nospam@nospam.invalid> wrote:

> Den Tue, 23 Jan 2007 23:25:50 +0100 skrev Axel Hammerschmidt:
>
> > Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote:
> >
> > <snip>
> >
> >> Jeg giver op.
> >> Hvis der er andre end Axel, der ikke er med på, hvordan en angriber kan
> >> udnytte fuld kontrol med klient-PC'en, må i sige til, så skal jeg
> >> forsøge igen.
> >
> > Det ved alle, så må det jo være sandt:
>
> Nej, det ved alle ikke. Men Andreas vil gerne forklare dem det, hvis
> de ikke har forstået det.

<snip>

> PS: Det overrasker mig efterhånden ikke at du heller ikke kan forstå en
> så simpel sætning.

Du skal ha' dine skolepenge igen: Hvis der er andre end Axel, der ikke
er med på, hvordan en angriber kan udnytte fuld kontrol med
klient-PC'en, så...

Den er lige efter bogen.

Andreas Plesner Jaco~ (24-01-2007)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 24-01-07 00:04

On 2007-01-23, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>
>> PS: Det overrasker mig efterhånden ikke at du heller ikke kan forstå en
>> så simpel sætning.
>
> Du skal ha' dine skolepenge igen: Hvis der er andre end Axel, der ikke
> er med på, hvordan en angriber kan udnytte fuld kontrol med
> klient-PC'en, så...

Lad være med at lægge mig ord i munden. Meningen var fuldstændig, hvad
Kent skrev.

--
Andreas

Axel Hammerschmidt (24-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 24-01-07 00:22

Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote:

> On 2007-01-23, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
> >
> >> PS: Det overrasker mig efterhånden ikke at du heller ikke kan forstå en
> >> så simpel sætning.
> >
> > Du skal ha' dine skolepenge igen: Hvis der er andre end Axel, der ikke
> > er med på, hvordan en angriber kan udnytte fuld kontrol med
> > klient-PC'en, så...
>
> Lad være med at lægge mig ord i munden. Meningen var fuldstændig, hvad
> Kent skrev.

Der blev skam ikke lagt ord i din mund, men klippe-klistret.

Andreas Plesner Jaco~ (23-01-2007)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 23-01-07 23:53

On 2007-01-23, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>
>> Jeg giver op.
>> Hvis der er andre end Axel, der ikke er med på, hvordan en angriber kan
>> udnytte fuld kontrol med klient-PC'en, må i sige til, så skal jeg
>> forsøge igen.
>
> Det ved alle, så må det jo være sandt:

Nej, alle "ved" det ikke, fordi alle ved ikke hvordan en computer
virker. Du påstår dog at vide hvordan en computer virker, men jeg er
åbenbart ikke i stand til at forklare dig, hvordan man kan omgå
sikkerheden i Danske Netbank (med ActivCard), hvis man har opnået
kontrol over klientens PC.

Nu havde jeg godt nok givet op, men tillad mig dog at demonstrere:

http://nerd.dk/netbank.png

Da jeg skrev under med mit ActivCard i ovenstående vindue blev der rent
faktisk overført penge mellem min lønkonto og min budgetkonto.
På trods af at der var udskiftet indhold i vinduet.

De sorte felter og den røde streg skyldes mine kunstneriske
præsentationer, alt andet er som vinduet så ud på min skærm mens jeg
skrev under.

Kan du selv drage parallellen til beløb/kontonummer?

--
Andreas

Axel Hammerschmidt (25-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 25-01-07 23:31

Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote:

<snip>

> Nu havde jeg godt nok givet op, men tillad mig dog at demonstrere:
>
> http://nerd.dk/netbank.png
>
> Da jeg skrev under med mit ActivCard i ovenstående vindue blev der rent
> faktisk overført penge mellem min lønkonto og min budgetkonto.
> På trods af at der var udskiftet indhold i vinduet.

Det er ikke muligt at du har "udskiftet indhold i vinduet". For at alle
kan være med, så gå til startsiden i Danske Netbank som beskrevet i

Message-ID: <1hsel4d.1flzgno1vsrvfwN%hlexa@hotmail.com>

Vælg Kontooverførsel, ude til venstre under Bertalinger og overførsler.

I det vindue der fremkommer kan du skrive i felterne eller vælge
optioner fra drop-down menuerne. Når du så trykker på OK kommer det
vindue der svarer til den i ovenstående link, dog med fast password i
demoen.

I tilfælde med ActivCard vil der være de tre felter forneden (som i
ovenstående link) i stedet for de to man ser på demoen. Challenge tallet
(der kommer fra banken) står i det midterste (Kontrolkode) og er fast
lige som Bruger-ID er det. Også med ActivCard er det eneste du kan
udfylde noget i det nederste, fuldstændig som det man ser i demoen.
Derudover er osse kun de to muligheder, OK eller Annuler.

Det er således ikke muligt at ændre eller udskifte indholdet i vinduet
som påstået.

Det er skrup forkert, det posteren skriver.

> Kan du selv drage parallellen til beløb/kontonummer?

Ja, at du har leget Jørgen Clevin.

Andreas Plesner Jaco~ (25-01-2007)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 25-01-07 23:40

On 2007-01-25, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>
>> Kan du selv drage parallellen til beløb/kontonummer?
>
> Ja, at du har leget Jørgen Clevin.

Siger du at jeg lyver?

Hvad fanden bilder du dig ind?

--
Andreas

Alex Holst (26-01-2007)
Kommentar
Fra : Alex Holst


Dato : 26-01-07 00:24

Axel Hammerschmidt wrote:
> Det er således ikke muligt at ændre eller udskifte indholdet i vinduet
> som påstået.

Hvad? Det mener du ikke alvorligt, vel? Du *er* godt klar over, at hvis
man har totalt kontrol over et OS, kan man udskifte/ændre/slette ca. alt
indhold i memory, på disken samt før/efter data bliver sendt/modtaget
fra andre enheder i systemet?

Axel Hammerschmidt (26-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 26-01-07 13:14

Alex Holst <a@mongers.org> wrote:

> Axel Hammerschmidt wrote:
>
> > Det er således ikke muligt at ændre eller udskifte indholdet i vinduet
> > som påstået.
>
> Hvad? Det mener du ikke alvorligt, vel? Du *er* godt klar over, at hvis
> man har totalt kontrol over et OS, kan man udskifte/ændre/slette ca. alt
> indhold i memory, på disken samt før/efter data bliver sendt/modtaget
> fra andre enheder i systemet?

Interesserede kan begynde deres læsning her:

Message-ID: <1hs9cew.22wyze12mnkgwN%hlexa@hotmail.com>

Christian Iversen (26-01-2007)
Kommentar
Fra : Christian Iversen


Dato : 26-01-07 14:10

Axel Hammerschmidt wrote:

> Alex Holst <a@mongers.org> wrote:
>
>> Axel Hammerschmidt wrote:
>>
>> > Det er således ikke muligt at ændre eller udskifte indholdet i vinduet
>> > som påstået.
>>
>> Hvad? Det mener du ikke alvorligt, vel? Du *er* godt klar over, at hvis
>> man har totalt kontrol over et OS, kan man udskifte/ændre/slette ca. alt
>> indhold i memory, på disken samt før/efter data bliver sendt/modtaget
>> fra andre enheder i systemet?
>
> Interesserede kan begynde deres læsning her:
>
> Message-ID: <1hs9cew.22wyze12mnkgwN%hlexa@hotmail.com>

Det MessageID henfører til en anden MessageID som google groups ikke kan
finde. Hvad skulle der have stået?

Jeg mener at når computeren er untrusted, er spillet tabt - noget tyder på
du er uenig med mig. Vi prøver derfor en tænkt situation, med følgende
præmisser:

- Din computer er inficeret med et fjendtligt program.
- Du har netbank med et activecard-lignende aggregat.
- Konto 1234 er Frank E., som du skylder penge.
- Konto 9999 er Ond. E. Schvindler, som du meget nødigt vil miste penge til.

1. Du tænder for din PC

2. Du logger ind på netbank

3. Du beder netbank om at overføre 200 kr til konto 1234 (Frank)

4. Da din computer har et fjentligt program der har kontrol over hvad der
bliver vist på skærmen og sendt over internettet, sender din computer i
_virkeligheden_ en forespørgsel om at overføre 50.000.000 kr til konto
9999. Bankens server modtager denne forespørgsel, og sender en
challenge-kode tilbage til din computer. Brugeren bliver bedt om at indtaste
denne challenge-kode.

