Dorte Toft
Medforfatter af "Bedrag" om Stein Bagger-sagen, hvor Bizzen-bloggen spiller en væsentlig rolle. Har modtaget eJour-prisen, IT-prisen, FUJ-prisen og Publicistprisen for sin journalistik. Desuden nomineret til Cavling-prisen i 2009.
Lykkelig i nørdland. Hvem bygger fremtiden? Gyldendal, 256 s., kr. 249,95.
Læs mere hos Boghuset eller download bogen gratis her.
Forhåbentlig anses jeg af min bank for at være privatkunde, selv om jeg er selvstændig med SE-nummer, men jeg må have undersøgt. Er jeg erhvervskunde, er jeg nemlig kun et zero-day hackerangreb væk fra økonomisk ruin, hvis netbanken lænses og kassekreditten tømmes.
Zero-day angreb udnytter en helt ny eller hidtil ukendt sårbarhed, hvor sikkerhedssoftware endnu ikke kan afværge angrebet, fordi der endnu ikke er kodet eller testet ny forsvarsmekanisme hos leverandøren. Det er IKKE ofte, man ser den slags angreb, men det hænder.
Forhåbentlig overreagerer jeg. Men jeg fik ligegodt sved på panden ved læsning af denne Berlingske Business-artikel, der er udløst af sag, hvor en mindre erhvervsdrivende pludselig opdager, at der gøres store indhug i kassekreditten via netbanken.
På sin vis vidste jeg godt, at sker der indbrud i netbanken, så er det kun privatkunder, som banken normalt kompenserer for tabet, ikke erhvervskunder. Men følgende argumentation fra Finansrådet er isnende, når man tænker på det mylder af ganske små virksomheder, vi har i Danmark:
“Som professionel må man formodes at kunne varetage hele sin forretning, og det indbefatter også at kunne beskytte sin computer.”
Afsenderen var Tina Füssel, underdirektør i Finansrådet, og personen, der har netbanksikkerhed under sit ansvarsområde. Hun mener altså, at tømmeren, der måske har en svend ansat, er så professionel, at han kan beskytte sin pc mod et zero-day attack.
Finansrådet på dybt vand
Finansrådet og dermed hele banksektoren er ude på dybt vand, når det gælder it-sikkerhed. I forvejen har man alt for længe kørt med en relativt svag sikkerhed, taget i betragtning, hvor langt vi er i Danmark med netbanking, og man kører med et elendigt informationsniveau, når det går galt.
Jeg har skrevet om Finansrådet og netbanksikkerhed adskillige gange (listen over blogindlæg ses her).
Sikkerhedsniveauet er omsider på vej til at blive højnet, idet finansbranchen og det offentlige er gået sammen om en ny “nøgle”, DanID, der også fordrer, at man skal aflevere en engangskode (den finder man på et skrabekort). DanID indføres så småt begyndende i november. Men selv sikkerheden i den vil på et tidspunkt kunne punkteres. Det ved alle, der har et vist kendskab til, hvad der sker med forsvarsværker.
Finansbranchen forsøger igen og igen at få det til at se ud, som om enhver borger og enhver virksomhed, lille som stor, kan sikre sin pc 100 pct. Og alligevel ses eksempler på, at selv store koncerner og store organisationer ind imellem må lukke ned for alt for at rense ud efter et hackerangreb. Hvordan kan bankerne så mene, at virksomheden med en håndfuld ansatte, kan være professionel nok til at sikre, at det aldrig sker for den?
I Berlingske-artiklen går organisationen DS Håndværk & Industri i rette med Finansrådet, men selvfølgelig forgæves.
Lav isoleret topsikret miljø
Jeg må trække min kæphest ud af stalden igen. Man burde hos bankerne kunne købe en lille dims med stor skærm og indbygget chipkortlæser, men den må ikke være større end en mobiltelefon, og den skal UDELUKKENDE kunne bruges bruges til netbanken.
