/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Sikkerhed ved et netbanksystem
Fra : Bertel Lund Hansen


Dato : 16-10-02 10:41

Hej alle

Jeg er ved at forlade AL til fordel for Jyske Bank som bruger et
kompatibelt netbanksystem. Jeg har dog lige fået oplysninger om
min kommende (automatiske) overførsel fra AL's hjemmebank til
deres netbank - og jeg er overrasket:

Jeg har fået tildelt et kodeord som er gyldigt i 30 dage. Med det
kan jeg gå ind på en hjemmeside, indtaste kodeordet og vælge et
nyt (permanent) som også indtastes. Til sidst står der:

   Klik på o.k. for at danne en ny underskriftsfil.

Og så:

   Hvis du vil anvende programmet fra en anden pc, kan du
   kopiere underskriftsfilen til f.eks. en diskette via
   stifinder.

Det lyder som om enhver med adgang til underskriftsfilen kan
boltre sig med ens konti. Er der nogen der bruger AL's netsystem
der kan bekræfte at det forholder sig sådan?

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

 
 
Jonathan Stein (16-10-2002)
Kommentar
Fra : Jonathan Stein


Dato : 16-10-02 10:57

Bertel Lund Hansen wrote:

> Det lyder som om enhver med adgang til underskriftsfilen kan
> boltre sig med ens konti. Er der nogen der bruger AL's netsystem
> der kan bekræfte at det forholder sig sådan?

Hvis det er BEC's system, så kræver det både kodeord og
underskriftsfil. Formentlig en erkendelse af, at mange vælger så dårlige
kodeord, at det ikke er sikkert nok alene.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Henrik Walther (16-10-2002)
Kommentar
Fra : Henrik Walther


Dato : 16-10-02 13:07

On Wed, 16 Oct 2002 11:40:55 +0200, Bertel Lund Hansen
<nospam@lundhansen.dk> wrote:

>Det lyder som om enhver med adgang til underskriftsfilen kan
>boltre sig med ens konti. Er der nogen der bruger AL's netsystem
>der kan bekræfte at det forholder sig sådan?

Du skal uanset PC indtaste password sammen med underskriftfil.

--
Henrik Walther

Bertel Lund Hansen (16-10-2002)
Kommentar
Fra : Bertel Lund Hansen


Dato : 16-10-02 13:13

Henrik Walther skrev:

>Du skal uanset PC indtaste password sammen med underskriftfil.

Så forstår jeg det bedre.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Povl H. Pedersen (16-10-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 16-10-02 21:19

In article <2ulqqu8uk3hf7pejgok6mfb54h3p37gmcu@news.telia.dk>, Bertel Lund Hansen wrote:
> Henrik Walther skrev:
>
>>Du skal uanset PC indtaste password sammen med underskriftfil.
>
> Så forstår jeg det bedre.

Men hvis en person har adgang til din PC, så har han som regel også
adgang til at smide en keyboard-logger på, og dermed fange dit
password.

Jyske Bank løsningen er mere sikker, idet den kræver at man
har haft fysisk adgang til kundens nøglekort med engangspassword.

Ovenstående er baseret på en forventning om, at en hacker i
alle tilfælde skal have adgang til brugerens PC for at få fat
i et kodeord.

Henrik Walther (17-10-2002)
Kommentar
Fra : Henrik Walther


Dato : 17-10-02 07:30

On Wed, 16 Oct 2002 20:18:39 +0000 (UTC), "Povl H. Pedersen"
<povlhp@povl-h-pedersens-computer.local> wrote:

> Jyske Bank løsningen er mere sikker, idet den kræver at man
> har haft fysisk adgang til kundens nøglekort med engangspassword.

Jeg har ikke selv AL som netbank, men har set den i funktion.

Nøglekort hvordan fungerer det ? Jeg var af den overbevisning
Danskenetbank havde en af de mere sikre løsninger og der indgår ikke
et sådan.

