prudil.net - mitt hjem på verdensveven!

Thursday, January 04, 2007

"Hacking av nettbanker" for dummies!

Hvordan kan dette skje? Hvem har ansvaret? Er norske nettbanker sikre nok? Er vi brukere villig til å betale for "dyrere" sikkerhets mekanismer?
Alle disse trivielle spørsmålene er for tiden "hotte" og vel omdiskutert i media den siste tiden, da det ble slått opp store oppslag om at DnBNORs nettbank var blitt hacket og tappet for penger i størrelsesorden 100.000.- kroner.
Hvordan kan dette skje? Det viser seg at felles for de som ble hacket var at de ikke hadde firewall, antivirus, antispyware, sikkerhetspatcher (siden operativsystemet var piratkopiert) samt brukerne hadde besøkt "urene" sider på internett (porno). Hvem har så ansvaret for PCene til "Ola Dunk"? Kan vi forbrukere kreve at bankene skal ta ansvar for de idiotene som ikke tar ansvar i det hele tatt? Skal man bare surfe porno, driter jeg langt i hvordan PCen er satt opp, men skal du bruke den til pengetransaksjoner i din personlige privatøkonomi - ja da bør ting "være på stell" spør du meg :)
Så er norske nettbanker sikre nok? Jepp i verdensklasse! Men det samme kan vi ikke si om "Ola Dunks" hjemmepc...og det har hackere har skjønt. Angrip det svakeste leddet, altså brukerens PC.
Kort forklart, pc uten sikkerhetspatcher, virusscanner og antispyware har samme effekten på virus og trojanskehester som møkk har på fluer. Er som å komme til dekket bord! I det brukeren logger på nettbanken med passord, engangskode/kodegenerator blir skjermen svart og PCen "hijackes" av hackeren. Da har hackeren full kontroll og alle sikkerhetsmekanismer er lurt, ikke hacket. "Ola Dunks" PC er den som er hacket... ikke nettbanken.
Dette har jo selvfølgelig ikke media fått med seg, fordi de er så jævlig kåte på å lage overskrifter. Det høres jo litt mere "skandale" ut med "DnBNOR's Nettbank Hacket!!" enn "Hobbyronker fra Jessheim fikk PCen sin hacket etter å ha surfet porno"...

Komersialiteten på sitt verste. Det er ikke mange mediekanaler for tiden som ikke går under kategorien "tabloid". It's all about the heading!

Men finnes der løsninger selv for slike scenarioer? Ja selvfølgelig. I stedet for engangskoder og kodekort, bruker man kodegeneratorer, som gir deg en ny kode hvert 30 sekund. Da vil du bli bedt om å legge inn kode ved bekreftelse av transaksjonen du er i ferd med å gjennomføre. Dermed er det umulig å hijacke en nettbank sesjon. Slike kodegeneratorer koster mellom 300 og 500kr/stk. Er vi brukere villig til å betale så mye for ekstra sikkerhet?

posted by Prudil at Thursday, January 04, 2007

5 Comments:

  • Nei. Det er hvertfall ikke jeg.

    Bankene burde vel hatt en avtale med brukeren sin om at brukeren er ansvarlig for at pc brukt ifmb. nettbank er oppdatert på sikkerhet. Hvis ikke så kan banken unndra seg ansvaret for nettopp slike ting som vi leser om for tiden.

    Dumme brukere er roten til alt ondt.

    By Blogger romskip, At Friday, January 5, 2007 9:30:00 AM CET  

  • sparebanken vest, tidenes bank, pleier å sende kodekort som aldri er i noe kontakt med pcen. Det vil si at man må fysisk bryte seg inn i kåken etter man har tappet pcen for info, for å kunne logge seg inn.
    bedre blir det ikke.

    kortet er gratis og inneholder femti engangskoder.

    By Blogger murrik, At Friday, January 5, 2007 5:22:00 PM CET  

  • Hva om pcen din blir hijacket rett etter at du har lagt inn denne engangs koden? Hackeren overtar da skjermbildet ditt og kan gjøre hva han vil på kontoen din. Eneste mulighet er å ta strømmen på pcen :) Slike engangs kodekort har sin begrensning at det har bare 50 koder, hvis du skulle legge inn en kode som bekreftelse på hver transaksjon ville du fort gå tom for koder og den løsningen ville ikke være særlig effektiv. Derfor kodegeneratorer :) Så murrik...hold deg unna pornoen ;)

    By Blogger Prudil, At Friday, January 5, 2007 6:05:00 PM CET  

  • Denne generatoren har eg hatt i åresvis gjennom Nordea, trodde du kødda litt når ikke alle banker hadde denne ordningen.
    innen 20sec etter at eg har logget på med kode, slår denne dibbedutten seg automatisk av, derretter må eg slå den på igjen og fixe ny kode når eg skal verifisere transaksjonen.
    Alle lever i urtiden utenom Nordea spør du meg


    hilsen
    Rune

    By Anonymous Anonymous, At Friday, January 5, 2007 6:53:00 PM CET  

  • eg foreslår heller å bli mer proff på å laste ned porno.

    Og hvis man absolutt må gå innpå tvilsomme sider med Beastiality Teens, så ordner du heller med det byråkratiske på jobbmaskinen.

    Hvis du ikke har en jobbmaskin, fortjener du heller ikke å laste ned porno, ergo: intet problem.

    By Blogger murrik, At Monday, January 8, 2007 11:12:00 AM CET  

Post a Comment



<< Home