5. På din skærm står nu at du skal godkende en overførsel på 200 kr til
konto 1234, for det er netop dén tekst det ondsindede program vælger at
vise - og det på trods af at banken har fået noget andet at vide.

6. Fordi det du kan se på skærmen ser korrekt ud, taster du challenge-koden
ind i dit activecard, og modtager en response-kode. Denne kode taster du så
ind i netbanken.

7. Programmet sender din _korrekte_ godkendelseskode på overførslen af
50.000.000 kr til bankens server.

8. Bankens server har nu modtaget både en forespørgsel på at overføre
50.000.000 kr, og en korrekt godkendelse af denne forspørgsel. Den bliver
derfor udført.


På intet tidspunkt har du på din skærm set kontonr. 9999, og på intet
tidspunkt har banken set kontonr. 1234.


Svindleren har lige med held franarret en bruger penge - altså må jeg ifølge
dig _tage fejl_ hvis ovenstående scenarium kan lade sig gøre. Vil du ikke
venligst udpege min fejl? Det burde vel være nemt at gøre?


--
| Christian Iversen | Then they'll take the spoon away, and |
| chrivers@iversen-net.dk | it'll just be cheese! |


Axel Hammerschmidt (26-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 26-01-07 16:31

Christian Iversen <chrivers@iversen-net.dk> wrote:

> Axel Hammerschmidt wrote:
>
> > Alex Holst <a@mongers.org> wrote:
> >
> >> Axel Hammerschmidt wrote:
> >>
> >> > Det er således ikke muligt at ændre eller udskifte indholdet i vinduet
> >> > som påstået.
> >>
> >> Hvad? Det mener du ikke alvorligt, vel? Du *er* godt klar over, at hvis
> >> man har totalt kontrol over et OS, kan man udskifte/ændre/slette ca. alt
> >> indhold i memory, på disken samt før/efter data bliver sendt/modtaget
> >> fra andre enheder i systemet?
> >
> > Interesserede kan begynde deres læsning her:
> >
> > Message-ID: <1hs9cew.22wyze12mnkgwN%hlexa@hotmail.com>
>
> Det MessageID henfører til en anden MessageID som google groups ikke kan
> finde. Hvad skulle der have stået?

Det der står.

Christian Iversen (26-01-2007)
Kommentar
Fra : Christian Iversen


Dato : 26-01-07 23:25

Axel Hammerschmidt wrote:

> Christian Iversen <chrivers@iversen-net.dk> wrote:
>
>> Axel Hammerschmidt wrote:
>>
>> > Alex Holst <a@mongers.org> wrote:
>> >
>> >> Axel Hammerschmidt wrote:
>> >>
>> >> > Det er således ikke muligt at ændre eller udskifte indholdet i
>> >> > vinduet som påstået.
>> >>
>> >> Hvad? Det mener du ikke alvorligt, vel? Du *er* godt klar over, at
>> >> hvis man har totalt kontrol over et OS, kan man udskifte/ændre/slette
>> >> ca. alt indhold i memory, på disken samt før/efter data bliver
>> >> sendt/modtaget fra andre enheder i systemet?
>> >
>> > Interesserede kan begynde deres læsning her:
>> >
>> > Message-ID: <1hs9cew.22wyze12mnkgwN%hlexa@hotmail.com>
>>
>> Det MessageID henfører til en anden MessageID som google groups ikke kan
>> finde. Hvad skulle der have stået?
>
> Det der står.

Så du valgte lige at fjerne 98% af min post? Det var da belejligt.

--
| Christian Iversen | Now, Africa, I hear you ask. |
| chrivers@iversen-net.dk | |


Axel Hammerschmidt (27-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 27-01-07 16:24

Christian Iversen <chrivers@iversen-net.dk> wrote:

> Axel Hammerschmidt wrote:
>
> > Christian Iversen <chrivers@iversen-net.dk> wrote:
> >
> >> Axel Hammerschmidt wrote:

<snip>

> >> > Interesserede kan begynde deres læsning her:
> >> >
> >> > Message-ID: <1hs9cew.22wyze12mnkgwN%hlexa@hotmail.com>
> >>
> >> Det MessageID henfører til en anden MessageID som google groups ikke kan
> >> finde. Hvad skulle der have stået?
> >
> > Det der står.
>
> Så du valgte lige at fjerne 98% af min post? Det var da belejligt.

Den har jeg ikke set før. Folk plejer at brokke sig over for store
quotes. Og der var ingen grund til at kommentere en followup, som slet
ikke tog udgangspunkt i det jeg skriver. Det er uinteressant. Du skrev
netop indledningsvis, at du ikke kunne finde den posting jeg henviste
til.

Stig Johansen (27-01-2007)
Kommentar
Fra : Stig Johansen


Dato : 27-01-07 06:53

Alex Holst wrote:

> Axel Hammerschmidt wrote:
>> Det er således ikke muligt at ændre eller udskifte indholdet i vinduet
>> som påstået.
>
> Hvad? Det mener du ikke alvorligt, vel? Du *er* godt klar over, at hvis
> man har totalt kontrol over et OS, kan man udskifte/ændre/slette ca. alt
> indhold i memory, på disken samt før/efter data bliver sendt/modtaget
> fra andre enheder i systemet?

Det lyder lidt besværligt. Det er nok lettere bare at benytte IE's egen
kontrol.
Her er et eksempel på manipulering af IE's HTML:
<http://xml.defined.net/samples/delphi/webbrowser.html>
Se 'How to load text using the document object'.

--
Med venlig hilsen
Stig Johansen

Andreas Plesner Jaco~ (27-01-2007)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 27-01-07 10:43

On 2007-01-27, Stig Johansen <stig_johansen_it_at_=> wrote:
>
>> Axel Hammerschmidt wrote:
>>> Det er således ikke muligt at ændre eller udskifte indholdet i vinduet
>>> som påstået.
>>
>> Hvad? Det mener du ikke alvorligt, vel? Du *er* godt klar over, at hvis
>> man har totalt kontrol over et OS, kan man udskifte/ændre/slette ca. alt
>> indhold i memory, på disken samt før/efter data bliver sendt/modtaget
>> fra andre enheder i systemet?
>
> Det lyder lidt besværligt. Det er nok lettere bare at benytte IE's egen
> kontrol.

I Danske Netbank er det dog en Java Applet, så det jeg gjorde var at
starte java med en debug socket aktiv, og forbandt til denne, og kunne
derefter steppe igennem de aktive tråde og ændre, hvad der passede mig.

Bemærk at der ikke er nogen "Jørgen Clevin"-værktøjer i ovenstående
beskrivelse :)

--
Andreas

Andreas Plesner Jaco~ (23-01-2007)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 23-01-07 17:45

On 2007-01-23, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>
> og fortæl mig hvordan en ond hacker kan lave det, så det narre nogen som
> helst.

Ved at lægge sig imellem netbanken og browseren, og kun rette i de
nødvendige ting.

--
Andreas

Axel Hammerschmidt (23-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 23-01-07 20:18

Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote:

> On 2007-01-23, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
> >
> > og fortæl mig hvordan en ond hacker kan lave det, så det narre nogen som
> > helst.
>
> Ved at lægge sig imellem netbanken og browseren, og kun rette i de
> nødvendige ting.

Så ved den onde hacker ikke nok til at rette de data han har kontrol
over. Det var netop pointen med at kombinere challenge/respons med de
data banken og kunden udveksler.

Alex Holst (22-01-2007)
Kommentar
Fra : Alex Holst


Dato : 22-01-07 08:48

Axel Hammerschmidt wrote:
> Nej til pkt 8. Banken behøver ikke se hvad brugeren indtastede i punkt
> 3, når det der kommer tilbage anden gang ikke passer med det banken
> modtog første gang, og gør det ikke det, fordi angriberen (og kunden)
> ikke ved hvordan kontonummer og challenge/respons kombineres, afvises
> transaktionen.

Det er jo dybt forkert. Er du ingeniør eller noget i den stil?

