Gå til innhold

- BankID for dårlig sikret

abene

Av abene
i Diskuter dataartikler (Tek.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
audunr

audunr

Skrevet
Skrevet

Så det dei har gjort er å lage ei falsk side som samlar inn innloggingsinformasjon, og kan hente inn fleire eingongskodar, slik at ein kan få utført transaksjonar i nettbanken med den innsamla informasjonen.

 

I Skandiabanken treng ein eingongskode for å opprette personleg sertifikat, og så ein for kvar innlogging. Dei kan sende koden per sms, men om ein brukar kodekortet så skal det vere mogeleg å hamstre slike kodar.

 

Spørsmålet er vel om det har noko å seie kva for kode ein skriv inn. Dersom systemet forventar å motta ein spesiell kode, så nyttar det ikkje å kome med ein tilfeldig generert ein.

 

Om ein skal bruke dette til noko, så må ein nok sitte klar og vente på at nokon går i fella, for så å bruke informasjonen med ein gong.

 

MVH Audun

Lenke til kommentar
idos

idos

Skrevet
Skrevet (endret)

Søprsmålet er vel om bankID er usikkert i seg selv ( feil eller svakheter i koden) eller fordi kundene ikke vet at de ALDRI skal gå inn på nettbanken fra e-poster ....

 

Dersom det siste er tilfelle blir vel dette som å si.. bilene er usikre dersom du gir tnøkkelen til tyven...

 

Hvordan fungerer man in the middle.. ??

 

kundes bank id -----> tyv ; sender bankID for å logge seg på.

kundes bank id ------> tyv ; feilmelding -> ber kunden prøve igjen;

tyv's tilegnede bankID ---> bank : logger seg på, starter en transaksjon ->kommer til verifisering av transaksjon

tyv's tilegnede bankID ---> bank : verifiserer med sikkerhetskode nr 2 .

tyv = rik og kunde = fattig..

 

 

Dersom dette stemmer:

 

Hvordan kan en sikre seg mot dumme kunder?

 

Kan en ha en knapp for pålogging som nå.. og en stor RØD knapp for verifisering ? som genererer etter en annen algoritme ? Dette ville i allefall gjøre man in the middel MYE vanskeligere da kunden ikke vil finne informasjon om seg og sine konti inne på fake-siden

Endret av idos
Lenke til kommentar
bIsk0p

bIsk0p

Skrevet
Skrevet

Jeg vil nå si at dette ikke akkuratt er et sikkerhets problem. Det er vel heller sjeldent at noen følger en lenke de får per e-post for å så betale noe...

 

Denne metoden går jo ut i fra at folk er komplette idioter, noe jeg mener at de som faktisk bruker nettbank IKKE er.. De som har såpass lite peiling på internett og dens farer bruker ikke nettbank, men tar heller turen til banken for å overføre penger. Dessuten, de kodene kode-kortet lager, varer jo bare noen få minutter. i Fokus Bank trenger mann personnummer, kode fra kodekort + personlig kode. For å godkjenne betaling trenger man videre bare personlig kode. Personnummer og personlig kode er jo noe som ikke blir byttet så ofte. Så må sitte og følge med for å kunne utnytte dette noe særlig..

Lenke til kommentar
jevel

jevel

Skrevet
Skrevet

Dette blir bare for dumt.

 

Du kan ikke beskylde et system for å værefor usikkert hvis det er kunden selv som gir fra seg innloggingsinformasjonen.

 

Enn hvis noen bryter seg inn hos brukeren og truer denne med en hagle til å gi fra seg informasjonen? Er det fortsatt BankID som er for usikkert?

 

-KJ

Lenke til kommentar
CrZy_T

CrZy_T

Skrevet
Skrevet
Jeg vil nå si at dette ikke akkuratt er et sikkerhets problem. Det er vel heller sjeldent at noen følger en lenke de får per e-post for å så betale noe...

 

Nei, men det er ofte du får noe sånt som "din konto har blitt hacket, vennligst logg inn og endre passordet ditt"

 

Dette blir bare for dumt.

 

Du kan ikke beskylde et system for å værefor usikkert hvis det er kunden selv som gir fra seg innloggingsinformasjonen.

 

Enn hvis noen bryter seg inn hos brukeren og truer denne med en hagle til å gi fra seg informasjonen? Er det fortsatt BankID som er for usikkert?

Mennesket er alltid en usikker faktor. Når man har et smartkort (bankkortet ditt er et smartkort dersom du benytter BankID), hvorfor ikke bare legge inn et sertifikat på dette og bruke dette mot banken din? På denne måten vil du hindre dette problemet. BankID er akkurat like sikkert som den gamle nettbanken din, det eneste du trenger er noe du vet (tall) og ikke en kombinasjon av noe du vet og noe du har (tall + et token).