--
Henrik Walther
Http://www.winjunkie.net

Bertel Lund Hansen (17-10-2002)
Kommentar
Fra : Bertel Lund Hansen


Dato : 17-10-02 14:40

Henrik Walther skrev:

>Nøglekort hvordan fungerer det ?

Log on:

1)   Angiv brugernavn og nøglekortnummer.
2)   Angiv nøglen ud for <specifikation> og kodeord.

Ved betaling gentages 2).

Med jævne mellemrum får man tilsendt et nyt nøglekort. Det har 80
indgange.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Christian Andersen (17-10-2002)
Kommentar
Fra : Christian Andersen


Dato : 17-10-02 21:21

Bertel Lund Hansen wrote:

>>Nøglekort hvordan fungerer det ?

> Log on:
>
> 1)   Angiv brugernavn og nøglekortnummer.
> 2)   Angiv nøglen ud for <specifikation> og kodeord.
>
> Ved betaling gentages 2).

Ved min netbank:

1) Angiv brugernavn og kodeord.
2) Angiv nøglen udfor <specifikation>.

Ved betaling skal man opgive kodeord og ny nøgle.

--
..signature

Bertel Lund Hansen (17-10-2002)
Kommentar
Fra : Bertel Lund Hansen


Dato : 17-10-02 21:33

Christian Andersen skrev:

>Ved betaling skal man opgive kodeord og ny nøgle.

Det var også underforstået i min beskrivelse at nøglen var ny.
Jeg huskede dog forkert. Der skal ikke bruges kodeord ved
betalinger.

Beskrivelsen af metoden lyder mere besværlig end den er. Men jeg
var nu fuldt tilfreds med sikkerheden ved min gode, gamle
hjemmebank hvor brugernavn og kodeord én gang for alle åbnede for
alle muligheder, men det var heller ikke beregnet til at kunne
bruges fra en vilkårlig computer.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Christian Andersen (17-10-2002)
Kommentar
Fra : Christian Andersen


Dato : 17-10-02 22:09

Bertel Lund Hansen wrote:

> var nu fuldt tilfreds med sikkerheden ved min gode, gamle
> hjemmebank hvor brugernavn og kodeord én gang for alle åbnede for
> alle muligheder, men det var heller ikke beregnet til at kunne
> bruges fra en vilkårlig computer.

Rigtigt. Min netbank kan køres i to indstillinger; én hvor man bruger en
nøglefil på computeren og ikke noget nøglekort og så den jeg har
beskrevet.

Jeg geninstallerer tit min computer, så den nuværende løsning passer mig
fint. Et ghost-image hvor min nøglefil ligger på, slår mig ikke just som
værende sikker. Ej heller liggende på en backup.

--
..signature

Kasper Dupont (19-10-2002)
Kommentar
Fra : Kasper Dupont


Dato : 19-10-02 23:03

"Povl H. Pedersen" wrote:
>
> In article <2ulqqu8uk3hf7pejgok6mfb54h3p37gmcu@news.telia.dk>, Bertel Lund Hansen wrote:
> > Henrik Walther skrev:
> >
> >>Du skal uanset PC indtaste password sammen med underskriftfil.
> >
> > Så forstår jeg det bedre.
>
> Men hvis en person har adgang til din PC, så har han som regel også
> adgang til at smide en keyboard-logger på, og dermed fange dit
> password.
>
> Jyske Bank løsningen er mere sikker, idet den kræver at man
> har haft fysisk adgang til kundens nøglekort med engangspassword.