Fort Knox-dimsen må IKKE være baseret på brug af Microsofts software, idet dette er allermest i fokus for hackerangreb grundet den ekstremt store udbredelse.
Download af ondartet kode
Pc’en er et vindue ind til hele verden, og det udnytter de kriminelle. Jeg er vel dagligt ude på 30-40 websteder, som jeg anser for at være sikre. Men ind imellem taster jeg forkert og ender på et sted, hvor man nogle gange kan have en mistanke om, at der kan ligge kode, som forsøger at smutte ned på ens pc.
Under research i helt nye retninger kan det også gå galt. Stein Bagger “sendte” mig, som det måske er nogle bekendt, lige i armene på et pornowebsted, da jeg researchede på hans ph.d.. Det var sgutte bevidst fra hans side, er jeg overbevist om, men netop pornosteder er jo kendt som ynglingsobjekter for malware – ondartet kode, der hopper ned på pc’en.
Normalt (hvis man kører automatisk opdatering af software incl. sikkerhedssoftware) er man beskyttet, men igen. Der findes zero-day attacks. Og der findes folk, der ikke helt har styr på forudsætningerne for at beskytte sig, også i mindre virksomheder.
Fort Knox i mikroformat
Som jeg ser det, kan Finansrådet og bankerne bag, først lægge ansvaret endegyldigt over på virksomheder, hvis de giver virksomheden en mulighed for at købe en lille Fort Knox løsning, i stedet for blot at sætte en hængelås på en af pc’ens “skuffer”. Med udsigten til økonomisk ruin er jeg ikke i tvivl om, at adskillige små erhvervsdrivende vil købe en sådan dims. De, der så ikke vil investere i en sådan “forsikring”, kan så selv bøde, hvis uheldet er ude.
Afgørende konkurrenceelement
Det kan blive et helt afgørende konkurrenceelement for den bank, der bliver pioner. Gad vide, om det ikke også kunne blive en eksportvare? Men der vil garanteret vise sig kræfter, der kæmper imod en sådan løsning.
Jeg ved, at denne blog læses af adskillige mindre selvstændige. Mange er disse er meget tech-kyndige, men hvad siger I? Og hvad siger I andre? Bør jeg give kæphesten en værdig død, eller er den relevant at lufte? Og hvad mener I om Finansrådets argumentation? Hvilke muligheder er der for at udvise en slags “civil ulydelighed” i denne sag?
Og endelig. Er der nogen, der ved, hvor mange virksomheder, der har været ramt – og hvor banken IKKE har villet kompensere, i modsætning til, hvad der alligevel skete i den case, som Berlingske havde?
PS: Ja, jeg ved, at danske netbanker kun er lænset for småbeløb, når der ses på det store billede. De står IKKE pivåbne. Det er ikke mit budskab.
30. maj 2009 kl. 14:16
Danske Bank har faktisk taget et stort skridt med deres pinkode-generator (kaldet ActivCard):
Man husker sit brugernavn (mit er på 6 tegn), sit kodeord (vistnok minimum 8 tegn samt kodeord) og trykker så OK. Dernæst får man vist et 6-cifret tal. Man finder sit ActivCard frem, taster sin 4-cifrede pinkode (som man også husker) og derefter det 6-cifrede tal på skærmen.
Hvis alt går vel, så er man inde.
Løsningen er Javabaseret, og derfor ikke begrænset til specifikke browsere eller operativsystemer – og på trods af at være en anelse tung, er den (næsten) ubrydelig.
Den eneste sikkerhedsbrist jeg kan se er at en cracker keylogger sig til passwordet, og dernæst “låser computeren” mens man overfører penge – der skal man nemlig kun bruge passwordet.
30. maj 2009 kl. 18:14
@Kristian: Det lyder som samme princip Jyske Netbank altid har anvendt bortset fra at DBs ActivCard udover at være en Elektronisk Dims(tm) også kræver en hemmelig pinkode.
Til gengæld skal man med Jyske Netbank bruge en engangsnøgle hver gang man vil udføre en transaktion.
