Bankattacker - Finlandssvenskt fiberforum (3)
Bredbandsgruppen  
Forum RSS feed    Forum - Svara - Statistik - Registrering - Sök -

Finlandssvenskt fiberforum / Säkerhet på nätet / Bankattacker
<< . 1 . 2 . 3 .
Författare Meddelande
rahlskog
Medlem
# Skrivet: 20 Feb 2015 16:34
Svara 


Nu säger ni att Nordea dosan inte är samma som TAPAS med engångsnycklar. Jag vill påstå att det är exakt samma och har exakt samma sårbarheter.

Ska vi börja med nyckeltalslistan?

- Då man loggar in så presenterar banken ett nyckeltal
- man letar upp motsvarande tal från sin lista och matar in talet


Och sen tar vi dosan

- Man måste mata in en kod som man får från banken i burken
- burken som svarar med en annan kod som man sedan ger åt banken


ser det liknande ut?

Dosan får innehålla vad den vill, det den i princip gör är samma sak tar emot en kod och genererar en svarskod. Allt detta skickas över HTTPS som Guje ju har kläm på hur man avlyssnar.
Fördelen med en dosa är att den inte får slut på tal och måste bytas ut helatiden.


Och Nisse, FYI ifall man har kortet så behöver man inte PIN koden för att få ut pengar, det kommer dock att stå i bankens system att PIN-kod användes och att den var korrekt.

Nisse
Medlem
# Skrivet: 20 Feb 2015 17:27
Svara 


Det var som tusan ! Jag har alltid trott att jag är tvungen att ge min PIN-kod för att få ut pengar ... Kanske jag måste förstöra mitt kort kvickt för om jag tappar det så kan ju vem som helst tömma mitt konto !

Guje
Medlem
# Skrivet: 20 Feb 2015 18:40
Svara 


MarkusI skrev:

Guje: PVLAN är samma L2-broadcast domän. Ditt PVLAN-nät kvalificerar inte. Operatörernas konsument-nät kvalificerar inte heller. PVLAN är inte 100% vattentätt utan hårdkodade MAC och ARP-tabeller. Dessutom finns det stor risk för att man gör en topologimiss med PVLAN och orsakar läckage på det viset...

Somsagt, dethär kan höra till en annan tråd men ditt påstående stämmer inte.

Jep, jag flyttar fortsättningen hit: http://bredband.selfip.net/forum/index.php?action= search&loc=1&forum=25&topic=667&page=302004

Guje
Medlem
# Skrivet: 20 Feb 2015 19:05
Svara 


Och pinkoderna med bankkortet som sticks in är nån slags "security by obscurity" som genererar kundspecifika talserier utgående från bankens kontrollkod.

Läste nånstans deras system är gjort i sammarbete med Visa och Mastercard.

Nå, hur som helst, för 10 år sedan testade jag faktiskt en annan inloggning hos Nordea och Handelsbanken i Sverige som Cain inte rådde på. Åtminstone inte så där bara. Vill minnas att den var försedd med ett kundcertifikat, då. Så jag lämnade saken därhän.


Avsaknaden av ett klart Nordea-svar hur det funkar låter inte särskilt bra. Kanske man borde prova Cain på dosan och se vad där dyker upp.

Guje
Medlem
# Skrivet: 20 Feb 2015 22:20
Svara 


För tydlighetens skull: jag menar alltså att rahlskog får ha sina teorier om Nordeas dosor alldeles för sig själv. Dumt att spekulera. Vill Nordea och svenska bankerna inte öppet berätta vilka kugghjul dosan har är valet deras. Må vara obskyrt, men så är det.

Det att TAPAS-lösenorden lider av säkerhetsproblem behöver inte per automatik betyda att andra system som "nästan liknar" har samma problem. Eller hur rahlskog? Men kanske du sitter på info som vi andra saknar. Till dess utgår åtminstone jag ifrån att Nordea och svenska banksystemet har koll på läget.

Nisse
Medlem
# Skrivet: 20 Feb 2015 23:12
Svara 


Det är ju inte enbart så att en dosa med nyckel ger "fler engångslösenord" utan den kan användas för att kontrollera ifall motparten är den han utger sej för att vara. Banken kan när som helst ge en kod åt kunden som måste svara med den kod som dosans nyckel ger. Då märker banken genast om koden kommer från rätt nyckel. Det är sedan en annan sak om banken använder sej av denna möjlighet. Troligen inte eftersom de inte vill "besvära" kunden.

Om jag tappar min papperslapp med engångskoder så är jag illa ute. Likaså om jag tappar min dosa med isatt bankkort OCH PIN-koden uppskriven på dosan (så gör tyvärr många). Men så länge skurken inte får tag i min PIN-kod så är det relativt säkert.

Helt oberoende av teknik så är det viktigt att nyckeln hos kunden är oåtkomlig. Dosan kan kopplas direkt till maskinen men det vill jag inte för då blir systemet mindre säkert genast. Så jag knappar gärna in koderna för hand även om det är litet mera jobb. I princip är hela nätet och också min maskin som är uppkopplad till nätet i fiendens händer. Men inte dosan.

Nu beror det också på hur banken använder koderna. Då man signerar en överföring så måste banken kolla att signeringen gäller precis den sida som banken skickat ut - inget annat. I princip kan en skurk (som jag antar utan vidare kan avlyssna all trafik) sätta in en extra överföring men inte visa den för kunden. Men det kräver redan mycket tuff programvara som kan editera bankens sida utan att det märks. Förstås är ingenting fullständigt säkert ...

Certifikat är jag ganska misstänksam mot. Det finns alldeles för många möjligheter att manipulera dem. Krypterad förbindelse mellan banken och kunden med nycklar som banken ger direkt åt kunden är relativt säkert (beroende på systemet förstås). Varför blanda in en tredje part som kan vara korrumperad ?