Man må endelig ikke tro, at Jyske Banks løsning er sikker, hvis
kundens computer er blevet cracket. En keyboard-logger er ikke
nok, men har man kontrol over computeren, kan det stadig misbruges.
Hver gang kunden indtaster et kodeord, kunne crackeren bruge det
til at udføre en anden transaktion, end kunden havde tænkt sig.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Bertel Lund Hansen (20-10-2002)
Kommentar
Fra : Bertel Lund Hansen


Dato : 20-10-02 09:29

Kasper Dupont skrev:

>Man må endelig ikke tro, at Jyske Banks løsning er sikker, hvis
>kundens computer er blevet cracket. En keyboard-logger er ikke
>nok, men har man kontrol over computeren, kan det stadig misbruges.
>Hver gang kunden indtaster et kodeord, kunne crackeren bruge det
>til at udføre en anden transaktion, end kunden havde tænkt sig.

Jo. Hvis det var mig, ville jeg så tage kontrol over bankens
computer, og ikke en dødsyg kundes med adgang til 3'548 kr. og en
monstergæld.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Kasper Dupont (20-10-2002)
Kommentar
Fra : Kasper Dupont


Dato : 20-10-02 12:57

Bertel Lund Hansen wrote:
>
> Hvis det var mig, ville jeg så tage kontrol over bankens
> computer

Forhåbentlig er bankens computersystem mere sikkert end den
gennemsnitlige kundes. Og som kunde er man nødt til at stole
på bankens computersystem, uanset om man selv bruger netbank
eller ej. Heldigvis er det i dette tilfælde uden tvivl
banken, der hæfter for tab. (Hvis der da ellers er flere
penge tilbage i kassen.)

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Bertel Lund Hansen (20-10-2002)
Kommentar
Fra : Bertel Lund Hansen


Dato : 20-10-02 14:13

Kasper Dupont skrev:

>Forhåbentlig er bankens computersystem mere sikkert end den
>gennemsnitlige kundes.

Det er et spørgsmål em en cost-benefit-analyse.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Martin Schultz (20-10-2002)
Kommentar
Fra : Martin Schultz


Dato : 20-10-02 14:32

Bertel Lund Hansen <nospam@lundhansen.dk> writes:

> Kasper Dupont skrev:
>
> >Man må endelig ikke tro, at Jyske Banks løsning er sikker, hvis
> >kundens computer er blevet cracket. En keyboard-logger er ikke
> >nok, men har man kontrol over computeren, kan det stadig misbruges.
> >Hver gang kunden indtaster et kodeord, kunne crackeren bruge det
> >til at udføre en anden transaktion, end kunden havde tænkt sig.
>
> Jo. Hvis det var mig, ville jeg så tage kontrol over bankens
> computer, og ikke en dødsyg kundes med adgang til 3'548 kr. og en
> monstergæld.

hvis man nu kunne gøre det på 100 eller 1000 kunder var der nok
en ide i det.

--
Besøg http://adsltips.cjb.net for guider
til ADSL og opsætning af CISCO router.

Bertel Lund Hansen (20-10-2002)
Kommentar
Fra : Bertel Lund Hansen


Dato : 20-10-02 14:45

Martin Schultz skrev:

>hvis man nu kunne gøre det på 100 eller 1000 kunder var der nok
>en ide i det.

Med mangedoblet risiko for at blive opdaget.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Kasper Dupont (20-10-2002)
Kommentar
Fra : Kasper Dupont


Dato : 20-10-02 15:07

Bertel Lund Hansen wrote:
>
> Martin Schultz skrev:
>
> >hvis man nu kunne gøre det på 100 eller 1000 kunder var der nok
> >en ide i det.
>
> Med mangedoblet risiko for at blive opdaget.