> Du kan jo kigge på det jeg citerede fra WiKien. Ingen bliver klogere af
> at du henviser til at en bog, som du påstår viser du har ret.

Hvis du stod overfor en person som hårdnakket påstod at der kun er 12
bogstaver i det danske alfabet, ville du så ikke sende vedkommende i
retning af et eller andet referenceværk der viser at han tager fejl?

Jeg vil ikke have dig til at læse bogen for at bevise jeg har ret. Jeg
vil have dig til at læse i bogen fordi det er pinligt, at du bliver ved
med at misforstå, når jeg har forsøgt at forklare det 6 gange - og andre
har også forsøgt løbende i denne tråd.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Asbjorn Hojmark (22-01-2007)
Kommentar
Fra : Asbjorn Hojmark


Dato : 22-01-07 12:25

On Mon, 22 Jan 2007 08:48:02 +0100, Alex Holst <a@mongers.org> wrote:

> Det er jo dybt forkert.

Opgiv at diskutere med Axel, Alex. Det nytter ikke noget. Han har
hverken praktisk erfaring eller teoretisk forståelse, men læser bare
fragmenter af ting på nettet, misforstår det meste og fejlciterer
resten.

-A
--
Hvis bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

Axel Hammerschmidt (22-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 22-01-07 22:36

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote:

> On Mon, 22 Jan 2007 08:48:02 +0100, Alex Holst <a@mongers.org> wrote:
>
> > Det er jo dybt forkert.
>
> Opgiv at diskutere med Axel, Alex. Det nytter ikke noget. Han har
> hverken praktisk erfaring eller teoretisk forståelse, men læser bare
> fragmenter af ting på nettet, misforstår det meste og fejlciterer
> resten.

Du må sige til næste gang. Jeg var ikke klar over du læste alle mine
indlæg.

Axel Hammerschmidt (22-01-2007)
Kommentar
Fra : Axel Hammerschmidt


Dato : 22-01-07 22:36

Alex Holst <a@mongers.org> wrote:

> Axel Hammerschmidt wrote:
>
> > Nej til pkt 8. Banken behøver ikke se hvad brugeren indtastede i punkt
> > 3, når det der kommer tilbage anden gang ikke passer med det banken
> > modtog første gang, og gør det ikke det, fordi angriberen (og kunden)
> > ikke ved hvordan kontonummer og challenge/respons kombineres, afvises
> > transaktionen.
>
> Det er jo dybt forkert. Er du ingeniør eller noget i den stil?
>
> > Du kan jo kigge på det jeg citerede fra WiKien. Ingen bliver klogere af
> > at du henviser til at en bog, som du påstår viser du har ret.
>
> Hvis du stod overfor en person som hårdnakket påstod at der kun er 12
> bogstaver i det danske alfabet, ville du så ikke sende vedkommende i
> retning af et eller andet referenceværk der viser at han tager fejl?
>
> Jeg vil ikke have dig til at læse bogen for at bevise jeg har ret. Jeg
> vil have dig til at læse i bogen fordi det er pinligt, at du bliver ved
> med at misforstå, når jeg har forsøgt at forklare det 6 gange - og andre
> har også forsøgt løbende i denne tråd.

Det er såmen bare pinligt når du ikke kan underbygge dine påstande. Se
på dine svar her og i resten af trådene.

Og det er da osse morsomt, at du heller ikke kan henvise til de link du
har i din signatur...

Michael Rasmussen (20-01-2007)
Kommentar
Fra : Michael Rasmussen


Dato : 20-01-07 17:00



Kent Friis (20-01-2007)
Kommentar
Fra : Kent Friis


Dato : 20-01-07 17:54

Den Sat, 20 Jan 2007 16:59:42 +0100 skrev Michael Rasmussen:
>>
>> Det er da meget godt. Men hvis hackeren har infiltreret computeren,
>> og kan opfange engangskoden i det splitsekund den indtastes; s=E5 er
>> der vel ikke noget som forhindrer ham i at "annullere" brugerens egen=20
>> pengeoverf=F8rsel, og udf=F8re sin egen - med den gyldige kode?
> Virker ikke. Den generede kode g=E6lder for een handling. I ovenst=E5ende
> tilf=E6lde g=E6lder koden annulleringen, hvorfor det kr=E6ver generering af
> ny kode, for at gennemf=F8rer en ny pengeoverf=F8rsel.

Du misforstår ham. Læs "annulere" som smide væk / erstatte med sin
egen betaling.

Altså vise kundens data på skærmen, men sende sine egne til banken.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Kristian Thy (22-01-2007)
Kommentar
Fra : Kristian Thy


Dato : 22-01-07 11:43

Alex Holst wrote:
> Det er jo dybt forkert. Er du ingeniør eller noget i den stil?

Nu må vi vist lige bede om kammertonen!

\\kristian :)


Kent Friis (22-01-2007)
Kommentar
Fra : Kent Friis


Dato : 22-01-07 16:28

Den 22 Jan 2007 02:42:33 -0800 skrev Kristian Thy:
> Alex Holst wrote:
>> Det er jo dybt forkert. Er du ingeniør eller noget i den stil?
>
> Nu må vi vist lige bede om kammertonen!

440 Hz.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

kirjapan@gmail.com (22-01-2007)
Kommentar
Fra : kirjapan@gmail.com


Dato : 22-01-07 12:04

Get a Mac ^^ jeg kan ikke forstå når sikkerheden i Windows gang på
gang viser sig at være så dårligt, at folk ikke tager sig sammen, og
kigger på alternativer.

Kasper Laudrup skrev:
> Hej gruppe,
>
> Da jeg nu så et andet indlæg omkring Nordea, tænkte jeg på, om nogen
> tilfældigvis så TV-avisen i går, hvor en repræsentant fra Nordea
> argumenterede for sikkerheden i deres netbank. I forbindelse med angreb i
> Sverige havde "hackere" fået fat i brugeres password ved at installere
> keyloggere (formentligt via trojanere i emails), men han argumenterede så
> for, at sikkerheden i den danske Nordea var langt bedre, da man
> også brugte nøglefiler.
>
> Nu bruger jeg ikke selv Nordea og er ikke nogen sikkerhedsekspert, men er
> det ikke umiddelbart noget vrøvl? Hvis man har kontrol nok over offerets
> computer til at installere en keylogger, er det vel intet problem at få
> fat i den nævnte nøglefil også, det er vel egentligt hurtigere end at
> vente på at brugeren indtaster sit password?
>
> Har jeg misforstået noget?
>
> Nu bruger jeg som sagt ikke selv Nordea, så spørgsmålet er blot ud fra
> generel interesse...
>
> Mvh.
> Kasper
>
> --
> This post has not been scanned for virus. Read at your own risk!


gil (22-01-2007)
Kommentar
Fra : gil


Dato : 22-01-07 12:17

Den 22-01-2007 12:04, skrev kirjapan@gmail.com:


> Get a Mac ^^ jeg kan ikke forstå når sikkerheden i Windows gang på
> gang viser sig at være så dårligt, at folk ikke tager sig sammen, og
> kigger på alternativer.
>

Hørt.
Don't fear the penguin.

--
gil


Klaus Ellegaard (22-01-2007)
Kommentar
Fra : Klaus Ellegaard


Dato : 22-01-07 12:25

kirjapan@gmail.com writes:

>Get a Mac ^^ jeg kan ikke forstå når sikkerheden i Windows gang på
>gang viser sig at være så dårligt, at folk ikke tager sig sammen, og
>kigger på alternativer.

En Commodore 64 er 1000 gange bedre end en Mac (der stadig er en
lille smule bedre end Windows).

Udfordringen er bare: kan en Commodore 64 (eller en Mac for den
sags skyld) alt det, folk har brug for?

Mvh.
   Klaus.

Martin Schultz (22-01-2007)
Kommentar
Fra : Martin Schultz


Dato : 22-01-07 12:35

kirjapan@gmail.com <kirjapan@gmail.com> skrev 2007-01-22:
> Get a Mac ^^ jeg kan ikke forstå når sikkerheden i Windows gang på
> gang viser sig at være så dårligt, at folk ikke tager sig sammen, og
> kigger på alternativer.

Macens sikkerhed over for en moderne windows ligger primært i mindre
malware og mere computer intereserede brugere.