30. maj 2009 kl. 22:19
@Kristian
Lige præcis – jeg bruger også ActivCard fra Danske Bank, hvilket giver den sikkerhed at selvom din computer er gennemhacket i yderste grad, så skal man til hver en tid have den fysiske nummergenerator for at kunne benytte sin netbank. Se det er sikkerhed – nøjagtig som de fleste af os bruger når vi kobler op via VPN til vores arbejdsplads (RCA SecurID hedder min talkode generator).
Det betyder samtidig at du ikke skal have nogen nøglefil eller lignende liggende på den PC du kører fra – dejligt enkelt og højere sikkerhed.
Jeg forstår simpelthen ikke hvorfor der skrives igen og igen af alle kompetente sikkerhedseksperter (her mener jeg ikke Dorte men mere generelt) om de STORE problemer, mens ingen af dem synes at være bekendt med at der er meget enkle løsninger som giver bedre sikkerhed.
Ligeledes forstår jeg ikke hvorfor en bank som Danske Bank ikke markedsfører ActivCard mere – eller ligefrem siger til kunderne at de skal bruge det – man betaler ikke ekstra for at få det. Måske det skyldes at løsningen er dyrere for banken – bare mit gæt. Jeg blev opmærksom på muligheden fordi jeg skiftede til Macbook, hvorfra man er nødt til at bruge ActivCard for at få adgang til sin netbank.
31. maj 2009 kl. 06:26
Det er i grunden mærkeligt at bankerne ikke tvinges til at holde kunderne skadesløse uanset om de er erhverv eller private.
Tænk analogien til “analog bankdrift”. Der ligger X mio kroner i bankens boks eller kasse. Der bliver røveri eller indbrud, og pengene bliver stjålet.
Hvis penge er det som blev stjålet? Erhvervskundernes eller privatkundernes?
Banken burde have et objektivt ansvar. Således de havde bevisbyrden for om kunderne har vist uagtsomhed, før end de kunne give kunden skylden (for at de ikke har kodet en bankløsning som er god nok).
For det er jo dybest set problemet med det netbankløsninger – de er bare ikke kodet godt nok.
31. maj 2009 kl. 21:17
@Allan Skovmand:
“Hvis penge er det som blev stjålet? ”
Det er faktisk bankens penge. Når du er indskyder, får du en fordring på banken. Var det ikke bankens penge, men dine, skulle banken spørge dig om lov hver gang de låner indskydernes penge ud.
Derfor er det Dorte skriver om endnu mer’ grotesk.
1. juni 2009 kl. 21:07
Alle ved vel (efterhånden), at sikkerhed på it området er meget svært – og at hackere kan utroligt mange ting.
Det betyder så blot, at man må acceptere, at snyd/bedrageri er muligt; og så derudfra sikre sig bedst muligt.
Jeg tænker her på, at netbanken vel “blot” kan sende en sms til kontohaveren hver gang der overføres penge fra kontohaverens konto via netbanken.
For mit vedkommende ville dette betyde, at jeg ville få besked – og så derudfra straks og uden tøven tage action i sagen, hvis der forsøges overført penge fra min konto af udenforstående.
Hvis man opbygger et sådant system, så bør man lige give “systemet” en forsinkelsesproces på f.eks. 6-8 timer, sådan at der kan nås at stoppe en ulovlig overførsel.
Sikkerhedsfirmaet G4S har indbygget i deres sysetm, at der sendes en sms, såfremt der udløses en alarm – så umuligt vil det ikke være.
Indførelsen kunne gøres frivillig – såfremt der måtte være nogen, som ville blive overbebyrdet med sms’er ved sådant system.
2. juni 2009 kl. 12:12
Hvorfor ikke blot kræve af bankerne, at enhver pengeoverførsel skal kunne annulleres og pengene føres tilbage (inden for en vis frist, f.eks. 1 måned)? Så må bankerne internt sørge for at få sådanne aftaler på plads og evt. nægte eller kræve ekstra sikkerhed, hvis der skal overføres til en “usikker” konto/bank.