Ikke nødvendigvis hvis du bruger en af computerne som springbræt,
og i øvrigt sletter alle spor fra den ene computer.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Povl H. Pedersen (20-10-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 20-10-02 09:37

In article <3DB1D69B.54080BEA@daimi.au.dk>, Kasper Dupont wrote:
> "Povl H. Pedersen" wrote:
>>
>> In article <2ulqqu8uk3hf7pejgok6mfb54h3p37gmcu@news.telia.dk>, Bertel Lund Hansen wrote:
>> > Henrik Walther skrev:
>> >
>> >>Du skal uanset PC indtaste password sammen med underskriftfil.
>> >
>> > Så forstår jeg det bedre.
>>
>> Men hvis en person har adgang til din PC, så har han som regel også
>> adgang til at smide en keyboard-logger på, og dermed fange dit
>> password.
>>
>> Jyske Bank løsningen er mere sikker, idet den kræver at man
>> har haft fysisk adgang til kundens nøglekort med engangspassword.
>
> Man må endelig ikke tro, at Jyske Banks løsning er sikker, hvis
> kundens computer er blevet cracket. En keyboard-logger er ikke
> nok, men har man kontrol over computeren, kan det stadig misbruges.
> Hver gang kunden indtaster et kodeord, kunne crackeren bruge det
> til at udføre en anden transaktion, end kunden havde tænkt sig.

Enig. Den er følsom over man-in-the-middle attack (hvis man ikke
har opdateret sin Internet Explorer med den kritiske update der
ikke er så kritisk at den er på Windows Update. Baseline
Security Analyzer kan dog finde den).

Men de andre netbankers certifikatløsning lider vel under det
samme problem, og med den forskel at man her kan lave mange
transaktioner når man er inde. Med Jyske Bank kan man kun fake
enkelte transaktioner, da man jo skal bruge kundens nøglekort.

Kasper Dupont (20-10-2002)
Kommentar
Fra : Kasper Dupont


Dato : 20-10-02 12:53

"Povl H. Pedersen" wrote:
>
> Men de andre netbankers certifikatløsning lider vel under det
> samme problem, og med den forskel at man her kan lave mange
> transaktioner når man er inde. Med Jyske Bank kan man kun fake
> enkelte transaktioner, da man jo skal bruge kundens nøglekort.

Ja. Uanset hvilket netbank system man bruger er det usikkert,
hvis kontrollen over kundens computer kan overtages. Det kan
til tider lyde som om, at nogen tror, at Jyske Banks system
er imunt overfor sådan et angreb. Det er ikke tilfældet. Men
det er da tænkeligt, at Jyske Banks system er det sværeste at
misbruge.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Bertel Lund Hansen (20-10-2002)
Kommentar
Fra : Bertel Lund Hansen


Dato : 20-10-02 14:14

Kasper Dupont skrev:

>hvis kontrollen over kundens computer kan overtages. Det kan
>til tider lyde som om, at nogen tror, at Jyske Banks system
>er imunt overfor sådan et angreb.

Hvad får dig på den tanke at nogen tror det? Mon ikke det er
almindeligt kendt at hvad én mand har låst, kan en anden bryde
op?

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Kasper Dupont (20-10-2002)
Kommentar
Fra : Kasper Dupont


Dato : 20-10-02 15:09

Bertel Lund Hansen wrote:
>
> Kasper Dupont skrev:
>
> >hvis kontrollen over kundens computer kan overtages. Det kan
> >til tider lyde som om, at nogen tror, at Jyske Banks system
> >er imunt overfor sådan et angreb.
>
> Hvad får dig på den tanke at nogen tror det?

Tidligere postings om emnet. Men de er nok for længst expiret,
så jeg opgiver på forhånd ethvert forsøg på at finde dem.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Jonathan Stein (20-10-2002)
Kommentar
Fra : Jonathan Stein


Dato : 20-10-02 11:59

Kasper Dupont wrote:

> Man må endelig ikke tro, at Jyske Banks løsning er sikker, hvis
> kundens computer er blevet cracket. En keyboard-logger er ikke
> nok, men har man kontrol over computeren, kan det stadig misbruges.
> Hver gang kunden indtaster et kodeord, kunne crackeren bruge det
> til at udføre en anden transaktion, end kunden havde tænkt sig.