Så hvis alle Windows brugerne skiftede til Mac ville deres sikkerhed
ikke blive væsentligt forbedret. De ville forsætte med at køre
vilkårlige programmer der dukker op i deres email.

Martin
--
Besøg http://linux.adsltips.dk hvor du finder
guides til linux på dansk.
Alt jeg skriver på usenet er mine egne personlige meninger
med mindre andet er angivet.

Asbjorn Hojmark (22-01-2007)
Kommentar
Fra : Asbjorn Hojmark


Dato : 22-01-07 12:34

On 22 Jan 2007 03:04:20 -0800, kirjapan@gmail.com wrote:

> Get a Mac ^^ jeg kan ikke forstå når sikkerheden i Windows gang på
> gang viser sig at være så dårligt, at folk ikke tager sig sammen, og
> kigger på alternativer.

Kan du ikke hoppe ned fra din sæbekasse og futte over i Hyde Park?

Tråden handler om sikkerhed i netbanker, ikke operativsystemer, og
selv hvis den faktisk handlede om sikkerheden i operativsystemer, så
var ny-religiøse indlæg som ovenstående stadig ca. lige så velkomne
som i ungdomshuset.

-A
--
Hvis du bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

gil (22-01-2007)
Kommentar
Fra : gil


Dato : 22-01-07 12:48

Den 22-01-2007 12:33, skrev Asbjorn Hojmark:

>
> Kan du ikke hoppe ned fra din sæbekasse og futte over i Hyde Park?
>
> Tråden handler om sikkerhed i netbanker, ikke operativsystemer, og
> selv hvis den faktisk handlede om sikkerheden i operativsystemer, så
> var ny-religiøse indlæg som ovenstående stadig ca. lige så velkomne
> som i ungdomshuset.
>

--snip--
Vær sober

Overordnet handler det nok om at holde sig til netiketten og om at
skrive i et høfligt sprog som man kan være bekendt overfor fremmede,
ligesindede mennesker.
--snip--

--
gil


Martin Schultz (22-01-2007)
Kommentar
Fra : Martin Schultz


Dato : 22-01-07 13:38

gil <gil@obyon.com> skrev 2007-01-22:
> Den 22-01-2007 12:33, skrev Asbjorn Hojmark:
>
>>
>> Kan du ikke hoppe ned fra din sæbekasse og futte over i Hyde Park?
>>
>> Tråden handler om sikkerhed i netbanker, ikke operativsystemer, og
>> selv hvis den faktisk handlede om sikkerheden i operativsystemer, så
>> var ny-religiøse indlæg som ovenstående stadig ca. lige så velkomne
>> som i ungdomshuset.
>>
>
> --snip--
> Vær sober
>
> Overordnet handler det nok om at holde sig til netiketten og om at
> skrive i et høfligt sprog som man kan være bekendt overfor fremmede,
> ligesindede mennesker.
> --snip--

Jeg synes Asbjørn er sober, sammenlignet med det indlæg han svare på.

--
Besøg http://linux.adsltips.dk hvor du finder
guides til linux på dansk.
Alt jeg skriver på usenet er mine egne personlige meninger
med mindre andet er angivet.

Bjarke Andersen (22-01-2007)
Kommentar
Fra : Bjarke Andersen


Dato : 22-01-07 12:58

kirjapan@gmail.com crashed Echelon writing
news:1169463860.625554.110800@q2g2000cwa.googlegroups.com:

> Get a Mac ^^ jeg kan ikke forstå når sikkerheden i Windows gang på
> gang viser sig at være så dårligt, at folk ikke tager sig sammen, og
> kigger på alternativer.
>

Ja for nye Macs med Intel processor kan jo slet ikke køre Vista.

Sikker på du ikke mener MacOS eller OS X?

--
Bjarke Andersen

Kasper Laudrup (22-01-2007)
Kommentar
Fra : Kasper Laudrup


Dato : 22-01-07 16:48

On Mon, 22 Jan 2007 03:04:20 -0800, kirjapan wrote:

> Get a Mac ^^ jeg kan ikke forstå når sikkerheden i Windows gang på
> gang viser sig at være så dårligt, at folk ikke tager sig sammen, og
> kigger på alternativer.

Jeg synes Linux passer glimrende til mine behov, så jeg har ikke
umiddelbart brug for en Mac. Som jeg mener det fremgik af mit oprindelige
indlæg, var mit spørgsmål mere om jeg havde ret i, at det Nordeas
"sikkerhedsekspert" (eller hvad han nu kaldte sig for), var noget sludder.

Jeg synes der har været bedre anledninger til at indlede en
OS-religionskrig.

Mvh.
Kasper

--
This email has not been scanned for virus. Read at your own risk!


Lars Skovlund (23-01-2007)
Kommentar
Fra : Lars Skovlund


Dato : 23-01-07 12:50

On 2007-01-22, Kasper Laudrup <laudrup_fjern_dette_@linuxfan.dk> wrote:

> Jeg synes Linux passer glimrende til mine behov, så jeg har ikke
> umiddelbart brug for en Mac. Som jeg mener det fremgik af mit oprindelige
> indlæg, var mit spørgsmål mere om jeg havde ret i, at det Nordeas
> "sikkerhedsekspert" (eller hvad han nu kaldte sig for), var noget sludder.

Netbank-folkene fra Nordea har vrøvlet før. Der var et indslag i
Station 2 for nogle år siden hvor en "Almindelig Bruger"(tm) nær havde
fået lænset sin konto for 25.000 kr, og kun slap fordi gerningsmanden
fik kolde fødder. I indslaget fremgik det at han havde fulgt alle
kunstens regler (dvs. installeret antivirus og firewall). I
spørgerunden med inviterede sikkerhedsfolk bagefter spurgte
studieværten hvad man skulle gøre ved det? "Husk at installere
antivirus og firewall!" lød det.

Nu er det jo sådan med Station 2 at seerne har mulighed for at ringe
ind og stille spørgsmål. Det var der så en kvik seer der gjorde,
hvorefter de her sikkerhedsfolk (der var to, en fra Nordea, en
uafhængig) begynder at stikke den oprindelige kunde i skoene at han
har fejlbetjent softwaren. Så blev der ikke gjort mere ud af den sag.

Hvis det er så nemt at komme til at fejlbetjene den slags software,
hvorfor hedder det sig så at det er tilstrækkeligt at installere det
og holde det opdateret? Jeg spørger bare... og selv synes jeg jo (som
en del i denne gruppe) at et ordentligt hardenet OS (det kunne sagtens
være Windows, men MS har valgt at levere det hullet som en si i
standardopsætningen) er en bedre vej frem, om nødvendigt kombineret
med en firewall som sættes op af folk der kender til den slags og
bagefter er "nix pille" (en NAT-router er fint).

> Jeg synes der har været bedre anledninger til at indlede en
> OS-religionskrig.

Enig. Ikke et ord om "det-der-OS-jeg-også-bruger".

> Mvh.
> Kasper

Lars

Martin Schultz (23-01-2007)
Kommentar
Fra : Martin Schultz


Dato : 23-01-07 13:36

Lars Skovlund <lskovlun@image.dk> skrev 2007-01-23:
> On 2007-01-22, Kasper Laudrup <laudrup_fjern_dette_@linuxfan.dk> wrote:
>
>> Jeg synes Linux passer glimrende til mine behov, så jeg har ikke
>> umiddelbart brug for en Mac. Som jeg mener det fremgik af mit oprindelige
>> indlæg, var mit spørgsmål mere om jeg havde ret i, at det Nordeas
>> "sikkerhedsekspert" (eller hvad han nu kaldte sig for), var noget sludder.
>
> Netbank-folkene fra Nordea har vrøvlet før. Der var et indslag i
> Station 2 for nogle år siden hvor en "Almindelig Bruger"(tm) nær havde
> fået lænset sin konto for 25.000 kr, og kun slap fordi gerningsmanden
> fik kolde fødder. I indslaget fremgik det at han havde fulgt alle
> kunstens regler (dvs. installeret antivirus og firewall).

Nej, hvis det er den sag jeg kan huske havde hans søn installeret et
"hacker program" for at overtage andre folk maskiner. Dette havde han
givet firewallen besked på at tillade. DEsværre for ham indholdt det
bare en trojansk hest.