 

Man ser jo blandt annet at Department of Defence i USA og Norsk Tipping benytter seg av denne teknologien, jeg må si jeg ler litt over tanken at Norsk Tipping har bedre sikkerhet enn de fleste bankene i Norge. Det som gjør det enda verre er jo det faktumet at alle bankene benytter samme standard.

Lenke til kommentar
ottarkul

ottarkul

Skrevet
Skrevet
Så det dei har gjort er å lage ei falsk side som samlar inn innloggingsinformasjon, og kan hente inn fleire eingongskodar, slik at ein kan få utført transaksjonar i nettbanken med den innsamla informasjonen.

 

I Skandiabanken treng ein eingongskode for å opprette personleg sertifikat, og så ein for kvar innlogging. Dei kan sende koden per sms, men om ein brukar kodekortet så skal det vere mogeleg å hamstre slike kodar.

 

Spørsmålet er vel om det har noko å seie kva for kode ein skriv inn. Dersom systemet forventar å motta ein spesiell kode, så nyttar det ikkje å kome med ein tilfeldig generert ein.

 

Om ein skal bruke dette til noko, så må ein nok sitte klar og vente på at nokon går i fella, for så å bruke informasjonen med ein gong.

 

MVH Audun

 

Sitat:

Only two things are infinite, the universe and human stupidity, and I'm not sure about the former.

Albert Einstein

US (German-born) physicist (1879 - 1955)

 

 

Du skal ikke undervurdere menneskets dumhet!

Lenke til kommentar
daffyd

daffyd

Skrevet
Skrevet

for å utføre et man-in-the-middle angrep er det ikke nødvendig å få brukeren til å gå på en annen lenke. Om man klarer å få inn en trojaner på de aktuelle maskinene så er det letteste å erstatte dns-serverne som brukerne brukte med en dns-server som de som driver "man-in-the-middle" angrepet kontrollerer. Dermed tror brukeren at han/hun går til dnbnor når de skriver https://www.dnbnor.no/ mens de egentlig havner hos en server som er kontrollert av angriperne. Der kan de gjøre hva som helst.

 

Enklere variant er å legge inn www.dnbnor.no med ip-adressen til angriperne i hosts-fila til brukeren.

 

Om de vil være litt mer avanserte så kan de modifisere kjernen i OS'et man bruker til å intercepte forespørslene på eksplisitte adresser (f.eks. www.dnbnor.no) til å spørre mot en annen dns enn den som er oppgitt, og dermed er det mye vanskeligere å oppdage at noen har herpet systemet ditt...

 

Så lenge man får installert en trojaner på brukerens/offerets maskin så er mulighetene uendelige.

Lenke til kommentar
CrZy_T

CrZy_T

Skrevet
Skrevet (endret)
Passord er ikke sikkert, og chip / hw-nøkler kan bli stjålet (gjerne sammen med id m personnummer og evt kodekort)

 

Derfor er det veldig fint å ha en Two-factor authentication som krever både noe du kan (f.eks PIN-kode/passord) og noe du har (smartkort, fingeravtrykk, irisgjenkjenning etc). Selv om du mister det ene, så er du fortsatt beskyttet av det andre.

Endret av CrZy_T
Lenke til kommentar
knalf

knalf

Skrevet
Skrevet (endret)
Passord er ikke sikkert, og chip / hw-nøkler kan bli stjålet (gjerne sammen med id m personnummer og evt kodekort)

 

Derfor er det veldig fint å ha en to-veis authentisering som krever både noe du kan (f.eks PIN-kode/passord) og noe du har (smartkort, fingeravtrykk, irisgjenkjenning etc). Selv om du mister det ene, så er du fortsatt beskyttet av det andre.

 

To-veis authentisering er når to parter (du og bank i dette tilfelle) authentiserer seg overfor hverandre.

Endret av knalf
Lenke til kommentar
CrZy_T

CrZy_T

Skrevet
Skrevet
Passord er ikke sikkert, og chip / hw-nøkler kan bli stjålet (gjerne sammen med id m personnummer og evt kodekort)

 

Derfor er det veldig fint å ha en to-veis authentisering som krever både noe du kan (f.eks PIN-kode/passord) og noe du har (smartkort, fingeravtrykk, irisgjenkjenning etc). Selv om du mister det ene, så er du fortsatt beskyttet av det andre.

 

To-veis authentisering er når to parter (du og bank i dette tilfelle) authentiserer seg overfor hverandre.

Woops:p Mente Two-factor authentication... vet ikke om to-faktor authentisering blir det korrekte norske oversettelsen da ...