- Men man skal så fake hele on-line systemet, så kunden stadig oplever, at hans
transaktioner er blevet gennemført - ellers vil han nok hurtige opdage, at "noget" er galt.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Kasper Dupont (20-10-2002)
Kommentar
Fra : Kasper Dupont


Dato : 20-10-02 12:50

Jonathan Stein wrote:
>
> Kasper Dupont wrote:
>
> > Man må endelig ikke tro, at Jyske Banks løsning er sikker, hvis
> > kundens computer er blevet cracket. En keyboard-logger er ikke
> > nok, men har man kontrol over computeren, kan det stadig misbruges.
> > Hver gang kunden indtaster et kodeord, kunne crackeren bruge det
> > til at udføre en anden transaktion, end kunden havde tænkt sig.
>
> - Men man skal så fake hele on-line systemet, så kunden stadig oplever, at hans
> transaktioner er blevet gennemført - ellers vil han nok hurtige opdage, at "noget" er galt.

Ja. Jeg sagde ikke, at det var let. Jeg sagde, at det var muligt.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Povl H. Pedersen (20-10-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 20-10-02 13:00

In article <3DB28C91.83952306@image.dk>, Jonathan Stein wrote:
> Kasper Dupont wrote:
>
>> Man må endelig ikke tro, at Jyske Banks løsning er sikker, hvis
>> kundens computer er blevet cracket. En keyboard-logger er ikke
>> nok, men har man kontrol over computeren, kan det stadig misbruges.
>> Hver gang kunden indtaster et kodeord, kunne crackeren bruge det
>> til at udføre en anden transaktion, end kunden havde tænkt sig.
>
> - Men man skal så fake hele on-line systemet, så kunden stadig oplever, at hans
> transaktioner er blevet gennemført - ellers vil han nok hurtige opdage, at "noget" er galt.

det skal du ikke. Hvis du er man-in-the-middle, så sender du bare al
trafik videre til banken, undtagen når der er en transaktion, så
retter du lige kontonummeret til hvis beløbet er interessant.

Hvis du er smart, så gør du det kun med beløb over eksempelvis 100 eller
500 kr, så vil små testoverførsler nemlig ikke umiddelbart afsløre det.


Jonathan Stein (20-10-2002)
Kommentar
Fra : Jonathan Stein


Dato : 20-10-02 13:15

"Povl H. Pedersen" wrote:

> >> Man må endelig ikke tro, at Jyske Banks løsning er sikker, hvis
> >> kundens computer er blevet cracket. En keyboard-logger er ikke
> >> nok, men har man kontrol over computeren, kan det stadig misbruges.
> >> Hver gang kunden indtaster et kodeord, kunne crackeren bruge det
> >> til at udføre en anden transaktion, end kunden havde tænkt sig.
> >
> > - Men man skal så fake hele on-line systemet, så kunden stadig oplever, at hans
> > transaktioner er blevet gennemført - ellers vil han nok hurtige opdage, at "noget" er galt.
>
> det skal du ikke. Hvis du er man-in-the-middle, så sender du bare al
> trafik videre til banken, undtagen når der er en transaktion, så
> retter du lige kontonummeret til hvis beløbet er interessant.

Så er det jo ikke "hver gang kunden indtaster et kodeord" - men kun udvalgte transaktioner. Og
transaktionerne kan kun ændres, så det ikke umiddelbart opdages. Man kan f.eks. ikke lige flytte
10.000 til sin egen konto, hvis brugeren er ved at betale en regning på 500 kr. Man er også nødt
til at gøre det "real-time".
Og i begge tilfælde er en keyboard logger ikke nok - men er nødt til at bryde ind i
SSL-forbindelsen for at opsnappe/ændre transaktionen og/eller svaret. Det er dog også muligt,
hvis man har adgang til at installere en key-logger.
Jeg mener løsningen er "Sikker Nok" til at blive anvendt på en offentlig computer - det ville
jeg ikke anbefale med de fleste andre bank-systemer.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Povl H. Pedersen (20-10-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 20-10-02 19:00

In article <3DB29E41.974453AC@image.dk>, Jonathan Stein wrote:
> "Povl H. Pedersen" wrote:
>
>> >> Man må endelig ikke tro, at Jyske Banks løsning er sikker, hvis
>> >> kundens computer er blevet cracket. En keyboard-logger er ikke
>> >> nok, men har man kontrol over computeren, kan det stadig misbruges.
>> >> Hver gang kunden indtaster et kodeord, kunne crackeren bruge det
>> >> til at udføre en anden transaktion, end kunden havde tænkt sig.
>> >
>> > - Men man skal så fake hele on-line systemet, så kunden stadig oplever, at hans
>> > transaktioner er blevet gennemført - ellers vil han nok hurtige opdage, at "noget" er galt.
>>
>> det skal du ikke. Hvis du er man-in-the-middle, så sender du bare al
>> trafik videre til banken, undtagen når der er en transaktion, så
>> retter du lige kontonummeret til hvis beløbet er interessant.
>
> Så er det jo ikke "hver gang kunden indtaster et kodeord" - men kun udvalgte transaktioner. Og
> transaktionerne kan kun ændres, så det ikke umiddelbart opdages. Man kan f.eks. ikke lige flytte
> 10.000 til sin egen konto, hvis brugeren er ved at betale en regning på 500 kr. Man er også nødt
> til at gøre det "real-time".
> Og i begge tilfælde er en keyboard logger ikke nok - men er nødt til at bryde ind i
> SSL-forbindelsen for at opsnappe/ændre transaktionen og/eller svaret. Det er dog også muligt,
> hvis man har adgang til at installere en key-logger.
> Jeg mener løsningen er "Sikker Nok" til at blive anvendt på en offentlig computer - det ville
> jeg ikke anbefale med de fleste andre bank-systemer.

Men hvis hackeren har kontrol over maskinen, så smider han lige en lokal
proxy på, som virker som man-in-the-middle, og dermed kan han i
real-time mens han sover sørge for at få 10.000 kr hver gang du
overfører noget som helst.

Jonathan Stein (20-10-2002)
Kommentar
Fra : Jonathan Stein


Dato : 20-10-02 20:10

"Povl H. Pedersen" wrote:

> > Så er det jo ikke "hver gang kunden indtaster et kodeord" - men kun udvalgte
> >transaktioner. Og transaktionerne kan kun ændres, så det ikke umiddelbart opdages.
> >Man kan f.eks. ikke lige flytte 10.000 til sin egen konto, hvis brugeren er ved at betale
> >en regning på 500 kr. Man er også nødt til at gøre det "real-time".
> > Og i begge tilfælde er en keyboard logger ikke nok - men er nødt til at bryde ind i
> > SSL-forbindelsen for at opsnappe/ændre transaktionen og/eller svaret. Det er dog også
> >muligt, hvis man har adgang til at installere en key-logger.
> > Jeg mener løsningen er "Sikker Nok" til at blive anvendt på en offentlig computer
> >- det ville jeg ikke anbefale med de fleste andre bank-systemer.
>
> Men hvis hackeren har kontrol over maskinen, så smider han lige en lokal
> proxy på, som virker som man-in-the-middle, og dermed kan han i
> real-time mens han sover sørge for at få 10.000 kr hver gang du
> overfører noget som helst.

Han skal stadig bryde ind på SSL-forbindelsen for at kunne ændre transaktionen. - Ellers skal han
patche browseren, så den viser brugeren, at den snakker med SSL sitet, mens den i virkeligheden
snakker med proxy'en.
Desuden skal han ændre alle svar fra banken, hvis brugeren ikke straks skal se, at der er overført
et forkert beløb.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Kasper Dupont (20-10-2002)
Kommentar
Fra : Kasper Dupont


Dato : 20-10-02 21:07

Jonathan Stein wrote:
>
> Han skal stadig bryde ind på SSL-forbindelsen for at kunne ændre transaktionen. - Ellers skal han
> patche browseren, så den viser brugeren, at den snakker med SSL sitet, mens den i virkeligheden
> snakker med proxy'en.

