Malware angriber netbankers 2-trin-sikkerhed

Hvor er man dog et udueligt menneske, når man kan lave så avanceret software men vælger at bruge det kriminelt. Få dog et arbejde inden for IT sikkerhed eller hvad ved jeg. Evner ser han da ikke ud til at mangle.

Nokia er nok den sidste mobil, som bankerne laver en app til :p
men ellers god artikel.

pvt.hudson (1) skrev:

Hvor er man dog et udueligt menneske, når man kan lave så avanceret software men vælger at bruge det kriminelt. Få dog et arbejde inden for IT sikkerhed eller hvad ved jeg. Evner ser han da ikke ud til at mangle.

En stor del af IT sikkerhedsindustrien hyrer faktisk folk med tidligere erfaring indenfor ... skal vi sige alternativ internetbrug. USA er utroligt glade for den slags.

#1 De kriminelle tjener som regel de fleste penge. Plus det sikkert også er mere spændende at være eftersøgt.

ty (4) skrev:

De kriminelle tjener som regel de fleste penge.

I den her forbindelse er "tjener" vel ikke det helt rigtige ord. Jeg ville mene at "stjæler" ville være mere korrekt.

Det er vel et spørgsmål om definition.

kasperd (5) skrev:

I den her forbindelse er "tjener" vel ikke det helt rigtige ord. Jeg ville mene at "stjæler" ville være mere korrekt.

Selvom penge er stjålne, går de vel teknisk set stadig under indkomst.

Det er bare penge man tjener på ulovlig vis, på ufrivillig bekostning af andre.

Bare for at starte en diskussion: Havde vi haft en sådan løsning i stedet for NemID, så var vores sikkerhed også så lav. Men fordi NemID er holdt væk fra computerens verden (dvs. papkortet), pånær DanIDs server, så er det noget sværere at opnå.

Start debat!

Det er næsten nemmere.

#8
Så vil vi bare have en token i stedet.

Debat slut :)

#9: Hvordan er det nemmere?

#10: Er det ikke en token allerede? (Jeg ved godt at en token danner en ny kode hver gang, men det handler om princippet (som Paten siger))

Wispher (7) skrev:

Selvom penge er stjålne, går de vel teknisk set stadig under indkomst.

Det er bare penge man tjener på ulovlig vis, på ufrivillig bekostning af andre.

= at STJÆLE. Det er da nemmere at kalde en spade for en spade, istedet for at skulle bruge en længere filosofisk udredning som denne, der blot fortæller det samme,på en kringlet måde

#1 for at kunne sælge sine evner skal der være et behov.

På det lave plan kan man sige, hvis vi ikke havde vira behøvede vi ej heller antivirus programmer.

Eftersom der ikke forefindes malware som før har angrebet på denne måde har en person kunne påvise sin kunnen, til måske senere hen blive ansat som sikkerhedsspecialist.

Tror ikke udvikleren af zeus, også selv driver disse botnet. Han har trods alt solgt, licenser for 5 cifret beløb.

Wispher (7) skrev:

Selvom penge er stjålne, går de vel teknisk set stadig under indkomst.

Er det så skattepligtig indkomst? Jeg vil mene at for at ordet tjene kan bruges, så skal man have gjort en ærlig indsats for at opnå det.

Alrekr (8) skrev:

Men fordi NemID er holdt væk fra computerens verden (dvs. papkortet), pånær DanIDs server, så er det noget sværere at opnå.

Hvis klienten er kompromitteret, så kan enhver netbank misbruges. Der kan udføres et vilkårligt man-in-the-middle angreb da ssl trivielt kan omgås når klienten kontrolleres. Dermed kan siderne modificeres, og hvad brugeren sender til serveren kan modificeres.

Det er ligegyldigt om angriberen kender koderne på forhånd. På det tidspunkt hvor brugeren forventer at skulle indtaste en kode, og selv indtaster den, kan den bruges til noget andet end brugeren havde forestillet sig. Og alt dette vil være usynligt for brugeren.

bjoeg (13) skrev:

Eftersom der ikke forefindes malware som før har angrebet på denne måde har en person kunne påvise sin kunnen, til måske senere hen blive ansat som sikkerhedsspecialist.

Blot fordi man er i stand til at demonstrere, at det kan lade sig gøre, behøver man jo ikke bruge det til kriminelle formål.

I øvrigt behøver man ikke lave et komplet funktionelt angreb for at bevise at det kan lade sig gøre. Nogle angreb kan dokumenteres fuldstændig teoretisk uden at man behøver skrive en linie kode for at bevise, at det kan lade sig gøre. I nogle tilfælde kan det være nødvendigt at implementere proof-of-concept kode for nogle hjørner af problematikken, som ikke er åbenlyst mulige at gennemføre.

Der findes personer, som insisterer på et komplet funktionelt exploit før det vil erkende, at det er muligt. Denne holdning er til skade for sikkerheden. Det fører for det første til, at man ikke tager svagheder seriøst så tidligt som man kunne. Desuden er skridtet til at begynde at misbruge koden når den først er skrevet lidt mindre når den først er skrevet.

Man har altså valget mellem to fremgangsmåder. Tage problematikken alvorligt så snart den er blevet påpeget med teoretiske argumenter for hvorfor angrebet kan gennemføres. Og tage forholdsregler før der overhovedet bliver implementeret kode til at gennemføre angrebet. Og måske er der derefter slet ingen der gider skrive koden i den situation.

Unlade at tage problematikken alvorlig indtil et komplet angreb er demonstreret. Når det så er demonstreret, begynder man at overveje en løsning. Fra det tidspunkt kan misbrug starte uden varsel.

Et andet problem er holdningen til at man godt vil ansætte tidligere kriminelle som sikkerhedsspecialister. Men samtidig bruger man trusler om sagsanlæg til at forsøge at lukke munden på personer som finder sikkerhedshuller og vil have dem frem i lyset uden på noget tidspunkt at ville misbruge dem.

Kombinationen betyder at der kan være mere incitament til at misbruge kendskab til sikkerhedshuller end til at rapportere dem til rette vedkommende.

#15: TL;DR. Men, du har ret i kommentaren til mit indlæg. MiTM-angreb er efterhånden diskuteret til døde herinde; jeg er blevet overbevist om at det kan lade sig gøre.

kasperd (15) skrev:

Jeg vil mene at for at ordet tjene kan bruges, så skal man have gjort en ærlig indsats for at opnå det.

Vedkommende udfører et stykke arbejde og indkasserer penge for det. At det så sker på en måde, som ikke er velset (og som samfundet har lavet love imod), er så en anden sag.