Logo - tilbage til start---
Logo - tilbage til start.Sikkerhed - hvordan kunne det være undgået
Logo - tilbage til start---
.

Hvem er vi?

Hvorfor Linux?

Kursus-beskrivelser

Tilmelding

Informationsmøde

Sikkerhed

Kontakt

.

Hvad kan du gøre?

Risikoen for det beskrevne angreb kan mindskes væsentligt med simple midler. Hvis underskriftsfilen kun er tilgængelig når du laver banktransaktioner, så er der mindre tid, hvor den kan blive aflæst af en cracker. Du kan f.eks. lægge underskriftsfilen på en floppydisk og kun sætte den i drevet, når du skal bruge web-banken.

Økonomisk er du dog godt sikret med betalingskortloven, som også gælder for web-banker. Den sikrer at du holdes økonomisk skadesløs, hvis en kriminel stjæler penge fra dig.

Betalingskortsloven sikrer dig dog ikke mod, at en kriminel offentliggør din økonomiske situation eller afpresser dig med trusler om offentliggørelse.

Hvad kan banken gøre?

Muligheden for det omtalte angreb har eksisteret lige så længe som web-banker, men med Back-Orifice, som udkom for 2 år siden, er det blevet væsentligt nemmere i praksis at udføre angrebet. Det er derfor svært at se en undskyldning for, at web-bankerne er designet uden sikring mod denne trussel.

Der er dog enkelte undtagelser. En af disse er Jyske Bank, der både benytter en hemmelig adgangskode og et nøglekort. Et nøglekort er et papirkort med 80 linier, hvorpå der på hver linie er et talsæt bestående af to tal. Når man logger ind, angiver computeren det første tal, hvortil man skal svare det tilhørende tal på nøglekortet for at få adgang.

Da nøglekortet er på papir, kan crackeren kun opfange tal-sættene, når de bliver indtastet. Og da tal-sættene kun bruges een gang, kan crackeren ikke bruge de indsamlede tastetryk igen.

Nøglekortet giver ikke en 100% sikkerhed, men skal man bryde den sikkerhed vil det i praksis være langt nemmere at true kontohaveren med en pistol til at afgive den hemmelige kode og nøglekortet.

En anden mulighed

En anden mulighed for at sikre adgangen til web-banken er at binde programmet til en fysisk maskine ved at udregne en checksum ud fra processor-id og hastighed, harddiskens kapacitet, RAM kapacitet og andre fysiske størrelser. Det gør naturligvis at man ikke umiddelbart kan benytte en anden PC til at foretage en overførsel, men heller ikke denne metode er 100% sikker.

Ingen 100% sikring

Jyske NetBanks løsning er ikke skudsikker: Den kriminelle kan i teorien lave et man-in-the-middle-attack på Jyske NetBank, men han skal være overordentlig dygtig.

Man-in-middle skal nødvendigvis køre på din maskine for at kunne få fat i dine tastetryk. Når du er logget ind og udfører dagens første ordre, kan han sende sin falske ordre til Jyske NetBank. Fra Jyske NetBank får han en engangschallenge, som han giver videre dig sammen med din ordre. Du indtaster engangskodeordet, og han kan nu få ekspederet sin falske ordre.

Det store problem vil være, at du ikke må opdage noget. Når han har fået udført sin falske ordre giver han dig derfor et fejl-billede - noget ala: "Du har tastet forkert kode, prøv igen" men indeholdende en ny engangchallenge, som han har fået fra Jyske NetBank.

Det bliver lidt sværere, hvis han også skal sørge for, at hans ordre ikke bliver vist, hvis du beder om en ordreoversigt.

Alt i alt en svær opgave men ikke umulig. EDB-historien indholder eksempler, der er væsentligt mere avancerede (se f.eks. Can you trust your computer?)

I dag vil jeg betragte oventstående som umulig/for dyr at gøre i praksis: Det vil være langt nemmere at true dig med en pistol til at afgive den hemmelige kode og engangstabellen på papir.

Tilbage til oversigt


Mail