Lenke til kommentar
nebrewfoz

nebrewfoz

Skrevet
Skrevet

For de som er interessert i å lære mer om "multi-factor authentication" og andre security-relaterte ting, så finnes det en podcast ved navn Security Now! som tar opp nettopp det.

 

"Multi-factor authentication" tok de opp i episode #90, og tidligere har de diskutert mange former for kryptering, SSL, WEP, WPA, Diffie-Hellman, RSA, Blowfish, TOR, you name it.

 

Noen synes Steve Gibson og Leo Laporte er masete, men de har i hvert fall så mange "lyttere" at Security Now! ble stemt til topps i klassen "Tech podcast of the year" (e.n.s.) i år. Det finnes "transcripts" av alle episodene, noe som gjør det lettere å finne akkurat det man er ute etter.

Lenke til kommentar
ventle

ventle

Skrevet
Skrevet

Er en sikkerhetskode fra BankID-brikken gyldig i all fremtid (helt til den blir benyttet, altså)? Hvis så er tilfelle kunne man jo økt sikkerheten ved å tidsbegrense dem. Fra du trykker på knappen for å generere en kode må den benyttes innen fem minutter, ellers blir den ubrukelig.

 

Dette forutsetter selvfølgelig at BankID-brikken får en klokke som fra fabrikk er synkronisert med serverklokken til banksystemet. De kan komme i utakt etter en viss tid, men fem minutter bør være god nok margin for de fleste tilfeller av dårlig synk... evt. kan man sende ut nye brikker annenhvert år, om man forventer at dette er tiden det tar før de fleste brikkene kommer for mye ut av synk.

Lenke til kommentar
CrZy_T

CrZy_T

Skrevet
Skrevet
Er en sikkerhetskode fra BankID-brikken gyldig i all fremtid (helt til den blir benyttet, altså)? Hvis så er tilfelle kunne man jo økt sikkerheten ved å tidsbegrense dem. Fra du trykker på knappen for å generere en kode må den benyttes innen fem minutter, ellers blir den ubrukelig.

 

Dette forutsetter selvfølgelig at BankID-brikken får en klokke som fra fabrikk er synkronisert med serverklokken til banksystemet. De kan komme i utakt etter en viss tid, men fem minutter bør være god nok margin for de fleste tilfeller av dårlig synk... evt. kan man sende ut nye brikker annenhvert år, om man forventer at dette er tiden det tar før de fleste brikkene kommer for mye ut av synk.

 

Jeg vil anta dette er på samme måte som vanlige kodekalkulatorer. De er tidsstyrt og gyldige i normalt 5 minutter. For å ungå problemer med at klokker går feil osv, så er det normalt at +-1 nøkkel blir godkjent (dvs at til enhver tid vil det finner 3 gyldige nøkler).

Lenke til kommentar
nebrewfoz

nebrewfoz

Skrevet
Skrevet
Er en sikkerhetskode fra BankID-brikken gyldig i all fremtid (helt til den blir benyttet, altså)? Hvis så er tilfelle kunne man jo økt sikkerheten ved å tidsbegrense dem. Fra du trykker på knappen for å generere en kode må den benyttes innen fem minutter, ellers blir den ubrukelig.

 

Dette forutsetter selvfølgelig at BankID-brikken får en klokke som fra fabrikk er synkronisert med serverklokken til banksystemet. De kan komme i utakt etter en viss tid, men fem minutter bør være god nok margin for de fleste tilfeller av dårlig synk... evt. kan man sende ut nye brikker annenhvert år, om man forventer at dette er tiden det tar før de fleste brikkene kommer for mye ut av synk.

Sikkerhetskodene fra BankID er på mange måter som koder fra et engangskodekort, der du bruker kodene i den rekkefølgen de står skrevet på kortet. Forskjellen er at du må stikke smartkortet ditt inn i BankID-dingsen får å få ut en kode. Men hvis noen snapper opp to koder etter hverandre, så kan de bruke disse kodene til å logge seg på nettbanken din - hvis de også vet personnnummeret ditt.

 

5 minutter varighet vil jo hjelpe noe, men det er fortsatt tid nok til å få foretatt en transaksjon dersom "tyven" sitter foran PC-en og følger med når "offeret" taster inn kodene sine.

Lenke til kommentar
roac

roac

Skrevet
Skrevet
vil ikke sidet ligger noen sikkerhetshull i selve løsningen rent teknisk. men at brukeren kan gjør feil er det svært vanskelig å sikre seg mot. banken kan vell som eneste løsning si til kunden per telefon at de aldri sender ut eposter feks..^^

Istemmes. Jeg finner det faktisk utrolig dersom Universitetet i Bergen gir en doktorgrad på å bevise at Phishing kan fungere. Jeg var med på å utføre tilsvarende i 1999, og burde således da hatt min doktorgrad i Informatikk i en alder av 24 år.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...