Guje
Medlem
# Skrivet: 5 Mar 2015 09:37
Svara 


Idag kommer Yle med samma slutsats som vi:

http://svenska.yle.fi/artikel/2015/03/05/expert-fi nland-maste-satsa-betydligt-mer-pa-it-sakerhet

Johanh
Medlem
# Skrivet: 5 Mar 2015 17:13
Svara 


Folk vaknar upp lite:

http://www.idg.se/2.1085/1.613742/han-avslojade-ba nkernas-daliga-kryptering

Johanh
Medlem
# Skrivet: 21 Mar 2015 19:00 - Editerad av: Johanh
Svara 


Ett flertal banker i Finland har nu den senaste månaden (möjligen också tidigare) tagit i bruk HSTS vid inloggning, åtminstone på själva inloggningssidan eller den sida där själva nätbanken finns. Närmare bestämt åtta av de vanligaste bankerna använder nu HSTS på sin inloggningssida. På skamplats kommer fortfarande Nordea, Danske Bank och Ålandsbanken, vilka fortsättningsvis inte använder HSTS.

Men det är fortfarande ett problem att många av bankerna inte har HTTPS (och inte heller HSTS) som obligatoriskt på sin första sida. Då finns det risk att kunden blir lurad till en fejkad banksida, eftersom många går först till bankens första sida, innan de går till nätbanken. Det är endast Andelsbanken (op.fi) som har både HTTPS och HSTS redan på sin första sida (låt vara att de har ett lite sämre certifikat än andra, utan stöd för PFS). Bra gjort!

Alla bankers nätbanks- eller inloggningssidor är inte bra gjorda heller. T.ex. S-bankens inloggningssida (som berömligt nog annars är HTTPS hela vägen) använder inte HSTS innan man trycker på Logga in-knappen. Man dirigeras vid knapptryckningen till en annan sida, den egentliga banksidan, som har HSTS. Detta är en dålig lösning. Enda sättet att utnyttja säkerheten som bjuds är att ha bokmärke direkt till den sida som har HSTS.

Olika sidor på nätet använder sig också av bankernas inloggningstjänster bl.a. för att verifiera inköp. Vid inloggning dirigeras man mellan olika sidor. Där verkar det högst godtyckligt hur man dirigeras, vilken domän och server man hamnar på och vilket certifikat som då är i bruk. Inte bra.

Guje
Medlem
# Skrivet: 29 Maj 2015 08:02 - Editerad av: Guje
Svara 


HSTS är inte ett dugg bättre än alla andra försök med järntråd och jesustejp att täppa till hålen i ett läckande skepp. I HSTS är det dessutom en fjärde kock med och kokar soppan.

Nån som är förvånad över viruset som just nu härjar i Europa, bl.a. i Sverige?

Den stora frågan är: VARFÖR SKYDDAR INTE HSTS OCH ANTIVIRUS PROGRAMMEN? Det hade inte varit så dumt denna gång heller.

http://www.svt.se/nyheter/inrikes/flera-100-000-ta ls-datorer-drabbade-av-elaka-viruset


Citat:

– När du sen ska logga in i din bank, så öppnas en falsk hemsida och när du tror att du för över pengar till en vän eller betalar en räkning, så tömmer bedragarna egentligen ditt konto. Trojanen drabbar bara datorer med operativsystemet Windows. säger Jan Olsson.
....

Räcker det med ett uppdaterat antivirusskydd för att skydda sig?

– Nej, de flesta vanliga antivirusskydd räcker inte för att stoppa trojanen. Enligt uppgifter vi fått idag så har vissa antivirusprogram uppdaterats och kan hitta viruset och ta bort det, men vi anser forfarande att det bästa är att göra en ominstallation, säger Robert Jonsson på MSB till SVT Nyheter.



När skall man börja ta de här sakerna på allvar? Och för er som avgudar Linux: Tror ni faktiskt att ingen kan implementera samma sak där?

Johanh
Medlem
# Skrivet: 10 Jun 2015 13:36
Svara 


http://blogs.windows.com/msedgedev/2015/06/09/http -strict-transport-security-comes-to-internet-explo rer-11-on-windows-8-1-and-windows-7/

Microsoft vaknar upp och implementerar HSTS i IE på både win 7 och 8.

Ur min synvinkel är HSTS visst en förbättring. Det är den enda metod hittills som i alla fall försöker stoppa MITM-attacker. Nästa steg är att som Mozilla försöka (mer eller mindre) tvinga sidor att börja använda HTTPS https://blog.mozilla.org/security/2015/04/30/depre cating-non-secure-http/ Det finns delade meningar om Mozillas strategi är den bästa, men något måste göras.

NissePisse
Medlem
# Skrivet: 30 Jul 2015 13:24
Svara 


Nu är jag ingen datorexpert, men det verkar som om Nordea har kommit längst med den krypterade dosan?
Finns det fler banker med sådan teknologi?
Sökte lite på nätet efter dosor och fann något väldigt intressant: https://intelligentunion.wordpress.com/2010/12/21/ what-is-a-dedicated-trusted-computer-voting-device /
En intressant diskussion med en el/data-ingenjör inblandad: http://aktivdemokrati.se/forum/viewtopic.php?f=14& t=692
MVH
Nisse

<< . 1 . 2 . 3 .
Ditt svar
Bold Style  Italic Style  Underlined Style  Image Link  URL Link     :) ;) :-p :-( :up: :down: :talk: :confused :cool: :sealed: :noway: ... Använd inte smilies

Kill your darlings


» Namn  » Lösenord 
Only registered users can post here. Enter your login/password correctly before posting a message, or register first.