2. juni 2009 kl. 15:38
Der sker først noget når bankerne selv skal dække tabene -må det ske snarest. F. eks. er der videoovervågning af ATM i udlandet, så man kan se hvem der hæver. Pinkodegeneratoren er også fin, en bekendt i udlandet får en SMS hver gang kortet skal benyttes og svarer tilbage. Yderligere kan bankerne tilbyde at msan sender dem en liste over betalingsmodtagere, der må modtage større beløb, evt. over 5.000,- Bankerne ved selv, hvad der er bedst, men de skal først påføres nogle tab. Da jeg var barn lavede banker aldrig fejl, nu laver de ikke andet !
3. juni 2009 kl. 09:05
Nordea har en udmærket løsning, hvis beløbet der hæves, er over en hvis størrelse, sendes en SMS som man skal bekræfte, inden transaktionen gennemføres. At have computeren spækket med chipkort tiltaler mig ikke. Hardware har en tendens til at give problemer. Alternativt kunne man hver uge sende et antal engangskoder via SMS, som kun kunne bruges den uge. Så skal hackeren ind i både netbank og mobil.
3. juni 2009 kl. 13:34
@Carsten
Er det korrekt at antage at du selv kan ændre mobilnr via Nordea netbank? For i så fald er der ikke meget sikkerhed i at sende SMS på det – en hacker vil naturligvis blot ændre det inden han overfører penge.
Løsningen med ActivCard i Danske Bank medfører ikke noget chipkort forbundet med computeren – det er en lille dims som er uafhængig af andet.
3. juni 2009 kl. 13:50
@Noodle king
Nu kender jeg ikke ActivCard, men denne løsning beskytter vel ikke imod man-in-the-browser-angreb?
@Dorte
Den bedste løsning er vel at man helt dropper netbanken.
4. juni 2009 kl. 13:02
Droppe netbanken:-) Ja, og så klipper jeg også ledningen til komfuret, køleskabet etc. etc.
4. juni 2009 kl. 13:32
@ Dorte Toft
Jeg er meget ening, lad være med at gå på nettet. Det er det mest sikre ;-) ellers skal man evt. ud i ordenlig omgang hardning af pcén osv..
4. juni 2009 kl. 16:24
@Kristian
“Løsningen er Javabaseret, og derfor ikke begrænset til specifikke browsere eller operativsystemer – og på trods af at være en anelse tung, er den (næsten) ubrydelig.”
Hvis den er baseret på Java er den da bestemt begrænset. Det betyder, at jeg ikke kan benytte den fra min mobiltelefon. Jyske Banks løsning er ikke afhængig af noget som helst af den slags og kan derfor benyttes fra en mobiltelefon, der ikke understøtter Java eller hvad det nu måtte være.
18. juni 2009 kl. 21:29
Som jeg ser det er grundideen i ActivCard og Jyske Bank nøglekort lige sikre. Jyske Bank’s løsning er bare en smule mere gennemtænkt og samtidig billigere (et stykke papir koster mindre end en speciallommeregner). En tredje løsning som jeg har hørt om fra en (urimeligt hård) kritik i England er en lommeregner hvor man skal putte sit chip-dankort i. Lommeregneren udleveres gratis og er ikke personlig, det personlige er chippen i dankortet.
Fælles for alle disse løsninger er at de ikke beskytter mod man-in-the-middle angreb på PC-ens brugerinterface (uanset om man bruger en Browser over Internettet eller et specielt Bank-program over modem (som i de gamle homebanking systemer). Med sådan et angreb kan tyven få det til at se ud som om du overfører 1234,56 kroner til din tandlæge, men i virkeligheden overfører du 91234,56 kroner til tyven. Sådan et angreb vil selv snyde de systemer hvor man skal taste de sidste 4 cifre af beløbet ind i “lommeregneren” for at få bekræftelseskoden.
En løsning der har været opreklameret fra flere sider (men som selvfølgelig kan forkludres ligesom alt andet) er at banken sender en SMS med oplysningerne fra transaktionen og en kode som du skal indtaste på computeren for at bekræfte at det er den rigtige transaktion. Der er dog stadig 3 åbenlyse angrebsmuligheder som tyvene sikkert allerede har tænkt på: 1. Angrib både computerere og mobiltelefoner, og sammenlign de hackede ofre for at finde de ofre hvor begge dele blev hacket. 2. Udnyt at de fleste moderne mobiltelefoner er eller kan være koblet sammen med offerets PC. 3. Udnyt at de fleste moderne mobiltelefoner har indbygget browser og aflever så offerets stjålne brugernavn/adgangskode til en virus på offerets mobiltelefon. (Eller vendt simpelthen på at offeret går i netbanken fra mobilen).
19. juni 2009 kl. 08:51
Jeg bruger Jyske netbank og føler stor sikkerhed omkring deres koder, tilsendt via “nøglekort”. Det at man skal taste en ny nøgle, for hver netbetaling virker rimeligt sikkert for mig. Samtidig har jeg til dato, ikke hørt problemer netop med Jyske netbank, men det kan jo skyldes ren uvidenhed fra min side.
Da alt jo næsen kan ske alligevel, tager jeg en kopi af alle betalinger ;-))
19. juni 2009 kl. 10:13
Jeg sad faktisk i udlandet med min telefon på en listig cafe og skulle pludselig godkende en bankoverførsel i mit firma. Ikke kun er Jyske Bank Erhverv kodet af komplette nørder som aldrig har set en usability analyse, men den er også en HELT sikker måde til IKKE at kunne være bank-kunde i det 21. århundrede, for har man ikke både sin egen PC og nøgler og alt muligt – så kan man ligeså godt ringe hjem og få tingene gjort manuelt.
Hallo! Det behøver altså ikke at være raketvidenskab at være bank. I kan finde ud af at bure pengene inde i et bankboks, det kan vi altså også godt lave på nettet.
Jeg må insistere på at jeg VIL sørme kunne godkende og udføre bankoverførsler via min mobil. Jeg kan ALT andet via min mobil. Så er jeg sådanset ligeglad om hvordan i fikser det – bankbranchen – men FIX DET (for Christs sake)!
Jeg er 100% sikker på at jeg og en lille gruppe kreative kunne udtænke morgendagens netbank hvis vi fik en espressomaskine og en stak thebirkes og et whiteboard. Jeg kender nogle af de skarpeste knive i branchen (indland som udland) inklusive en masse russere som vi kunne bruge som “hacker-inspiration”. Men jeg tror bankerne lever efter en bevidst bagstræberisk adfærd.
Spørgsmålet er ikke OM det kan lade sig gøre – men at der simpelthen ikke findes en eneste person med n….. store nok til at turde lave en revolution i banksektoren.
19. juni 2009 kl. 12:26
Tja ! kære Allan Skovmand
Man må vistnok bare konstatere at man ikke kan lave netbanking i Jyske bank, uden det f…… nøglekort, altså virker skidtet ;-))
Men jeg kan udemærket følge dig i dine tanker.
19. juni 2009 kl. 12:30
JYSKE NETBANK LÆNGE LIVE ;-))
20. juni 2009 kl. 07:42
@Bo
Jyske Bank skal have så meget ros at deres “forbrugerbank” er til at leve med.
Men deres erhvervsnetbank derimod (som man betaler for!) er det DÅRLIGSTE stykke programmering jeg har set i mine +10 år i softwareudvikling. Det ville kræve 10 A4-sider at beskrive alle de uhensigtsmæssigheder (usability & banal software-design). Selv lokale Vietnamesiske banker har bedre løsninger.
29. marts 2010 kl. 09:14
[...] tror jeg – som nævnt tidligere her på Bizzen – at mange af os gerne ville betale lidt ekstra for [...]