Firewalll+AV er ikke nogen gylden løsning men for de fleste slutbrugere
vil det give mere sikkerhed end fra været af det. Derfor er det ikke et
hetl dumt råd selv om der findes bedre.

Martin
--
Besøg http://linux.adsltips.dk hvor du finder
guides til linux på dansk.
Alt jeg skriver på usenet er mine egne personlige meninger
med mindre andet er angivet.

Lars Skovlund (24-01-2007)
Kommentar
Fra : Lars Skovlund


Dato : 24-01-07 09:34

On 2007-01-23, Martin Schultz <news2005@adsltips.invalid> wrote:
> Lars Skovlund <lskovlun@image.dk> skrev 2007-01-23:
>> On 2007-01-22, Kasper Laudrup <laudrup_fjern_dette_@linuxfan.dk> wrote:
>>
>>> Jeg synes Linux passer glimrende til mine behov, så jeg har ikke
>>> umiddelbart brug for en Mac. Som jeg mener det fremgik af mit oprindelige
>>> indlæg, var mit spørgsmål mere om jeg havde ret i, at det Nordeas
>>> "sikkerhedsekspert" (eller hvad han nu kaldte sig for), var noget sludder.
>>
>> Netbank-folkene fra Nordea har vrøvlet før. Der var et indslag i
>> Station 2 for nogle år siden hvor en "Almindelig Bruger"(tm) nær havde
>> fået lænset sin konto for 25.000 kr, og kun slap fordi gerningsmanden
>> fik kolde fødder. I indslaget fremgik det at han havde fulgt alle
>> kunstens regler (dvs. installeret antivirus og firewall).
>
> Nej, hvis det er den sag jeg kan huske havde hans søn installeret et
> "hacker program" for at overtage andre folk maskiner. Dette havde han
> givet firewallen besked på at tillade. DEsværre for ham indholdt det
> bare en trojansk hest.

Korrekt, men jeg mener nu stadigvæk der er tale om en dårlig løsning,
når sådan noget kan ske. Det bør som sagt være sådan, at
sikkerhedsindstillinger er nix pille for folk der ikke ved hvad de har
med at gøre (så vidt jeg husker var han maler). Og iøvrigt er det
stadig noget vrøvl, som jeg skrev først, at sige løsningen ville
være at "installere antivirus og firewall." Det /havde/ han allerede
gjort.

> Firewalll+AV er ikke nogen gylden løsning men for de fleste slutbrugere
> vil det give mere sikkerhed end fra været af det.

Kun i kraft af Microsofts inderligt absurde designvalg desangående
(RPC-service i et system til privatbrugere (Blaster)?
Fil/printerdeling der lytter på Internettet?). Jeg/vi (der har den her
holdning til firewall/AV) har jo aldrig sagt løsningen er ikke at gøre
noget. Løsningen er at få Microsoft til at levere et system, der i
standardopsætningen har præcis nul åbne porte, og dermed nul risiko
for orme. Har man så behov for nogle af de her tjenester (for eksempel
fildeling), skulle der være en stor fed advarsel, foruden at den igen
skulle være fornuftigt opsat. Subsidiært kan man bruge den opskrift,
der har været bragt her i gruppen flere gange.

> Martin

Lars

Martin Schultz (24-01-2007)
Kommentar
Fra : Martin Schultz


Dato : 24-01-07 10:54

Lars Skovlund <lskovlun@image.dk> skrev 2007-01-24:
> On 2007-01-23, Martin Schultz <news2005@adsltips.invalid> wrote:
>> Lars Skovlund <lskovlun@image.dk> skrev 2007-01-23:
>>> On 2007-01-22, Kasper Laudrup <laudrup_fjern_dette_@linuxfan.dk> wrote:
>>>
>>>> Jeg synes Linux passer glimrende til mine behov, så jeg har ikke
>>>> umiddelbart brug for en Mac. Som jeg mener det fremgik af mit oprindelige
>>>> indlæg, var mit spørgsmål mere om jeg havde ret i, at det Nordeas
>>>> "sikkerhedsekspert" (eller hvad han nu kaldte sig for), var noget sludder.
>>>
>>> Netbank-folkene fra Nordea har vrøvlet før. Der var et indslag i
>>> Station 2 for nogle år siden hvor en "Almindelig Bruger"(tm) nær havde
>>> fået lænset sin konto for 25.000 kr, og kun slap fordi gerningsmanden
>>> fik kolde fødder. I indslaget fremgik det at han havde fulgt alle
>>> kunstens regler (dvs. installeret antivirus og firewall).
>>
>> Nej, hvis det er den sag jeg kan huske havde hans søn installeret et
>> "hacker program" for at overtage andre folk maskiner. Dette havde han
>> givet firewallen besked på at tillade. DEsværre for ham indholdt det
>> bare en trojansk hest.
>
> Korrekt, men jeg mener nu stadigvæk der er tale om en dårlig løsning,
> når sådan noget kan ske. Det bør som sagt være sådan, at
> sikkerhedsindstillinger er nix pille for folk der ikke ved hvad de har
> med at gøre (så vidt jeg husker var han maler).
Så bør han ikke have en computer men en eller anden dum terminal. Selve
ideen med PCen er at folk får en computer de selv kan rode ved.
Firmaer har tidliger forsøgt at sælge terminalløsninger til privat
bruger men der ar ingen der ville købe dem.

Så jeg tror ikke du har held med den slags.

>Og iøvrigt er det
> stadig noget vrøvl, som jeg skrev først, at sige løsningen ville
> være at "installere antivirus og firewall." Det /havde/ han allerede
> gjort.
>> Firewalll+AV er ikke nogen gylden løsning men for de fleste slutbrugere
>> vil det give mere sikkerhed end fra været af det.
>
> Kun i kraft af Microsofts inderligt absurde designvalg desangående
> (RPC-service i et system til privatbrugere (Blaster)?
> Fil/printerdeling der lytter på Internettet?). Jeg/vi (der har den her
> holdning til firewall/AV) har jo aldrig sagt løsningen er ikke at gøre
> noget.
>Løsningen er at få Microsoft til at levere et system, der i
> standardopsætningen har præcis nul åbne porte, og dermed nul risiko
> for orme.

Problemet ville stadig ikke være løst, selv om microsoft gjorde sådan
(Hvad næsten ingen styresystemer gør) vill manden i overstående eksempel
stadig haft problemet. Hovedproblemet er ikke fejl i styresystemet (Selv
om det er et stort problem) men at brugerne lystigt kører alle
programmer de kommer i nærheden af.

Martin
--
Besøg http://linux.adsltips.dk hvor du finder
guides til linux på dansk.
Alt jeg skriver på usenet er mine egne personlige meninger
med mindre andet er angivet.

Niels Jespersen (24-01-2007)
Kommentar
Fra : Niels Jespersen


Dato : 24-01-07 11:18

Kasper Laudrup wrote:
> Hej gruppe,
>
> Da jeg nu så et andet indlæg omkring Nordea, tænkte jeg på, om nogen
> tilfældigvis så TV-avisen i går, hvor en repræsentant fra Nordea
> argumenterede for sikkerheden i deres netbank. I forbindelse med angreb i
> Sverige havde "hackere" fået fat i brugeres password ved at installere
> keyloggere (formentligt via trojanere i emails), men han argumenterede så
> for, at sikkerheden i den danske Nordea var langt bedre, da man
> også brugte nøglefiler.
>
> Nu bruger jeg ikke selv Nordea og er ikke nogen sikkerhedsekspert, men er
> det ikke umiddelbart noget vrøvl? Hvis man har kontrol nok over offerets
> computer til at installere en keylogger, er det vel intet problem at få
> fat i den nævnte nøglefil også, det er vel egentligt hurtigere end at
> vente på at brugeren indtaster sit password?
>
> Har jeg misforstået noget?
>
> Nu bruger jeg som sagt ikke selv Nordea, så spørgsmålet er blot ud fra
> generel interesse...
>
> Mvh.
> Kasper
>
http://www.schneier.com/blog/archives/2007/01/huge_online_ban.html

--Niels

Martin Kofoed (24-01-2007)
Kommentar
Fra : Martin Kofoed


Dato : 24-01-07 13:47

Hej,

Et par opsummerende spørgsmål på denne spændende tråd:

1) Et MITM-angreb v.h.a. en "ejet" Windows-boks er der ikke meget at stille
op over for. Alt mellem afsender og modtager kan både sniffes og erstattes.
Eller er der i den anvendte kryptologi i dag en løsning, som bare er blevet
fravalgt af bankerne? Måske fravalgt grundet kompleks implementation
og/eller usability-mæssige problemer for slutbrugerne?

2) Når et MITM-angreb skal gennemføres, må angriberen nødvendigvis håbe på
velvilje/naivitet/uvidenhed fra ofrets side, idet man velsagtens vil
opleve, at SSL-sessionen enten tabes (der køres helt uden), eller der laves
en ny session med angriberens selv-signerede certifikat. Begge dele vil vel
give en fejl/advarsel i browseren?

Vedr. pkt. 2, så kan alt jo lade sig gøre, hvis angriberen er root på
maskinen. Han/hun kunne evt. hacke Internet Explorer til IKKE at vise
SSL-certifikat-advarsler ...



Andreas Plesner Jaco~ (24-01-2007)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 24-01-07 14:00

On 2007-01-24, Martin Kofoed <inzide@hot.mail.com> wrote:
>
> 1) Et MITM-angreb v.h.a. en "ejet" Windows-boks er der ikke meget at stille
> op over for. Alt mellem afsender og modtager kan både sniffes og erstattes.
> Eller er der i den anvendte kryptologi i dag en løsning, som bare er blevet
> fravalgt af bankerne? Måske fravalgt grundet kompleks implementation
> og/eller usability-mæssige problemer for slutbrugerne?

Jeg vil mene at eneste mulighed er at involvere dataene på skærmen i
genereringen af challenge/response-delen, så man skal indtaste
kontonummer og beløb på sit ActivCard for at få sin response.

> 2) Når et MITM-angreb skal gennemføres, må angriberen nødvendigvis håbe på
> velvilje/naivitet/uvidenhed fra ofrets side, idet man velsagtens vil
> opleve, at SSL-sessionen enten tabes (der køres helt uden), eller der laves
> en ny session med angriberens selv-signerede certifikat. Begge dele vil vel
> give en fejl/advarsel i browseren?

Det kommer an på, hvor "i midten" angriberen sidder. Hvis han er på
netværket kræver det velvilje/naivitet/uvidenhed. Hvis han derimod har
ejerskab over klient-pc'en har han alle mulige muligheder for at få ting
til at se ordentlige ud på brugerens skærm. Fx kan han installere et
CA-certifikat, så brugeren ikke får en advarsel.
Alternativt kan han blot sætte sig i præsentationslaget, som jeg har
demonstreret, og overskrive input/output, så kunden bliver snydt.

Husk at MITM ikke nødvendigvis betyder at man har kontrol over en router
på netværket.

> Vedr. pkt. 2, så kan alt jo lade sig gøre, hvis angriberen er root på
> maskinen. Han/hun kunne evt. hacke Internet Explorer til IKKE at vise
> SSL-certifikat-advarsler ...

Præcis.

--
Andreas

palle (24-01-2007)
Kommentar
Fra : palle


Dato : 24-01-07 14:20

Martin Kofoed wrote:

>
> 2) Når et MITM-angreb skal gennemføres, må angriberen nødvendigvis håbe på
> velvilje/naivitet/uvidenhed fra ofrets side, idet man velsagtens vil
> opleve, at SSL-sessionen enten tabes (der køres helt uden), eller der laves
> en ny session med angriberens selv-signerede certifikat. Begge dele vil vel
> give en fejl/advarsel i browseren?
>
> Vedr. pkt. 2, så kan alt jo lade sig gøre, hvis angriberen er root på
> maskinen. Han/hun kunne evt. hacke Internet Explorer til IKKE at vise
> SSL-certifikat-advarsler ...


Hvis han ejer maskinen eksisterer det problem slet ikke. Han har jo
direkte adgang til data før/efter de bliver de-/krypteret

Alex Holst (24-01-2007)
Kommentar
Fra : Alex Holst


Dato : 24-01-07 17:04

Martin Kofoed wrote:
> Hej,
>
> Et par opsummerende spørgsmål på denne spændende tråd:
>
> 1) Et MITM-angreb v.h.a. en "ejet" Windows-boks er der ikke meget at stille
> op over for. Alt mellem afsender og modtager kan både sniffes og erstattes.
> Eller er der i den anvendte kryptologi i dag en løsning, som bare er blevet
> fravalgt af bankerne? Måske fravalgt grundet kompleks implementation
> og/eller usability-mæssige problemer for slutbrugerne?

Der findes pt ingen protokoller eller systemer der kan modstå, at
trusted computing base bliver manipuleret. De eneste kendte muligheder
er enten at:
1) reducere denne computing base tilstrækkeligt til at angribere ikke
kan påvirke den.
2) implementere en chain-of-trust fra boot, således malware opdages og
deaktiveres.

Lad os sige, at din trusted computing base kun består af et lille device
(smart card reader) der tager imod beløb og andre relaterede data over
USB, viser disse data på et display for brugeren og tager imod smart
card samt PIN. I en sådan situation er det ikke længere nødvendigt at
man kan stole på PCen, da alt udregning sker på den lille enhed.

Bill Gates ville for nogle år siden have en sådan funktionalitet bygget
ind i alle tastaturer, men jeg ved ikke om designet lagde op til, at
data blev behandlet på PCen eller af smart card readeren.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Jens U. K. (25-01-2007)
Kommentar
Fra : Jens U. K.


Dato : 25-01-07 12:14

"Alex Holst" <a@mongers.org> wrote in message
news:45b78371$0$2100$edfadb0f@dtext02.news.tele.dk...
[...]
> Lad os sige, at din trusted computing base kun består af et lille device
> (smart card reader) der tager imod beløb og andre relaterede data over
> USB, viser disse data på et display for brugeren og tager imod smart
> card samt PIN. I en sådan situation er det ikke længere nødvendigt at
> man kan stole på PCen, da alt udregning sker på den lille enhed.

Enig, men jeg vil mene at devicet ikke behøver at være så avanceret, som
Andreas i øvrigt også har lagt op til flere gange, så burde det være nok
at devicet udover et challenge kan tage imod et kontonummer.
Ud fra det response som devicet giver, vil bankens system kunne afsløre om
kontonummeret er blevet ændret.

/Jens Ulrik


Andreas Plesner Jaco~ (25-01-2007)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 25-01-07 12:19

On 2007-01-25, Jens U. K. <1jk2@3bsopatent4.dk> wrote:

>> Lad os sige, at din trusted computing base kun består af et lille device
>> (smart card reader) der tager imod beløb og andre relaterede data over
>> USB, viser disse data på et display for brugeren og tager imod smart
>> card samt PIN. I en sådan situation er det ikke længere nødvendigt at
>> man kan stole på PCen, da alt udregning sker på den lille enhed.
>
> Enig, men jeg vil mene at devicet ikke behøver at være så avanceret, som
> Andreas i øvrigt også har lagt op til flere gange, så burde det være nok
> at devicet udover et challenge kan tage imod et kontonummer.
> Ud fra det response som devicet giver, vil bankens system kunne afsløre om
> kontonummeret er blevet ændret.

Den enhed Alex taler om, har dog den fordel at den kan bruges til mere
generelle formål.

--
Andreas

Jens U. K. (25-01-2007)
Kommentar
Fra : Jens U. K.


Dato : 25-01-07 12:31

"Andreas Plesner Jacobsen" <apj@daarligstil.dk> wrote in message
news:slrnerh4h0.76b.apj@irq.hestdesign.com...
> On 2007-01-25, Jens U. K. <1jk2@3bsopatent4.dk> wrote:
>
>>> Lad os sige, at din trusted computing base kun består af et lille
>>> device
>>> (smart card reader) der tager imod beløb og andre relaterede data over
>>> USB, viser disse data på et display for brugeren og tager imod smart
>>> card samt PIN. I en sådan situation er det ikke længere nødvendigt at
>>> man kan stole på PCen, da alt udregning sker på den lille enhed.
>>
>> Enig, men jeg vil mene at devicet ikke behøver at være så avanceret,
>> som
>> Andreas i øvrigt også har lagt op til flere gange, så burde det være
>> nok
>> at devicet udover et challenge kan tage imod et kontonummer.
>> Ud fra det response som devicet giver, vil bankens system kunne afsløre
>> om
>> kontonummeret er blevet ændret.
>
> Den enhed Alex taler om, har dog den fordel at den kan bruges til mere
> generelle formål.

Måske, men vil det simple "Challenge&Account"-device (C&A)ikke også kunne
det? Erstat Account med en anden _vigtig_ identifikator og svindel vil
kunne afsløres... uanset hvad...
Hvad tænker du på af formål?

/Jens Ulrik


Andreas Plesner Jaco~ (25-01-2007)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 25-01-07 12:33

On 2007-01-25, Jens U. K. <1jk2@3bsopatent4.dk> wrote:
>>>
>>> Enig, men jeg vil mene at devicet ikke behøver at være så avanceret,
>>> som
>>> Andreas i øvrigt også har lagt op til flere gange, så burde det være
>>> nok
>>> at devicet udover et challenge kan tage imod et kontonummer.
>>> Ud fra det response som devicet giver, vil bankens system kunne afsløre
>>> om
>>> kontonummeret er blevet ændret.
>>
>> Den enhed Alex taler om, har dog den fordel at den kan bruges til mere
>> generelle formål.
>
> Måske, men vil det simple "Challenge&Account"-device (C&A)ikke også kunne
> det?

Jo, men du bliver nok træt af at taste efter det 1000ende tegn.

--
Andreas

Jens U. K. (25-01-2007)
Kommentar
Fra : Jens U. K.


Dato : 25-01-07 16:54


"Andreas Plesner Jacobsen" <apj@daarligstil.dk> wrote in message
news:slrnerh5b0.76b.apj@irq.hestdesign.com...
> On 2007-01-25, Jens U. K. <1jk2@3bsopatent4.dk> wrote:
>>>>
>>>> Enig, men jeg vil mene at devicet ikke behøver at være så avanceret,
>>>> som
>>>> Andreas i øvrigt også har lagt op til flere gange, så burde det være
>>>> nok
>>>> at devicet udover et challenge kan tage imod et kontonummer.
>>>> Ud fra det response som devicet giver, vil bankens system kunne
>>>> afsløre
>>>> om
>>>> kontonummeret er blevet ændret.
>>>
>>> Den enhed Alex taler om, har dog den fordel at den kan bruges til mere
>>> generelle formål.
>>
>> Måske, men vil det simple "Challenge&Account"-device (C&A)ikke også
>> kunne
>> det?
>
> Jo, men du bliver nok træt af at taste efter det 1000ende tegn.

Kan du ikke lige skære det ud i pap med et eksempel...

/Jens Ulrik


Andreas Plesner Jaco~ (25-01-2007)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 25-01-07 23:42

On 2007-01-25, Jens U. K. <1jk2@3bsopatent4.dk> wrote:
>
>>> Måske, men vil det simple "Challenge&Account"-device (C&A)ikke også
>>> kunne
>>> det?
>>
>> Jo, men du bliver nok træt af at taste efter det 1000ende tegn.
>
> Kan du ikke lige skære det ud i pap med et eksempel...

Det tætteste jeg lige kan komme på det er din selvangivelse. Det vil nok
være nemmere at taste ind på skærmen, og underskrive på "dimsen" (ved at
bekræfte dataene visuelt) end at taste det hele ind på "dimsen".

--
Andreas

Jens U. K. (26-01-2007)
Kommentar
Fra : Jens U. K.


Dato : 26-01-07 10:58

"Andreas Plesner Jacobsen" <apj@daarligstil.dk> wrote in message
news:slrnericgv.76b.apj@irq.hestdesign.com...
> On 2007-01-25, Jens U. K. <1jk2@3bsopatent4.dk> wrote:
>>
>>>> Måske, men vil det simple "Challenge&Account"-device (C&A)ikke også
>>>> kunne
>>>> det?
>>>
>>> Jo, men du bliver nok træt af at taste efter det 1000ende tegn.
>>
>> Kan du ikke lige skære det ud i pap med et eksempel...
>
> Det tætteste jeg lige kan komme på det er din selvangivelse. Det vil nok
> være nemmere at taste ind på skærmen, og underskrive på "dimsen" (ved at
> bekræfte dataene visuelt)

Mener du at man på "dimsen" skal sidde og gennemlæse hver eneste postering
på selvangivelsen og så til slut underskrive (#1).

> end at taste det hele ind på "dimsen".
Hvis ja til ovenstående, så kan jeg sagtens følge dig.

Men det er afhængigt af "dimsen" da også lidt/ret besværligt at sidde og
skulle "bekræfte" dataene visuelt...
....hvad forhindrer at indtastningen af selvangivelsen foregår på skærmen
og at der der (fra softwareprogrammet på computeren/websiden) bliver givet
et challenge ud fra det indtastede. Dette challenge indtastes så på dimsen
sammen med en _vigtig_ indikator fra selvangivelsen (nu kan jeg ikke huske
selvangivelsen i hovedet, men der burde være et af felterne der kunne være
interessant at der ikke var fiflet med - ligesom kontonummeret ved en
bankoverførsel).
En klar forskel her mellem "dimserne" er selvfølgelig af det med den anden
dims er/kan være muligt at signere med sin private key og her kan jeg godt
følge dig med at den er lidt lang at taste ind - så en mulighed for at
kunne sætte et smartcard med nøgle i "dimsen" ville jo nok være at
foretrække.

Har jeg forstået dig ret?

#1: "Underskrive" (f.eks. vha den der offentlige digitale signatur), altså
lave en krypteret checksum med ens private nøgle.

/Jens Ulrik


Andreas Plesner Jaco~ (26-01-2007)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 26-01-07 11:34

On 2007-01-26, Jens U. K. <1jk2@3bsopatent4.dk> wrote:
>
> Mener du at man på "dimsen" skal sidde og gennemlæse hver eneste postering
> på selvangivelsen og så til slut underskrive (#1).

Ja. Hvis de ikke bliver præsenteret der, så ved man jo i praksis ikke
hvad man skriver under på.

>> end at taste det hele ind på "dimsen".
> Hvis ja til ovenstående, så kan jeg sagtens følge dig.
>
> Men det er afhængigt af "dimsen" da også lidt/ret besværligt at sidde og
> skulle "bekræfte" dataene visuelt...
> ...hvad forhindrer at indtastningen af selvangivelsen foregår på skærmen
> og at der der (fra softwareprogrammet på computeren/websiden) bliver givet
> et challenge ud fra det indtastede. Dette challenge indtastes så på dimsen
> sammen med en _vigtig_ indikator fra selvangivelsen (nu kan jeg ikke huske
> selvangivelsen i hovedet, men der burde være et af felterne der kunne være
> interessant at der ikke var fiflet med - ligesom kontonummeret ved en
> bankoverførsel).

Nu er en selvangivelse et ret dårligt eksempel (men jeg kunne ikke finde
på andet), men angriberen kunne sagtens pille ved nogle data, men ikke
ved det challenge. Det er faktisk fuldstændig parallelt til netbanken,
hvor en angriber kan pille ved kontonummer og lade challenge-stumpen
stå.

> Har jeg forstået dig ret?

Ja.

--
Andreas

Jens U. K. (29-01-2007)
Kommentar
Fra : Jens U. K.


Dato : 29-01-07 11:02

"Andreas Plesner Jacobsen" <apj@daarligstil.dk> wrote in message
news:slrnerjm80.76b.apj@irq.hestdesign.com...
> On 2007-01-26, Jens U. K. <1jk2@3bsopatent4.dk> wrote:
[...]
>> ...hvad forhindrer at indtastningen af selvangivelsen foregår på
>> skærmen
>> og at der der (fra softwareprogrammet på computeren/websiden) bliver
>> givet
>> et challenge ud fra det indtastede. Dette challenge indtastes så på
>> dimsen
>> sammen med en _vigtig_ indikator fra selvangivelsen (nu kan jeg ikke
>> huske
>> selvangivelsen i hovedet, men der burde være et af felterne der kunne
>> være
>> interessant at der ikke var fiflet med - ligesom kontonummeret ved en
>> bankoverførsel).
>
> Nu er en selvangivelse et ret dårligt eksempel (men jeg kunne ikke finde
> på andet), men angriberen kunne sagtens pille ved nogle data, men ikke
> ved det challenge. Det er faktisk fuldstændig parallelt til netbanken,
> hvor en angriber kan pille ved kontonummer og lade challenge-stumpen
> stå.

Ok, men nu skrev jeg jo også at der samtidig med challenge skulle
indtastes en _vigtig_ indikator. I bankeksemplet ville kontonummeret være
en vigtig indikator - i selvangivelsen et andet nummer...
....men det ser ud til at vi forstår hinanden nu.
Først i det tilfælde hvor angriberen ved hvordan devicet beregner sin
"checksum" ud fra challenge og f.eks. kontonummer, har man tabt. Hvis man
har Smartcard-tilslutning til devicet og dermed mulighed for at signere
"response" med sin private key, så skal angriberen også have adgang til
ens private key, før man har tabt...

/Jens Ulrik


Andreas Plesner Jaco~ (01-02-2007)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 01-02-07 16:30

On 2007-01-29, Jens U. K. <1jk2@3bsopatent4.dk> wrote:
>>
>> Nu er en selvangivelse et ret dårligt eksempel (men jeg kunne ikke finde
>> på andet), men angriberen kunne sagtens pille ved nogle data, men ikke
>> ved det challenge. Det er faktisk fuldstændig parallelt til netbanken,
>> hvor en angriber kan pille ved kontonummer og lade challenge-stumpen
>> stå.
>
> Ok, men nu skrev jeg jo også at der samtidig med challenge skulle
> indtastes en _vigtig_ indikator. I bankeksemplet ville kontonummeret være
> en vigtig indikator - i selvangivelsen et andet nummer...

Men det er jo det, der er hele pointen. Det er ikke nok med en
indikator. Så er du kun sikker på at det er den indikator, der ikke er
ændret. Og alt efter hvad du har gang i lige nu kan det være for lidt
data til at tage en beslutning.

> Først i det tilfælde hvor angriberen ved hvordan devicet beregner sin
> "checksum" ud fra challenge og f.eks. kontonummer, har man tabt. Hvis man

Ikke nødvendigvis. Selvom jeg ved hvordan SHA-1 virker er det ikke
trivielt at udskifte dataene og få samme checksum.

> har Smartcard-tilslutning til devicet og dermed mulighed for at signere
> "response" med sin private key, så skal angriberen også have adgang til
> ens private key, før man har tabt...

Det er selvfølgelig underforstået at den enhed har en privat nøgle af en
slags.

--
Andreas

Jens U. K. (02-02-2007)
Kommentar
Fra : Jens U. K.


Dato : 02-02-07 10:47

"Andreas Plesner Jacobsen" <apj@daarligstil.dk> wrote in message
news:slrnes41rl.76b.apj@irq.hestdesign.com...
> On 2007-01-29, Jens U. K. <1jk2@3bsopatent4.dk> wrote:
>>>
>>> Nu er en selvangivelse et ret dårligt eksempel (men jeg kunne ikke
>>> finde
>>> på andet), men angriberen kunne sagtens pille ved nogle data, men ikke
>>> ved det challenge. Det er faktisk fuldstændig parallelt til netbanken,
>>> hvor en angriber kan pille ved kontonummer og lade challenge-stumpen
>>> stå.
>>
>> Ok, men nu skrev jeg jo også at der samtidig med challenge skulle
>> indtastes en _vigtig_ indikator. I bankeksemplet ville kontonummeret
>> være
>> en vigtig indikator - i selvangivelsen et andet nummer...
>
> Men det er jo det, der er hele pointen. Det er ikke nok med en
> indikator. Så er du kun sikker på at det er den indikator, der ikke er
> ændret. Og alt efter hvad du har gang i lige nu kan det være for lidt
> data til at tage en beslutning.

Korrekt, een indikator er umiddelbart nok i en netbank applikation -
nemlig kontonummeret hvortil pengene skal overføres, lige bortset fra hvis
angriberen er indehaveren af kontonummeret - så er beløbet også en meget
interessant indikator... og der er sikkert andre eksempler hvor der kan
være flere indikatorer. Selvom det er besværligt, kunne det løses ved at
udføre et til antallet af indikatorer svarende
challenge-responseudvekslinger.

Alternativet (det avancerede device) som Alex har snakket om, kan blive
lidt komplekst, med deraf følgende muligheder for omgåelse af
sikkerheden... f.eks. eksisterer der måske en fejl som gør at de "af en
angriber specielt formaterede" data der overføres via USB til devicet ikke
vises korrekt på devicet... i yderste konsekvens beregnes responset måske
på angriberens "hemmelige data", mens devicet viser nogen andre data (dem
som man forventer at se og derfor godkender)...
Det "sikre" og besværlige alternativ er at man selv sidder og taster data
ind på devicet - men så er der pludselig ikke så langt fra "det avancerede
device" og "det simple device".

>> Først i det tilfælde hvor angriberen ved hvordan devicet beregner sin
>> "checksum" ud fra challenge og f.eks. kontonummer, har man tabt. Hvis
>> man
>
> Ikke nødvendigvis. Selvom jeg ved hvordan SHA-1 virker er det ikke
> trivielt at udskifte dataene og få samme checksum.

Ahh, det var ikke det jeg mente.
Det som jeg mente var at angriberen slet ikke behøves at bede en om at
indtaste challenge på ens device og efterfølgende indtaste det på PC'en -
angriberen kender jo til beregningen og udfører den i stedet selv... i
kampens hede havde jeg bare liiige glemt at tænke på at sådan et device og
den applikation f.eks. banken validerer responset med, nok har noget
private/public key-kendskab til hinanden.

>> har Smartcard-tilslutning til devicet og dermed mulighed for at signere
>> "response" med sin private key, så skal angriberen også have adgang til
>> ens private key, før man har tabt...
>
> Det er selvfølgelig underforstået at den enhed har en privat nøgle af en
> slags.

Læs ovenfor

/Jens Ulrik


Kent Friis (24-01-2007)
Kommentar
Fra : Kent Friis


Dato : 24-01-07 17:40

Den Wed, 24 Jan 2007 13:47:12 +0100 skrev Martin Kofoed:
>
> 2) Når et MITM-angreb skal gennemføres, må angriberen nødvendigvis håbe på
> velvilje/naivitet/uvidenhed fra ofrets side, idet man velsagtens vil
> opleve, at SSL-sessionen enten tabes (der køres helt uden), eller der laves
> en ny session med angriberens selv-signerede certifikat. Begge dele vil vel
> give en fejl/advarsel i browseren?

Kun hvis vi snakker om et netværks-baseret MITM-angreb. Men vi har
hele tiden snakket om et MITM-angreb vha. et program på brugerens
PC.

> Vedr. pkt. 2, så kan alt jo lade sig gøre, hvis angriberen er root på
> maskinen. Han/hun kunne evt. hacke Internet Explorer til IKKE at vise
> SSL-certifikat-advarsler ...

Root (eller administrator, det er jo Windows vi snakker om) er ikke
nødvendig. Man behøver blot have adgang til de processer brugeren
kører, dvs. samme brugerid som brugeren.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Christian E. Lysel (02-02-2007)
Kommentar
Fra : Christian E. Lysel


Dato : 02-02-07 00:11

On Wed, 2007-01-24 at 23:57 +0100, Alex Holst wrote:
> Hvor mange sikkerhedsrettelser til OS X kan du tælle dig frem til på
> ovenstående dokumenter? Jeg skyder på 150.

Enig.

Kan dog ikke lade vær med at tænke på:

http://www.washingtonpost.com/wp-srv/technology/daily/graphics/index20070104.html

IE6 sårbar 284 dage i 2006... det giver ca. 80 dage hvor IE6 ikke er
sårbart på et helt år.

Man kan så tænke over hvordan en almindelig bruger sikkert kan bruge PC
bank?

Den angrebsmetode du nævner kræver ikke administrator rettigheder..

Bankens anbefaldinger: opdatere, antivirus, firewall...hjælper ej.




Søg
Reklame
Statistik
Spørgsmål : 177580
Tips : 31968
Nyheder : 719565
Indlæg : 6409079
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste