tisdag 9 februari 2010

Artikelkommentarer

Information
Kommentatorn ansvarar själv för sina inlägg. Inlägg som innehåller diskriminerande uttalanden, personliga påhopp eller språk som kan uppfattas som stötande, kommer att tas bort av tjänstgörande redaktör. Även poänglösa datorkrigsinlägg tas bort.
Det finns bättre platser för sånt.
Hjälp oss hålla koll på inläggen!
Ser Du ett inlägg som du tycker borde tas bort, klicka på ikonen till höger vid inlägget.

Anmäl till moderator

Anmält till moderator

RSS Kommentarer till:

Swedbank panikändrar inloggning till nätbank

Sedan två studenter vid Blekinge tekniska högskola har visat upp en framgångsrik attack mot Swedbanks nätbank inför banken en förändrad inloggningsprocedur med kort varsel. Men attackmetoden, som förutsätter dålig lokal säkerhet hos användaren, kan lika gärna användas mot andra banker, betonar studenternas lärare.

Är jag korkad eller..

2007-03-22 12:43

 
Jag förstår faktiskt inte riktigt hur metoden används för att faktiskt stjäla pengar. Visst, användaren luras till en falsk sida och loggar in vilket gör att den presumtiva hackern kan logga in i användarens bank. Men sen då? För att göra en överföring så måste man knappa in kontonummret pengarna ska överföras till samt signera med sin säkerhetsdosa. Hur får de användaren att göra detta och därmed ge dem tillgång till säkerhetskoden som behövs för överföringen?

BobbyEwing

Är jag korkad eller..

2007-03-22 12:44

 
Man kan väl ändra kontot användaren för över pengar till? Kontrollsiffran man ska slå in i dosan är ju bara beloppet, så man borde kunna sätta in den summa användaren vill på det kontot man vill. Dock kommer man ju som bedragare att avslöjas om man sätter in pengar på sitt eget konto...

pokitiry

Är jag korkad eller..

2007-03-22 13:06

 
Det borde väl inte vara sårbart, bara användaren är lite uppmärksam?

För att överföra pengar till ett konto som man inte har upplagt så måste man (väl?) lägga till kontot genom att knappa in (delar av) kontonumret i säkerhetsdosan. Om man bara knappar in de siffror man själv har för kontonumret och inte de som visas på skärmen (vilket bedragarna kan ändra) så borde man väl vara säker. Då stämmer inte kontrollkoden överens med det kontonummer som bedragarna har skickat till banken.

Det Swedbank borde göra är att ta bort raden där det står vilka siffror man ska knappa in i dosan och ersätta denna rad med en instruktion om att det är de x sista siffrorna i kontonumret/summan på formatet x. Jag har för mig att det var så förut, jag har länge tänkt över risken för en man-in-the-middle-attack p.g.a. denna "hjälp".

Magnus Paulsson

Är jag korkad eller..

2007-03-22 13:08

 
Nevermind, nu förstår jag hur de kan komma över koder för godtyckliga siffersträngar med hjälp av inloggningssidan...

Magnus Paulsson

Är jag korkad eller..

2007-03-22 13:12

 
Och så inser jag att jag just har designat en alternativ attack där 9:an inte förhindrar något :) Inte effektiv mot alla, men mot alla som skall överföra till ett nytt konto och inte tänker på vad de matar in i dosan...

Magnus Paulsson

Är jag korkad eller..

2007-03-22 17:23

 
Det här var en riktigt fjantig attack. Hur stora möjligheter har man att göra något seriöst brottsligt bara för man har tillgång till någons bankkonto? Allt som händer i banken är ju spårbart , och om någon börjar föra över stora summor i eller om det börjar likna skumma mönster i transaktionsloggarna så är det bara för banken att stoppa transaktionerna. Det här kan inte bli annat än småstölder om bankens centrala system är ok.

Snackar man företag så kan det givetvis bli lite större stölder, men där bör ju säkerheten vara lite högre också.

Ska man snacka osäkerhet så kan man titta på kreditkorten istället. Där räcker det med att fotostatkopiera någons kort för att man ska kunna sno pengar, och kortet lämnar man ju gladeligen ifrån sig på krogen, restaurangen mm.

pelpet

Är jag korkad eller..

2007-03-22 15:00

 
naturligtvis skickar man inte över de till sitt eget konto, rimligaste metoden är väll att överföra de till en godtycklig presons konto, sedan direkt när de kommit igenom fixa ett falsklegg å plocka ut pengarna, personen som pengarna blir utplocakde från kommer inte att anmäla de eftersom de ser ut som att pengarna bara funnits inne i en timme lr så

Svedde

Är jag korkad eller..

2007-03-22 16:29

 
Varför tror du bankföreningen skickade ut en pressrelease om sk mulor för ett par veckor sedan. Det är naturligtvis så man gör.

Big J

Är jag korkad eller..

2007-03-22 17:24

 
ja lite korkad kanske

reppson

Är jag korkad eller..

2007-03-22 12:49

 
Med tre koder kan du överföra pengarna ifrån ett Swedbank konto, dvs låt bara användaren mata in 3 koder på den falska hemsidan så är du klar.

redep - Jag vill ha tillbaka EDIT funktionen NU!

Är jag korkad eller..

2007-03-22 12:56

 
Skall man vara helt säker så behöver man en ny kontrolldosa som även skickar koder som bankens dator måste svara på. Som det är idag så är det bara banken som är misstänksam mot användaren och därför skickar en kod som skall bekräftas. Men användarna måste också vara misstänksamma mot banken och kräva bekräftelsekoder därifrån.

Christer Olsson

Är jag korkad eller..

2007-03-22 13:14

 
Nu använder jag inte swedbank så ni får ursäkta om jag har dålig koll, men hursomhelst:

Jag antar att de tre koderna är:
1) Logga in - Inga problem för hackaren där
2) Lägga till ett nytt mottagarkonto - Är inte detta ett problem då man väl verifierar kontonumret med dosan?
3) Överföra beloppet - Inga problem så länge man nöjer sig med att överföra samma belopp, eller?

Hur som helst, vore inte en bättre lösning än att lägga på en nia att seeda ett slumptal baserat på serverklockan och göra en modulu på kontonummret/summan för att generera den kod dosan ska svara på? Om man då bara låter koden vara giltig en begränsad tid (30 sekunder) så borde man ju öka säkerheten markant.

BobbyEwing

Är jag korkad eller..

2007-03-22 13:31

 
Det verkar som om idéen är att använda inloggningssidan för att komma åt alla tre koder (eller åtminstone de två första). Därför är 9an ett problem för hackaren. Om koden börjar med en 9 så måste hackarens kontonummer vara sånt att 9 är den första siffran i kontrollnumret (kommer inte ihåg hur det funkar i praktiken att lägga upp nya betalningsmottagare).

pokitiry

Är jag korkad eller..

2007-03-22 14:33

 
Ok, då förstår jag. Om man bygger en realtidslösning så kan man med andra ord komma runt även en slump- och tidsstyrd lösning. Men nian känns ju faktiskt inte som en jättesäker lösning heller.

BobbyEwing

Är jag korkad eller..

2007-03-23 07:23

 
Nian är ju inte mer än att de se skrivit på sin inloggningsida att "inloggningskod börjar alltid med nia" och sett till att alla inloggningsutmaningar börjar med en nia.

Vafan, studenter på någon högskola i all ära, men den här typen av attack har jag eller någon annan alltid lyft fram så fort vi diskuterat banksäkerhet på de här forumen. Under de sista två åren eller så.

Det är självklart att de anpassar sina system nu när de har media på sig. Men det säger ju en del om hur viktig säkerheten är för dem.

_Johan___

Så här gör man

2007-03-22 16:51

 
1) Sätt upp en falsk sida som länkar till orginalsida, förutom inloggningsboxen.

2) Få användaren att gå in på sidan, i detta fall genom att hacka användarens DNS inställningar och returnera en annan adress när användaren skriver swedbank.

Detta görs dock egentligen lättast genom att installera en browserplugin. Då kan du manipulera data som du vill.

3) När kunden loggar in på den falska sidan tar du information (automatiskt) och loggar in. Du skickar "riktig" feedback tillbaka till den falska sidan. Samma sak gör du när kunden skall göra en överföring, du ger kunden den challenge du vill ha men visar ett annat kontonummer för kunden.

4) För över till en "mulas" konto eller något annat konto du har kontroll över.

en attack mot engångskoder görs på samma sätt, men då räcker det att visa felmeddelande ibland så att du samlar på dig ett par koder.

Big J

Är jag korkad eller..

2007-03-22 12:53

 
Håller med.. Kanske har de konstruerat någon sorts transparent hijacker, men isåfall måste bedrägerite ske i realtid. Mycket komplicerat och framförallt riskabelt :P

De får väl hoppas att snubben är rik så de kan göra en stor överföring och sen fly fort som f-n.

oddity

Är jag korkad eller..

2007-03-22 12:59

 
Med lite logik så kan de ju efter de fått första koden kolla om det finns tillräckligt med pengar i annat fall släppa igenom personen till rätt sida.

redep - Jag vill ha tillbaka EDIT funktionen NU!

Är jag korkad eller..

2007-03-22 13:08

 
Realtid är väl inga problem, gör man sig besväret kan man säkert ordna en automatisk agent som springer runt på sidorna när man väl är inloggad och för över pengar.

Sen sker överföringen till en målvakt i Ryssland så kan man ju se sig i månen efter pengarna.

Hippo24

Är jag korkad eller..

2007-03-22 13:57

 
En kosmonaut alltså.

Johan Hult

Är jag korkad eller..

2007-03-22 17:16

 
Det har ju faktiskt redan hänt så det är absolut ingen fantasi.

Big J

Är jag korkad eller..

2007-03-22 17:01

 
FYI så har den här attacken redan genomförts med framgång, dock ännu inte i sverige vad jag vet.

Big J

Klurigt

2007-03-22 12:40

 
Javascriptet hämtar alltså informationen från den riktiga sidan under tiden användaren sitter vid datorn?

Snygg aftonbladet-rubrik annars :)

pokitiry

jaha...

2007-03-22 12:45

 
varför blåser man upp det här som ett specifikt bankproblem eller swedbank-problem till och med när det inte har något som helst med deras system att göra? kan folk kontrollera din router kan de göra precis vad de vill.

downshift.org

jaha...

2007-03-22 12:59

 
För att testet gjordes mot swebank.

randomint

jaha...

2007-03-22 13:22

 
Inte riktigt.

ALlt beror på vilken information som signeras.

Om koden som du knappar in bara motsvarar ett belopp eller är helt skild från informationen så går det.

Men om det nummer du ska knappa in i dosan skapats som en hash på kontonummret du försöker skicka pengar till samt beloppet och kontot du skickar ifrån så skulle koden inte kunna användas alls eftersom en annan överföring inte skulle matcha i bankens system.

Samma sak med inloggningen, om koden där är en hash på datum + användarnamn så kan den koden inte i sig användas för överföringar.

Lägg till att koden användaren ska knappa in är koden från banken + 4 siffror från kontonumret så kommer en "proxy" inte kunna fejka det med mindre än att de har ett konto med samma 4 siffror att skicka till.

Genom att blanda info från banken och användaren i verifikationen blir det mycket svårare att överhuvud taget komma åt något.

David Mårtensson

jaha...

2007-03-22 14:45

 
Jo, men man kan ju faktiskt designa ett program som gör följande:

1) Användaren försöker gå till swedbanks inlogg, men blir omdirigerad till min falska sida. När min applikation upptäcker detta går den till swedbanks inloggningssida.
2) Användaren knappar in sitt personnummer. Detta skickar min app till swedbanks sida och får verifieringskoden tillbaka, varefter jag presenterar den på kundens falska sida.
3) Kunden skriver in koden (som alltså är den som kom från swedbanks riktiga sida) i min falska sida och jag kan logga in.
4) Istället för att släppa in kunden låter jag dock min falska sida säga att koden var felaktig och ber om en ny verifikation. Denna gång ber jag dock att få verifikationskoden för att lägga till mitt konto som betalningsmottagere verifierad (som jag har fått inne i swedbanks system, där jag är inloggad)
5) Med hjälp av denna kod kan jag lägga till mig själv som mottagare och upprepa proceduren för att få koden för att verifiera överföringen.

Med hjälp av denna metod kan jag alltså få samtliga tre koder, oavsett vilken genereringsalgoritm banken använder. Nian som de ska införa är en viss säkerhet (så länge användaren vet att de ska förvänta sig en nia), men för att helt säkra sig mot en liknande attack så måste man införa ett system med kryptering och nycklar.

BobbyEwing

jaha...

2007-03-22 15:16

 
Självklart är det på detta sättet det fungerar. Det är väldigt svårt att få till ett kanonsäkert system som utnyttjar en öppen standard (HTML osv) i länken mellan parterna om en utomstående lyckas knipa själva länken.

För att dra det till ytterligare gränser kan kvantöverföring krävas, dvs läser man av informationsflödet så påverkas även informationen. Man kan tro att det går att dra paralleller till detta sätt, att det då enkelt skulle gå att bryta länken, läsa informationen, kopiera informationen och skicka den igen till avsedd mottagare. Men den insatte vet att det finns en liten tvist som gör att detta är svårare än det låter, praktiskt taget omöjligt.

Glam Casvaluir

jaha...

2007-03-22 17:15

 
Svårt - det händer ju redan.

Flera banker och spelföretag har ju redan drabbats. Vad menar du?

Big J

jaha...

2007-03-23 08:05

 
Jag menar vad jag skrev. Det är svårt att få till ett kanonsäkert system där en utomstående har tillgång till länken mellan parterna.

Det är även svårt att tillämpa liknande teknik på kvantöverföring (vilket skulle vara ett tänkbart kanonsäkert system, även om utomstående får tillgång till länken), praktiskt taget omöjligt.

Vad du menar med "Svårt - det händer ju redan" vet jag inte. Vad menar du?

Glam Casvaluir

jaha...

2007-03-22 22:39

 
Nja, svårt är det ju inte, problemet är ju bara att om man ska göra det helt säkert så måste man göra en icke-portabel lösning, dvs kunden måste installera saker på datorn. Och då finns de ju inte längre någon anledning att använda en web-baserad klient överhuvudtaget.

Kvantkryptering skull ju så klart vara en lösning, om det nu hade varit möjligt att genomföra via internet, vilket det inte är. Att det inte går att avlyssna kvantkryptering oupptäckt är väl inte "en liten tvist" utan hela konceptet: En vågfunktion kollapsar vid observation och du kan endast avläsa ett av de möjliga utfallen, inte hela funktionens tillstånd innan observation. Men för internet kommer det troligen aldrig vara en lösning då det skulle förutsätta en direkt anslutning mellan samtliga datorer som ska kommunicera.

Jens Johansson

jaha...

2007-03-23 08:11

 
Exakt. Du har rätt, det går med ganska enkla system bygga upp ett säkert system, men inte om säkerheten i systemet ska baseras på sifferkoder som skickas till formulär, det är väldigt svårt att få till ett kanonsäkert system som utnyttjar en öppen standard (HTML osv) i länken mellan parterna om en utomstående lyckas knipa själva länken.

Glam Casvaluir

jaha...

2007-03-22 17:35

 
Men då ser man skillnad mot den vanliga inloggningen, om man är uppmärksam. När man anger fel kod på swedbanks inlogning skikar banken samma sifror igen. Ditt förslag förutsetter att man ger användaren nya sifror hela tiden.

Men det är förstos inte säker att man märker det.

mkalling

jaha...

2007-03-22 17:03

 
Inte sant

Om du konrollerar browsern kan du styra över vilken data som visas eller skickas. Du kan visa en sak men skicka en annan och på så sätt kan du få användaren att signera vad du vill.

Big J

jaha...

2007-03-22 22:43

 
Så enkelt är det inte.

Ja, du kan styra vilken data som visas och vilken som skickas, men vill du att användaren ska signera ditt kontonummer så måste du ju oxå visa ditt kontonummer. Visar du något annat så signerar ju användaren detta och koden du får kommmer inte att accepteras av bankens sida.

Rocky Balboa

jaha...

2007-03-23 07:26

 
Ja, för att om får utmaningen "8128 2482" när du loggar in så tänker du självklart på att kolla av den mot listan över nyskapade målvaktskonton som du har liggande bredvid skärmen, och ser att det matchar?

Eller är det kanske så att du bara accepterar det som en slumpmässig utmaningskod som du ska svar på?

_Johan___

Snälla

2007-03-22 12:47

 
Sluta med aftonblad rubriker!

Helt onödigt eftersom ni inte säljer lösnummer såna rubriker bara driver bort folk mer än det lockar. Och om ni läser tidigare kommentarer från andra om era rubriker så kanske det är dags att ändra det.

Kenth

Kenth Fagerlund

DNS ändringen?

2007-03-22 12:45

 
Det jag ställer mig frågande till är om jag istället skulle mata in ip-nummret till swedbanks hemsida skulle detta då kunna uppstå?
För så länge man använder namn så går det alltid att styra bort men frågan är gäller detta även ip-adresser?

skrutten84 - återinför edit funktionen nu

DNS ändringen?

2007-03-22 13:03

 
Självklart går det att i en router styra om även ip-adresser, det är dock lite mer avancerat och troligen inte möjligt att göra i dom allra enklaste hemmaroutrarna med mindre än att flasha dom med en modifierad programvara.

whejl2

DNS ändringen?

2007-03-22 13:31

 
> För så länge man använder namn så går det alltid att styra bort
> men frågan är gäller detta även ip-adresser?

De allra flesta webbservrar idag kör flera sajter (i fallet banker skulle man kunna tänka sig att man har en subdomän för företag och en för privatpersoner). Vilken som väljs beror på vilket domännamn som skickas med host-headern till servern. Har du en sådan lösning kommer servern helt enkelt inte att veta vad den ska göra med dig...

Om man byter ut internetbank.swedbank.se mot 164.10.45.80 när man surfar till dem möts man t.ex av en 404:a och ett intetsägande felmeddelande.

Dessutom är det nog få som skulle vilja sitta och köra IP-nummer istället för namn (och dessutom behöva byta nummer när banken flyttar webbtjänsten till annan server).

fhe

DNS ändringen?

2007-03-22 22:09

 
Men om man lägger in swedbanks ip i sin egen .hostsfil då?

/johan

johano

DNS ändringen?

2007-03-22 23:55

 
Då blir det jobbigt om banken byter av någon anledning.

Daniel Wijk

Varför...

2007-03-22 12:46

 
...gör en fast siffra (9) i början av kontrollkoden det svårare för bedragare?
Kan någon förklara det för mig.

Te Eo

Varför...

2007-03-22 12:59

 
För koden för inloggning ska skilja sig från koden för att föra över pengar.

randomint

Varför...

2007-03-22 12:54

 
För det hela går ut på att man fejkar numret som står där, och är det en nia först så är det svårare att använda tre felaktiga inloggningar på en fejksida för att överföra pengar.

Dock inte mycket svårare, för användaren måste ändå vara uppmärksam om att just den nian saknas.

Kiteloop

Varför...

2007-03-22 13:06

 
Det svåra är väl att få kunderna uppmärsamma

Hippo24

Varför...

2007-03-22 17:05

 
Funkar bara för engångskoder - kontrollerar du browsern kan du göra vad du vill. Du ligger bara i realtid och väntar på att en kund loggar in och då tar du över sessionen (man-in-the-browser). När kunden betalar en räkning eller gör en överföring byter du bara kontonummer.

Big J

Varför...

2007-03-22 13:03

 
Det gör att om användaren bör bli uppmärksam om inloggningskoden inte börjar på 9.

För t.ex Swedbank behöver du komma över 3 koder för att kunna överföra pengar.
1) Inloggningskod
2) Verifieringskod för konto att överföra till
3) Verifieringskod för summan att överföra

Ett sätt är att låta användaren mata in dessa via falsk inloggningssida där varje försök resulterar i ett fel och där man ber användaren försöka igen, men om de nu ändrar så att inloggningskoden alltid skall börja på 9 så blir det direkt tydligt när de andra koderna efterfrågas eftersom de inte kommer att börja på 9.

redep - Jag vill ha tillbaka EDIT funktionen NU!

Varför...

2007-03-22 13:03

 
Så enkelt det kan vara ibland. Synd bara att denna förklaring finns på swedbanks hemsida eftersom det inte bara är jag som fattar långsamt ibland :)

Te Eo

Varför...

2007-03-22 17:33

 
Fel

Om du kontrollerar browsern kan du göra detta i realtid utan att samla felaktiga inloggningar. bara att manipulera in- och utdata.

Big J

Fel?

2007-03-22 21:35

 
Nja, tänkte du inte lite väl snabbt nu?
Om du ska be kunden att verifiera ditt bankkonto-nummer (1234678) så kan du ju inte visa Radiohjälpens PG-nummer (90150-6) eller vart kunden tror att han ska skicka pengar. Att visa 90150-6 och sedan i hemlighet skicka 1234678 funkar ju inte innan man har fått kunden att verifiera 1234678.

Micke Myra

Fel?

2007-03-23 08:33

 
Felet förut var att det inte var någon markant skillnad på siffror kunden skulle knappa in på dosan. Inloggning, överföring och verifiering av ny mottagare var inte speciellt åtskiljaktiga.

Nu skiljer sig inloggningen ifrån de andra två iom att inloggningen alltid ska innehålla en 9:a. (Ett rent fulhack enligt mig, och ingen direkt säkerhetsåtgärd).

Länken mellan kunden och banken är kapad så att kaparen kontrollerar vad kunden ska se i sin browser. Detta gör att kaparen t.ex kan sitta som en vakant repeater under inloggningsfasen, men vid första överföringen, presentera en felaktig inloggning för kunden och be kunden verifiera en ytterligare kod. Vad som i bakgrunden sker är att kaparen med hjälp av kundens 2 verifieringar kan lägga till sitt konto som godkänd mottagare och även föra över pengar till sitt konto.

Glam Casvaluir

Varför...

2007-03-23 09:23

 
Nej, du har fel.

Precis som Micke Myra ovan skriver så kontrollerar du inte användarens säkerhetsdosa och därför behöver du lura av användaren dessa tre koder.

redep - Jag vill ha tillbaka EDIT funktionen NU!

Vad är Blekinge högskola?

2007-03-22 12:47

 
Jag vet att IDG alltid är nogranna med källkoll och korrekturläsning av sina artiklar (eller? :P)

Dock har jag helt för mig att skolan i fråga heter Blekinge TEKNISKA högskola, "BTH".

Men visst IDG ni brukar ju alltid vara så nogranna. (Även om man tycker att det då är konstigt att ni länkar till just BTH.se och inte BH.se :P)

lethe

(Inlägget är borttaget av moderator)

2007-03-22 13:04


Vad är Blekinge högskola?

2007-03-22 22:12

 
"nogranna"...korrekturläsning var det ja...

Aaaarghh

Inga nyheter

2007-03-22 13:15

 
Det här har länge länge varit ett känt problem, och jag har poängterat det i flera kommentarer på IDG.se. Jag har då också föreslagit lösningen att inloggningskoder ska skilja sig från överföringskoder.

Vad härnäst? En artikel om att all din finansiella administrering skyddas bakom en fyrsiffrig kod, om än i en dosa du förhoppningsvis har koll på.

Förlora bankomatkortet+kod och du kan forlora löspengar du har på konton (de flesta har en gräns, t.ex. 10kkr/dag). Förlora dosa+kod och alla lönekonton, sparkonton, fonder och aktier kan flyga iväg på sekunder. Vad jag vet så kan jag inte ta lån på min internetbank, men man kan köra sig i botten på optioner och aktier också om man vill sånt.

Jag upprepar, jag vill att dosan säger "Inloggning" när jag ska godkänna det, och "överföring till konto X" när jag ska godkänna det. Det finns flera sätt att införa detta (kanske inte några färdiga COTS, men det är bara för bankerna att beställa det).

Mats Egentligen

(Inlägget är borttaget av moderator)

2007-03-22 13:22


Inga nyheter

2007-03-22 14:47

 
Jag hoppas de har bättre saker för sig.

Men det är en självklar svaghet, som de troligen känner till. Men innan någon faktiskt visar det live för allmänheten (via aftonbladet denna gång) så är det inte ekonomiskt för banken att öka säkerheten.

Multiply the number of vehicles in the field, A, by the probability of failure, B, times the average out-of-court settlement, C.
A times B, times C equals X. If X is less than the cost of a recall, we don't do one.

Mats Egentligen

Inga nyheter

2007-03-23 09:37

 
Fight Club for the win.

Men faktum är att tvåfaktorautentisering som den typ han föreslår redan finns. PostGirot har kört den väldigt länge.

Dosan har (minst) två lägen; inloggning och signering. I signering matar du datum, en utmaningskod och belopp direkt i dosan. Det gör det i praktiken omöjligt med MIM-attacker. Visserligen kan du ändra kontomottagare men aldrig summan.

_Johan___

Inga nyheter

2007-03-23 10:51

 
Jag sa aldrig att den inte fanns, bara att banker inte kör en lösning som skulle ha högre säkerhet, och en anledning till varför. Detta trots att säkrare lösningar finns.

Mats Egentligen

Inga nyheter

2007-03-22 17:06

 
Det hjälper inte mot man-in-the-browser attacker. Det är ju så alla de senaste attackerna gått till.
Lösningen heter (för närvarande) WPKI.

Big J

Inga nyheter

2007-03-23 08:40

 
Ska vi behöva gå igenom det här igen? Jo, det gör det. Om du med dosan ser "jag vill överföra 100 kr till konto 1234-45-6", och du godkänner detta, och det skickas tillbaka ett godkännande för det. Jo, det hjälper mot ägd browser. Konceptuellt sett så jobbar du ju mot din dosa, som i sin tur har en authentikerad tunnel mot banken (tunneln går över dina fingrar och genom browsern).

Jag kan inte detaljerna om WPKI, men vid en snabb överblick ser det ut som det kräver att man har täckning på mobilen (eller motsvarande) för att kunna använda det. Är ju lite jobbigt.

Mats Egentligen

Inga nyheter

2007-03-23 10:53

 
(wrt täckning så kan jag tillägga att man ibland vill kunna överföra pengar under semester, och inte hela världen har GSM, så det handlar inte om "det finns ju täckning i nästan hela sverige")

Mats Egentligen

Jag sa ju att det var lätt!

2007-03-22 13:25

 
Jag skriv ett antal gånger att det var lika lätt att blåsa Swedbank som nordera men fick massa mothugg här. Hoppas de som trodde att Swedbank var bättre har tänkt om nu. ALLA banker är lika känsliga!

Rickard - http://www.riceri.se

Jag sa ju att det var lätt!

2007-03-22 13:40

 
På vilket sätt har det här bevisats att det är lika enkelt att blåsa Swedbank som Nordea?

Jag tycker att hela problemet låter som ett fantasi problem. Enligt BTH's egen sida så kan det bara uppstå om användaren uppfyller en hel radda kriterier. De flesta användare uppfyller inte dessa kriterier.

Nordea bluffen funkade i princip emot vem som helst som var dum nog att gå på breven.

Spyfrog

Jag sa ju att det var lätt!

2007-03-22 13:48

 
Det räcker med arp-poisoning för att det ska fungera.

För övrigt är det väldigt många som int byter default-lösenord på sina routrar, det vet jag av erfarenhet.

randomint

Jag sa ju att det var lätt!

2007-03-22 14:17

 
De flesta har väl inte ens routrar hemma?

Spyfrog

Jag sa ju att det var lätt!

2007-03-22 14:57

 
"De flesta har väl inte ens routrar hemma? "
Ingår i många abbonemang. För t.ex IP-telefoni är de ofta kombinerade modem/adsl-modem som styrs "utifrån". Men jag antar att operatörerna har bytt ut standardinställningarna och spärrat fjärstyrningstrafik till sina egna prylar. Men vem vet...

MH2

Jag sa ju att det var lätt!

2007-03-22 17:07

 
Router behövs inte - det räcker om du kan installera en browserplugin. Lägg den som ett browserobject på en sida som du får kunden att besöka.

Det räcker också om du kan komma åt t.ex Hostfilen eller använda datorns DNS inställningar. Drömmen är såklart att hacka en operatös DNS-server eller liknande.

Big J

Jag sa ju att det var lätt!

2007-03-22 16:11

 
Min router, som kom med Telia-abb, hade visserligen standardlösenord. Men den var default inställd på att inte släppa på inloggningar utifrån (WAN / DSL / Internet).

Å andra sidan släpper den på inloggningar från WLAN, så när man väl har slagit på det så. Slår man på WLAN utan att ha ändrat lösenord kan man exponera sig. Men då begränsas hackern till att försöka sno från grannarna :-)

grodgrodan

Jag sa ju att det var lätt!

2007-03-22 19:55

 
Fast dom kan gå via din dator (mha en sida med ett javascript) och därmed logga på innifrån ditt LAN. Där har dom tillgång till alla dina routerinställningar så länge du inte bytt lösen till routern.

Daniel Wijk

Jag sa ju att det var lätt!

2007-03-22 17:17

 
Du vet inte vad du talar om - det var ingen phising attack utan en man-in-the-browser attack.

Big J

Jag sa ju att det var lätt!

2007-03-22 13:40

 
Är det verkligen så att alla banker är lika känsliga? Går detta att göra med Skandiabanken t.ex.? De har krypterad överföring med cerifikat som måste laddas ner i förväg och godkännas. Då går det väl inte att gå in i mitten eller? För går man till en annan sida så får man inte upp certifikatsidan och att det är en krypterad överföring. Men visst, de kan ha andra problem.

Med Swedbank så är det tydligt när man för över pengar att sifforna står för beloppet och borde oftast börja med 0 or om det inte är riktigt stora belopp som man kanske inte alltid har på kontot. Att då inloggningen alltid börjar på en 9:a och registreringen av kontonummer börjar på en annan siffra skulle räcka rätt långt om det blir allmänt känt och inarbetat, kanske att alla banker med dosa kör samma system. Men så fort en endaste person missar detta eller får information att det ändrats, kanske via fejkad hemsida så gäller det inte längre!

@dy

Jag sa ju att det var lätt!

2007-03-22 14:48

 
Nej nycklad kryptering är det enda sättet att helt säkra sig mot detta. Så Skandiabanken borde vara säkrare.

BobbyEwing

Jag sa ju att det var lätt!

2007-03-22 17:34

 
Det ensa dmo hjälper är att använda två olika kanaler, t.ex. mobilen och datorn.
Om du måste godkänna betalningen i mobilen kan inte en trojan manipulera varken frågan eller svaret. Om du har kontroll över browsern kan du nämligen göra i stort sett vad du vill.

Big J

Jag sa ju att det var lätt!

2007-03-22 22:51

 
Nu har de ju inte kontroll över någon del av användarens dator utan bara dennes router och kan därmed styra vart anropen tar vägen. Om trafiken var krypterad med en public/private key lösning så skulle hackarna antingen vara tvugna att ha tillgång till bankens privata nyckel för att kunna lyckas med sin attack, eller fånga överföringen av den publika nyckeln, vidarebefordra en annan och sedan kryptera sina falska svar med motsvarande privat nyckel.. vilket försvåras om nyckeln är certifierad. På det hela taget skulle det göra hela attacken mycket svårare att genomföra med lyckat resultat.

Jens Johansson

Jag sa ju att det var lätt!

2007-03-22 23:29

 
Och då kan man ju undra hur säkert ditt 'i förväg nedladdade certifikat' är på din dator. En browserplugin/javaapplet är kanske lättare att få dig att ladda hem än ett snyggt paketerat bot-verktyg men det finns många botnet och många medlemmar i dessa? Några kan vara kunder på Skandiabanken. Den som äger botnet'et äger din dator, dvs ditt certifikat ligger risigt till, och pinkoden likaså vilket innebär att du inte har några pengar kvar...
PKI med mjuka certifikat är inte heller bra om inte miljön där ditt mjuka certifikat ligger är säker.
Jag vill säga hårda certifikat, men det är inte heller säkert att det är helt säker...

Martin Johnson

Jag sa ju att det var lätt!

2007-03-23 09:41

 
Å andra sidan, tar man över routern (med javascript) och får den att ladda ner en ny firmware så har den antagligen en lokal adress (och hamnar - i alla fall i IE - i en trusted zone), och då är det lätt att få IE att installera ActiveX-komponenter som du sen kan använda för att göra antingen en MIB-attack eller bara ladda ner någon annan payload på datorn.

Så den lokala miljön är inte säker (som du spekulerar), därmed (som du också säger) är inte det mjuka certet heller säkert.

_Johan___

MIM attack

2007-03-22 13:37

 
Alltså, detta är ju inget nytt fenomen. En 12- åring hade klarat det, att banken nu "panik ändrar" är bara löjligt. Vad ska de PANIK ändra för att förebygga det?

MIM är en av de mest glasklara attacker som fungerar och något av det första man 'försöker' förebygga gällande känslig elektronisk överföring!

Speciellt om de har gått igenom vilka hot och risker det finns INNAN de ens påbörjar en online- bank. De måste väl ha stött på detta tidigare? iallafall måste de ha säkerhets- tekniker som flaggat för att MIM- attack är möjlig redan vid projektet/processens start?

Löjligt, gammalt och borde ha åtgärdats för längesen.

Acdgn

MIM attack

2007-03-23 08:43

 
Det här är datorvärldens Aftonbladet/Expressen. Det är klart det handlar om att "panik-chock-ändra vilt". Kunderna rasar säkert också.

Mats Egentligen

NYTT SCOOP IDG!!!!!!!!

2007-03-22 13:40

 
Det är ju bara att installera en keylogger på måldatorn. När sedan någon loggar in på Swedbank med sin personliga kod snappar man snabbt upp denna och kan gå vidare till att logga in på tjänsten E-kort (vilket inte kräver dosan för att komma åt) vilket gör att man kan generera VISA-kort-nummer och handla för.

Denna metod är dessutom säkrare då man inte behöver utföra attacken i realtid utan kan vänta i lugn och ro till lämpligt tillfälle.

Det tragiska är hur extremt enkelt detta är och ändå har ingen tidning, inte ens IDG, sett till att uppmärksamma detta!

NYTT SCOOP IDG! SÄTT SVIDBANKEN PÅ PLATS NU!!!!!!!!

Mats Egentligen

NYTT SCOOP IDG!!!!!!!!

2007-03-22 14:10

 
"Denna metod är dessutom säkrare då man inte behöver utföra attacken i realtid utan kan vänta i lugn och ro till lämpligt tillfälle."

Du måste väl ändå i viss mån utföra attacken i realtid - den "personliga koden" från dosan gäller ju inte i all evighet? Du måste alltså ändå se till att gå vidare till tjänsten e-kort just när användaren loggat in och inte hunnit avsluta sessionen. Men visst, det låter inte speciellt svårt.

7Bong13

NYTT SCOOP IDG!!!!!!!!

2007-03-22 14:17

 
Till e-kort används bara den personliga koden, inte dosan.

Dessutom gäller tyvärr koden från dosan "för alltid", dock inte koden från banken man använder som challenge.

Anders N

NYTT SCOOP IDG!!!!!!!!

2007-03-22 14:18

 
E-korts tjänsten har inget med dosan att göra.
Du har en evighetskod där som du sätter själv i internetbanken.

Spyfrog

NYTT SCOOP IDG!!!!!!!!

2007-03-22 14:29

 
Den personliga koden är bara ett vanligt lösenord.

Mats Egentligen

NYTT SCOOP IDG!!!!!!!!

2007-03-22 14:35

 
Ok, då hänger jag med - man väljer ett personligt lösenord för e-kortstjänsten efter att man loggat in på internetbanken? Jag har själv Swedbank och kommer ihåg att jag ryggade tillbaka kraftigt när jag var på väg att prova denna tjänst - måste ha varit av denna anledning.

Dock så måste ju kunden ifråga ha nyttjat denna tjänst, annars så finns det ju inget lösenord.

7Bong13

NYTT SCOOP IDG!!!!!!!!

2007-03-22 14:45

 
Du väljer ett personligt lösenord för att logga in på internetbanken, samma lösenord används sedan för skapa ekort. Men visst, du måste nog ha aktiverat tjänsten först.

Mats Egentligen

NYTT SCOOP IDG!!!!!!!!

2007-03-22 14:49

 
Måste vara så - jag har då inget lösenord annat än dosan, och det skulle inte falla mig att logga in på annat sätt heller.

Håller med dig - helt oförståeligt att man kan sätta upp en tjänst med dessa inloggningskriterier.

7Bong13

NYTT SCOOP IDG!!!!!!!!

2007-03-22 21:46

 
Hittar inte funktionen att skapa e-kort när jag loggar in med koden. Hur ska man klicka sig fram?

pokitiry

NYTT SCOOP IDG!!!!!!!!

2007-03-23 09:42

 
swedbank.se -> internettjänster -> ekort

Men den har legat nere ett tag.

_Johan___

NYTT SCOOP IDG!!!!!!!!

2007-03-22 16:33

 
jag har varit på Swedbank om denna lucka i deras annars, enligt mig, säkra system. De borde ha en helt annan personlig kod för e-kort som är skilt från bankinloggningens persoliga kod. Och det hade känts tryggare ifall jag haft möjlighet att välja koder längre än 6 tecken.

Annars tycker jag att det är säkert nog med att ha koder, de jag ska knappa in i dosan, kopplade till konto och summa. Ännu bättre nu då jag kan identifiera inloggningskod med en 9a. För _jag_ hade reagerat på att jag får konstiga koder vid inloggningen och att efter två "felaktiga" inloggningar hade jag börjat fatta misstankar.

riptide

NYTT SCOOP IDG!!!!!!!!

2007-03-23 09:47

 
Jag håller med Mats till fullo.
Jag har försökt påtala samma sak för Swedbank vid tre tillfällen, men det har fortfarande inte hänt ngt. De tycker att "säkerheten är tillräckligt hög".

mr_mason

swedbank panikändrar

2007-03-22 14:23

 
Det uppenbara felet med bankernas lösning är att man som kund inte vet att man är uppkopplad mot rätt sida. USA-företaget COMODO (har en bra gratis firewall!) har skapat en signatur av bankens ip-adress+namn + lite annat så att kunden vet att det är rätt site man är uppkopplad mot. Sedan har man skapat ett e-id för användaren som gör att banken vet att det är rätt person som är uppkopplad. Skyddar då mot "man in the middle" attack.

claseng

swedbank panikändrar

2007-03-22 14:52

 
I teorin vet du att swedbank har "svettbanken.se" och de har ett certifikat från verisign. Så länge din dator inte är trojanerad och du faktiskt kollar att du är inne på svettbanken.se som har cert från verisign så stoppar det mitm, och du vet att det är banken du kör mot.

I praktiken kollar du inte, eller luras in på "nya-svettbanken.se" som är elakingar som köpt cert från verisign.

Mats Egentligen

swedbank panikändrar

2007-03-22 17:09

 
Hjälper inte heller med man-in-the-browser attacker.... läs på.

Big J

Fungerar även utan router...

2007-03-22 14:39

 
Man kan t.ex.:
- lägga in namnen på bankens servrar i den lokala hosts-filen, kan fixas genom virus eller trojan
- installera ett namnuppslagningsfilter i windows som gör sina egna övrsättningar mellan namn och IP-adress, kan göras genom virus eller trojan
- installera en webb-proxy i windows, kan göras med virus eller trojan

Förresten så fixar fixen från Swedbank bara den enklaste varianten av m-i-m attack. Om webb-sidan (eller lokal webb-proxy) istället skulle ha lite intelligens så att den parsade syntaxen på webbsidan och bara bytte ut rätt siffror till fel siffror, så skulle man inte kunna lösa detta annat än genom att blanda information från webb-sidan och från slutanvändaren.

Jag tyckte att förslagen med att ta några siffror ur kontonumret eller bank-/plus-gironumret och verifiera dessa som en del är en lysande förstärkning av säkerheten på ett sätt, men då blir fler siffror kända och hashalgoritmen blir då lättare att knäcka istället...

pac-man

Fungerar även utan router...

2007-03-22 15:21

 
Fast vem som helst kan ju förhoppningsvis inte bara ändra i den lokala hosts-filen. Svagheten här var ju dels default-lösenord.

Hippo24

Fungerar även utan router...

2007-03-22 15:21

 
Å andra sidan, kan man ändra default lösenord i routern så kanske man kan lätt ta över datorn med en trojan eller annat :/

Hippo24

Fungerar även utan router...

2007-03-22 15:29

 
Som jag ser det är faktiskt risken större för att användaren är dåligt virusskyddad och/eller klickar på olämpliga filer än att routern är öppen för access från utsidan med defaultlösenord (en router tillåter normalt sett inte extern access till den interna konfigurationen utan att man explicit tillåtit detta i konfigurationen).

pac-man

Fungerar även utan router...

2007-03-22 16:15

 
Tyvärr levererar en del operatörer modemen öppna utåt med ett "eget" lösenord, för att underlätta support. Dessa lösenord har en tendens att läcka ut.

Det andra problemet är access via WLAN.

grodgrodan

Fungerar även utan router...

2007-03-22 17:14

 
Du behvöer inte ens gå via DNS. Kan du installera något på kudens dator så är kunden rökt, oavsett hur du gör det.

Kan du styra datorn kan du själv påverka vad som visas och skickas och ändra som du vill. Gamer over.

Du kan ju också lura kunden att gå till fel sida, även om givetvis ett DNS hack är snyggare.

//J

Big J

Låter komplicerat

2007-03-22 14:47

 
Har inte Swedbank så jag är ju inte säker på hur deras site ser ut men om man tror att man loggar in på deras site men i själva verket hamnar hos någon annan så kan man väl inte se t.ex. vad ens eget saldon är? Vilka konton man har? Etc, etc. Hur kan man då tro att det är en riktig sida?

Eller har bedragaren ett sätt att styra dig till sin sida men samtidigt släppa igenom viss info (t.ex. kontonummer, saldo etc) från den riktiga sidan?

jpb

Låter komplicerat

2007-03-22 15:01

 
Ja, se kommentarer ovan. Det är vitsen med en "medlarattack" (yack, den försvenskningen sög)

MH2

Varför attackerades Swedbank?

2007-03-22 15:26

 
Det känns lite onödigt att man valde Swedbank som måltavla för detta hack. Swedbank har ju trots allt den säkraste lösningen av de svenska bankerna, övriga bankers säkerhet är (i varierande grad) sämre.

SpamGod

Varför attackerades Swedbank?

2007-03-22 15:28

 
Kanske för att Swedbank är den största banken bland privatpersoner?

lethe

Varför attackerades Swedbank?

2007-03-22 15:42

 
Varför är det onödigt att man visar att även den "säkraste" banken kan attackeras? Det är väl jättebra att sådana som t.ex. du inte invaggas i falsk trygghet?

Adobe Reader

Varför attackerades Swedbank?

2007-03-22 16:06

 
Bra kommentar, ligger mycket i det.

Tyvärr är det bara så att allmänheten kanske tolkar det annorlunda och byter till en bank med (ännu) lägre säkerhet.

SpamGod

Cert

2007-03-22 15:50

 
Jag är inte heller med på vad de gör. Hur har de brutit
cerifikatkedjan?

Megla

Cert

2007-03-22 17:10

 
Som på alla sätt, genom att lägga sig mellan kunden och banken redan innan sessionen startas. Du har ett cert mot en falsk sida, den falska sidan har en session mot banken.

Tar hackaren över browsern behövs inte det, då kan du manipulera in/utdata som du vill.

Big J

Cert

2007-03-22 19:09

 
Visst, men siten måste i så fall ha ett cert signerad av microsoft, veritas eller liknande.

Megla

Cross website javascript

2007-03-22 16:06

 
Nu var det ett tag sedan jag hackade javascript i någon större omfattning, men:
Är inte default i alla webläsare att cross-site javascript inte är tillåtet? Alltså att du inte får ha javascript som skickar information mellan sidor med olika serverursprung?

PeterHalvarsson

Cross website javascript

2007-03-22 17:11

 
Vad hjälper det om den som attackerar kan kontrollera din browser. Allt ser ju ut som legitim trafik mellan två platser, ingen man-in-the-middle utan man-in-the-browser.

Big J

Router

2007-03-22 16:06

 
Tur att man har en knepig router (något indiskt märke) som man inte kan ändra dns inställningar i själv, den verkar hämta det från operatören.

Asien

jag...

2007-03-22 16:41

 
...råkade ut för att nåra ryssar hackade så jag fick en falsk Eniro. Jag var i en annan stad och fick således en falsk adress till det lokala bankkontoret. Glatt kollade jag på Eniro-kartan och gick dit. Middlebanken låg på baksidan av riktiga banken och falsk personalen klädde ut sig till mig och sprang över med mitt legg etc.

Det hela avslöjades dock av att tjuvarna räknade med att det skulle kunna komma "lokala" kunder och därför hade de en "look-a-like" kassadam. Det dumma var att de lät "look-a-like" tanten springa över till riktiga banken och tanten där blev misstänksam när det kom en dam som var väldigt lik kassörskan själv, men utklädd till mig .....

bjucke

jag...

2007-03-23 09:04

 
Jag råkade hamna i en bluff-stad. Ryssar hade ändrat en vägskylt så jag kom till en identisk kopia av Hyltebruk. Väl där levde jag mitt liv som vanligt, trodde jag, men jobbade ovetandes för ryska maffian i 27 år.

Lite försmädligt att gått på nåt sånt, när man tänker tillbaka på det så här efteråt.

Hippo24

och...

2007-03-22 16:42

 
jag hade ändå försökt skydda mig genom att klä ut mig själv till indier ...

bjucke

Bra!

2007-03-22 16:55

 
Eloge till Swedbank som tar hoten på allvar och inte sopar problemen under mattan (som Nordea). Istället löser de problemen snabbt och smidigt och visar återigen varför de förtjänar att ta hand om mina pengar (inte så mycket men ändå...)

Vaket Swedbank!

Mr. Milton

Största bankkuppen i historien skulle bli möjlig

2007-03-22 16:57

 
... Om någon hackade root-servarna ute på internet. Eller varför inte bara nic-se? Då får du 100% kontroll över alla bankerna i Sverige och kan göra i princip vad som helst. Kunderna har ingen möjlighet att upptäcka felet så länge som din sida är bra gjord. Jag menar, hur många sitter och kontrollerar vilket IP nummer som ett visst hostname har? Inte jag iaf!

Och även om de nu skulle funka så går det ju alltid att hacka den internetleverantören som användaren sitter på..

Vet det är extrema grejer jag säger men vill man göra stösta bankkuppen i Sveriges historia så... Å om någon skulle göra de.. snacka om att gräpa ur folks förtroende för Internet's säkerhet !

Mr.KQ

Största bankkuppen i historien skulle bli möjlig

2007-03-22 17:12

 
Oceans 13?

Big J

Största bankkuppen i historien skulle bli möjlig

2007-03-23 07:01

 
Varför bry sig om att försöka hacka DNS-rötterna bara för en sån grej? Det verkar betydligt rimligare att ge sig på de auktoritära servrarna för bankens egen domän istället...

Sen finns det ju en nackdel med ditt lilla förslag. När det upptäcks så syns det ju vilket IP som står bakom attacken. Studenternas förslag är svårare att spåra tillbaka till attackeraren. För man vill väl inte åka fast?

Jonne L.

Största bankkuppen i historien skulle bli möjlig

2007-03-26 10:58

 
IP adressen går till en hackad dator på en bredbandsförbindelse som har tillräckligt med drag i nätet. Typ universitetsdator eller liknande. Självklart så vill man ju inte åka fast. Därför styra man alla hacks via ett anonymt 3G kort också =)

Mr.KQ

Största bankkuppen i historien skulle bli möjlig

2007-03-23 08:48

 
I teorin så ska du kolla att allt går över https, och du får ju varning om du går in på en https-sida som inte är signerad av en CA du har pubkey på inlagd i browser.

Så när du går in på https://www.svettbanken.se och den är signerad av Verisign (eller annan du har i browsern), då spelar det ingen roll vilken IP det handlar om, du kan inte MITM:a den utan att göra någon av dessa:
1) trojanera datorn/browsern
2) fixa falskt cert från verisign i svettbankens namn
3) hacka svettbankens servrar
4) lyckas få tag i svettbankens privata SSL-nyckel

Mats Egentligen

Största bankkuppen i historien skulle bli möjlig

2007-03-26 11:00

 
Du har en poäng. Jag tänkte faktiskt inte på detta. Hmm, men ok. Jag tror dock att en större del av besökarna som loggar in på Internetbanken, oavsett bank, gå in på http och inte https det första de gör och först där klickar de på logga in knappen.

Om den sidan nu är http eller https tänker nog inte så många på. Och det räcker ju med att ett par hundratusen gör fel så har du fått ett par extra 000.000.000 på ditt konto.

Mr.KQ

Bankernas dåliga säkerhet är ingenting...

2007-03-22 22:35

 
...om man jämför med nätmäklarnas. Där är det också betydligt enklare att komma undan med bedrägerier eftersom en kund kan indirekt tjäna på andra kunders agerande. Du kan till exempel göra som stormäklarna gör och spekulera i vart stop-lossen ligger för ett visst papper och du kan till "garantera" dina optioner och warranter osv

F D

Middleman

2007-03-23 02:06

 
Sålänge en sida i mitten kan utföra allt användaren kan utföra så kan den alltid presentera användaren men korrekt info blandad med falsk och således utföra allt som användaren kan, lägga till nya mottagare och skicka pengar osv..
Man kanske skulle titta på spam bekämpningen lite, kanske dags att banken lägger till bilder med bokstäver och siffror i som användaren måste mata in vid inloggning eller liknande, script brukar ju ha svårt att läsa dessa.

/Beggar Su

Middleman

2007-03-23 07:03

 
Borde inte SSL-kryptering fixa detta? En sida i mitten borde inte ens få tillgång till den information som utbyts om allt är krypterat med nycklar som bara ändpunkterna känner till.

I detta fall handlar det ju om att man blir omdirigerad till en annan sida. Hur de fixar SSL-biten vet jag inte, någon form av självutfärdat certifikat eller ingen kryptering alls?

Jonne L.

Kanske en skiva MED programkod PÅ

2007-03-29 16:38

 
"All programkod som använts i attacken är förstörd förutom en krypterad cd som bankerna ska få ta del av."

Ja, för en cd är ju programkod...

T2

OBS! Denna artikel är mer än 60 dygn gammal och är därför stängd för vidare debatt.

Fler nyheter från TechWorld

2010-02-09 07:00 - TechWorld Säkerhet:

Nätfiskare lurar till sig utsläppsrätter för 30 miljoner

Ett utstuderat nätbedrägeri har lyckats lura minst sju företag på certifikat för koldioxidutsläpp motsvarande över 30 miljoner kronor.

LÄS MER
Google betalar för attacker mot Chrome
Skräppost bekämpas med eget vapen
Bank stämmer offer för cyberstöld

2010-02-08 15:42 - TechWorld Säkerhet:

Brandväggen som tar en halv dag att installera

TEST Netasq U120 är en utm-brandvägg som rubbar våra cirklar med en del ­udda lösningar, men som även bjuder på en av de värsta installationer vi har varit med om.

(4 kommentarer)

2010-02-08 07:00 - TechWorld Säkerhet:

Forskare stoppar elak mask utan driftstörning

Säkerhetsforskare har utvecklat en lösning som stoppar spridningen av elaka datormaskar utan att de infekterade datorerna behöver tas offline.

2010-02-05 18:40 - TechWorld Säkerhet:

Gör Googlemobilen till inloggningsdosa

Svenska Nordic Edge har tagit fram en applikation som gör att Google Nexus One kan användas som inloggningsdosa på exempelvis nätverket eller internetbanken.

(2 kommentarer)

2010-02-05 07:00 - TechWorld Säkerhet:

Nolldagarssårbarheter i Oracles databas

En säkerhetsforskare har nyligen demonstrerat hur säkerheten i databasen Oracle 11g kan kringgås för att få godtyckliga användarrättigheter.

2010-02-05 05:57 - TechWorld Säkerhet:

Verktyg knäcker lösenordet till Iphonebackupen

I och med Itunes 8.2 och Iphone os 3.0 är det möjligt att spara en krypterad backup av sin Iphone på datorn. Nu har ett verktyg kommit ut som attackerar krypteringen.

(4 kommentarer)

2010-02-04 07:00 - TechWorld Säkerhet:

Securesphere stärker greppet om databasen

Imperva uppgraderar sin säkerhetsvit för databaser med utökade funktioner för hantering av användarrättigheter.

2010-02-03 07:00 - TechWorld Säkerhet:

Bantad brandvägg för det lilla företaget

Netgear lanserar en nedskalad multifunktionsbrandvägg med prestanda och prislapp anpassad för mindre verksamheter.

2010-02-02 19:22 - TechWorld Säkerhet:

Google betalar för attacker mot Chrome

Upp till 10 000 kronor kan den som hittar en allvarlig sårbarhet i Chrome inkassera.

(4 kommentarer)

2010-02-02 07:00 - TechWorld Säkerhet:

Modern infrastruktur sårbar för cyberattacker

Ett it-säkerhetsföretag varnar för hur dagens it-infrastrukturer i första hand byggts för tillförlitlighet, inte säkerhet.

(1 kommentar)

2010-02-01 07:00 - TechWorld Säkerhet:

Hundratals sajter offer för märklig attack

Ett stort antal webbsajter är utsatta för en utdragen överbelastningsattack som förbryllar säkerhetsforskare.

(1 kommentar)

2010-01-29 07:00 - TechWorld Säkerhet:

Försvarshemligheter på vift via Twitter

Det brittiska försvarsministeriet erkänner att känslig information läckt ut vid 16 tillfällen på mindre än två år via Twitter och Facebook.

ÖPPEN DÖRR| 2010-01-28 14:06 - TechWorld OpenSource:

Bakdörr hittad i öppen mjukvara

Innehållshanteringssystemet e107 som är öppen källkod innehåller en bakdörr som kan ge vem som helst administrativa rättigheter.

(9 kommentarer)

Fler nyheter | Nyhetsarkivet

Brandväggen som tar en halv dag att installera


Netasq U120 är en utm-brandvägg som rubbar våra cirklar med en del ?udda lösningar, men som även bjuder på en av de värsta installationer vi har varit med om.

Redaktionen rekommenderar

Kidnappde filer

Program låser upp dokument mot en lösensumma.

Stulna lösenord analyseras

Stort dataintrång visar svaga lösenord

Spamstopp!

Så enkelt stoppas all världens spam.

Nytt tungt bakslag för IE

Många sårbarheter funna i webbläsaren.

Billiga kreditkort

Så mycket är kreditkortet värt på svarta marknaden

Vän med anka?

Många tackade ja till facebookprofil med bild på plastanka

Google-chefer riskerar fängelse

Olagligt filmklipp på videotjänst anmält

Ger botnät en läxa

Så bekämpas botnät

Ladda ner

TechWorld och Cryptzone bjuder på säkerhetspaket

Säkra upp och kryptera din e-post, filer och usb-minnen med SEP-klienten. Ladda ner kostnadsfritt här.

Redaktionen rekommenderar

Billiga kreditkort

Så mycket är kreditkortet värt på svarta marknaden

Vän med anka?

Många tackade ja till facebookprofil med bild på plastanka

Google-chefer riskerar fängelse

Olagligt filmklipp på videotjänst anmält

Ger botnät en läxa

Så bekämpas botnät

Nyhetsbrev

Få de bästa teknikartiklarna
- i din e-post varje vecka


Veckobrevet
Säkerhet
Öppen källkod
Testbrevet
Windowsbrevet

Ute nu

TechWorld 1 ute nu!
Omslag TechWorld 1-2010

» Stor special: Allt om molnet
  • Så fungerar tekniken bakom
  • Så (o)säkra är tjänsterna i molnet
  • Standarderna som löser molnflytten
» De 12 värsta trojanerna -  och hur du skyddar dig
» Stor guide: 16 skarpa 23- och 24-tumsskärmar för kontoret

Tipsa oss

Tipsa oss - bli publicerad!

Ett riktigt bra tips kan räcka långt. Så långt att det både resulterar i en artikel på webben och i den tryckta tidningen!

Senaste nytt


Mest läst

  1. 2010-02-09 07:00 - TechWorld Säkerhet:
     Nätfiskare lurar till sig utsläppsrätter för 30 miljoner
  2. 2010-02-08 15:42 - TechWorld Säkerhet:
     Brandväggen som tar en halv dag att installera
  3. 2010-02-02 19:22 - TechWorld Säkerhet:
     Google betalar för attacker mot Chrome
  4. 2010-02-05 18:40 - TechWorld Säkerhet:
     Gör Googlemobilen till inloggningsdosa
  5. 2010-02-08 07:00 - TechWorld Säkerhet:
     Forskare stoppar elak mask utan driftstörning
Nytt jobb från CSjobb!
Visa alla jobb

Senaste whitepapers

Senaste guiderna

RSS:Prenumerera på våra guider

Senaste reportage

RSS:Prenumerera på våra reportage

Aktuella seminarier

Nytt i PDF-shopen

Kundcase från företag

Pressmeddelanden från företag

Prenumerera på nyheter
● Senaste nyheterna
● Senaste reportagen
● Senaste testerna
● Senaste guiderna



adtech
Nyhetsbrev
Få de bästa teknikartiklarna - i din e-post varje vecka. Läs mer här.

Veckobrevet
Säkerhet
Öppen källkod
Testbrevet
Windowsbrevet
Har du synpunkter på sajten?


Adress: Karlbergsv. 77 106 78 Stockholm (Karta)
Telefon: 08-453 60 00

Copyright © 1996-2010 International Data Group