Antagelsen var jo netop, at crackeren havde kontrol over
kundens computer. Så en ændring af browseren er altså en
teoretisk mulighed.

> Desuden skal han ændre alle svar fra banken, hvis brugeren ikke straks skal se, at der er overført
> et forkert beløb.

Ja, det er ikke nemt men stadig muligt.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

Jonathan Stein (20-10-2002)
Kommentar
Fra : Jonathan Stein


Dato : 20-10-02 22:29

Kasper Dupont wrote:

> > Han skal stadig bryde ind på SSL-forbindelsen for at kunne ændre transaktionen. -
> > Ellers skal han patche browseren, så den viser brugeren, at den snakker med SSL
> > sitet, mens den i virkeligheden snakker med proxy'en.
>
> Antagelsen var jo netop, at crackeren havde kontrol over
> kundens computer. Så en ændring af browseren er altså en
> teoretisk mulighed.

Som jeg skrev i forrige indlæg: "Det er dog også muligt, hvis man har adgang til at installere en
key-logger.".
Jeg svarede på at man ikke "bare lige" kunne smide en lokal proxy på maskinen og overføre 10.000 til sig
selv for hver transaktion brugeren lavede.
Man skal bryde ind i SSL-forbindelsen og emulere banksystemet totalt, hvis brugeren ikke skal opdage
det. Det er noget mere besværligt end at opsnappe et enkelt kodeord og skaffe sig adgang til en nøgle-fil.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Povl H. Pedersen (21-10-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 21-10-02 17:17

In article <3DB32028.138A13F7@image.dk>, Jonathan Stein wrote:
> Jeg svarede på at man ikke "bare lige" kunne smide en lokal proxy på maskinen og overføre 10.000 til sig
> selv for hver transaktion brugeren lavede.
> Man skal bryde ind i SSL-forbindelsen og emulere banksystemet totalt, hvis brugeren ikke skal opdage
> det. Det er noget mere besværligt end at opsnappe et enkelt kodeord og skaffe sig adgang til en nøgle-fil.

Det er trivielt at lave følgende hvis du har kontrol over
maskinen:

1. Smid et hjemmestrikket root certifikat ind i browseren
2. smid www.danskenetbank.dk ned i hosts filen
3. lad din "proxy" for www.danskenetbank.dk sende alt videre, pånær
overførsler, hvor du retter kontonummer og beløb. Fake svar.
Denne har et certifikat som der stoles på jvf. 1.

Du skal ikke simulere ret meget af systemet. Du skal kigge efter
en type request, håndtere et svar (hvor brugeren skal bekræfte),
sende dette svar tilbage til banken, og det er klaret. Du skal ikke
simulere resten.

Det med proxyen er kun hvis du ikke kan indlægge ny root cert.
Ellers kan du udnytte den fejl at IE stoler på alle certs signeret
med vilkårlige andre certs, bare der i kæden er et den tror på
(f.eks. et Thawte cert der siger at din hotmail adresse er valid).


Jonathan Stein (21-10-2002)
Kommentar
Fra : Jonathan Stein


Dato : 21-10-02 17:33

"Povl H. Pedersen" wrote:

> ...
> Du skal ikke simulere ret meget af systemet. Du skal kigge efter
> en type request, håndtere et svar (hvor brugeren skal bekræfte),
> sende dette svar tilbage til banken, og det er klaret. Du skal ikke
> simulere resten.

Så vil det umiddelbart kunne opdages så snart brugeren beder om en oversigt over bevægelser eller kommende
betalinger.
Det forhindrer naturligvis ikke musbruget, men begrænser omfanget.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste