Danske Bank: NemID’s sikkerhed skal skærpes, men aktuel fare overstået

Af Dorte Toft 29

Bankerne, Finansrådet og Nets (tidligere PBS) sætter sig nu sammen for dels at få skærpet NemID’s sikkerhed, dels at få sikret en professionel kommunikation fremover. Det oplyser direktør Peter Schleidt, it-ansvarlig hos Danske Bank.

Det er angrebet, der blev kendt udadtil den 10. februar, som er anledningen. Otte kunder hos Danske Bank blev via ondartet kode på pc’en franarret i alt 700.000 kroner, som blev overført til udlandet.

Til to lande

Ifølge Peter Schleidt gik syv kunders penge til samme land, mens en kundes penge gik til et andet land. Ud fra tidligere erfaringer, forventer banken at få omkring halvdelen retur fra de udenlandske banker, og kunderne holdes skadesløse.

“Vi er bestemt ikke stolt af kommunikationen vedrørende angrebet,” siger Peter Schleidt og peger på et særligt svigt. Det skulle have stået glasklart, at den ondartede kode, den såkaldte trojaner, allerede var uskadeliggjort, da man informerede.

Lukket for serveradgang

Ingen udover de otte kunder, der allerede var ramt, kunne rammes. Trojaneren kunne ikke længere kommunikere med de kriminelle via den server, den var programmeret til at “sende” til. Den kan altså hverken sende information om NemID eller andre koder videre.

Falsk tryghed

Årsagen til, at Danske Bank ikke selv opdagede svindlen, men at en snydt kunde måtte varsle, var paradoksalt nok tryghed.

“Fra midten af 2010 – efter vi fik indført NemID – ringede vi fortsat til kunder, når der blev overført usædvanlige beløb, Det skete for at være sikker på, at der ikke var tale om bedrag,” fortæller Peter Schleidt og fortsætter:

“Men det viste sig hver gang at være kunden selv og en bevidst handling. Og i 2011 oplevede vi ikke et eneste indbrud. Derfor havde vi fjernet nogle af de automatiske og manuelle tjek, der var sat ind for at spore bedrag, også fordi de var tidskrævende for både os og kunderne.”

Skærpelser

Efter det hændte har banken genindført procedurerne.

Bag NemID står DanID, der igen er ejet af Nets (tidligere PBS). Hvordan sikkerheden nu skal skærpes, kan Schleidt ikke fortælle endnu. Problemet er, at stærkt skærpet sikkerhed kan give kunderne mere besvær. Det skete for eksempel med den gamle adgangsmetode til netbanken. Den blev låst til en given pc, og det var ikke enkelt at få den over på en anden.

Tidligere kritik af informationsniveau

Informationsniveauet fra bankerne, Finansrådet og dets it-sikkerhedsrådgiver CSIS har tidligere været kritiseret. Sidste gang det var helt grelt med informationerne var i 2009, hvor flere tusinde mennesker pludselig fik lukket deres netbank.

Behovet for at informere ordentligt er ifølge Peter Schleidt blevet endnu større, idet NemID dækker meget bredere, end den gamle netbankadgang gjorde. NemID bruges som bekendt også op mod skat.dk, sundhed.dk og andre offentlige steder, lige som den er solgt som login til private firmaer.

Nets tilfreds

Finansrådets rådgiver CSIS, der også sælger sikkerhedssoftware, har henvist til egen efterforskning af den ondartede kode og lignende, som begrundelse for ikke at informere.

Hos Nets-selskabet Danid udtrykker kommunikationschef Søren Winge, at man er enig med CSIS og med CSIS’s kunde, Finansrådet, om, at der ikke skal informeres mere, end der er gjort.

Der er altså noget, der ikke er afhandlet bredt, når Danske Bank har en anden holdning. Hvordan holdningen er hos det offentlige, hvis omfattende fremtidige digitalisering af borgerkommunikation afhænger af NemID, står ikke klart.

Opdater al software

Det eneste vigtige er ifølge DanIDs Søren Winge, at folk holder softwaren på deres pc opdateret til seneste versioner, hvadenten det gælder Adobes Flash, Java eller noget helt tredje. Det er gamle versioner af software, som de kriminelle har udnyttet kendte svagheder ved.

Søren Winge fortæller også, at det ikke havde nyttet noget selv med sidste version af antivirussoftware på pc’en. Det er en ny stamme – en ny gren af virus, der ikke kunne genkendes.

Hvis smittet

Selv om risikoen er afblæst, eksisterer trojaneren imidlertid fortsat på de pc’er, der er blevet smittet.

Ifølge CSIS er de smittet ved besøg på helt legitime websteder, der har downloadet trojaneren, men hvilke oplyses ikke. Jeg håber, at få mere viden frem på dette område, men de “mange kokke” udgør et problem.

Diagnose

Vil man vide, om trojaneren har bosat sig på ens pc, anbefaler Danske Bank med flere, at man downloader et særligt stykke dianosticeringssoftware fra CSIS.

Findes trojaneren, er der ifølge banken – samt Microsoft – ikke andet at gøre, end at formatere pc’en og geninstallere Windows.

Hvem der garanterer for, at CSIS’s software er helt uskadelig? Vel kun CSIS, der er et dansk selskab med 40 ansatte.

“Vi kan jo heller ikke garantere for sikkerhedsprodukter fra for eksempel McAfee eller Symantec”, siger Peter Schleidt.

Godt det samme, for selv sikkerhedsselskaber hackes.

Tidligere blogindlæg om NemID, Nets og svindlen:

Nets (PBS) slås med stempel som phishing-site

PBS’s idiotiske navneskifte til Nets øger risiko ved NemID

29 kommentarer RSS

  1. Af Simon Jonassen

    -

    Så var det da godt at jeg fik slået alarm til banken den 6. Feb ca. kl 14.30 – godt en time efter jeg var blevet lænset for mine penge !

  2. Af Dorte Toft

    -

    @ Simon Jonassen. Godt vi har mennesker:-) Men du milde. Du varslede den 6. februar om eftermiddagen, men bank, finansråd m.v. varsler først alle andre den 10. Den normale forklaring ved netbank-indbrud har været, at man ville forstyrre efterforskningen ved at informere, men den holder da ikke. I dette tilfælde burde man vel straks være gået i radioen og på nettet med besked på, at der er nogle kriminelle, der er i aktion lige nu, så brug ikke din NemID, før vi ved mere. Gå i banken i stedet eller op til kommunen. Og så kan man afblæse, når man har fået cuttet forbindelsen mellem trojaneren og serveren.

    Hvad ville minusserne være ved en sådan kommunikationsstrategi? Den, der blev anvendt, resulterede i, at der blev kørt på de helt høje nagler med at sprede frygt dag efter dag. Og mange dage efter risikoen var væk.

    Jeg fatter i øvrigt ikke, at DanID ikke selv har en bomstærk it-sikkerhedsafdeling, men at efterforskning m.v. synes at være outsourcet til en 3. parts leverandør. Man kunne i det aktuelle tilfælde også have forestillet sig, at Danske Bank havde meldt ud via deres egen fremmeste sikkerhedsekspert.

  3. Af Simon Jonassen

    -

    Tja…. MEGET godt spørgsmål… men som “tiden” er lige nu, skal alt helst blæses op så højt som muligt !

    Jeg er bare glade for at have fået min penge igen – selvom det IKKE er normalt når man er erhvervskunde – der hæfter man nemlig selv…..

    /Simon :-)

  4. Af Dorte Toft

    -

    @ Simon Jonassen. Nå, da, da. Erhvervskunde. Det minder mig om et af mine tidligere blogindlæg om den uforståelige politik, der er for kompensation. http://bizzen.blogs.business.dk/2009/05/30/netbank-blot-et-angreb-fra-%C3%B8konomisk-ruin-hul-i-hovedet-finansradets/

    Men godt at høre, at banken har fornuften i behold.

  5. Af Simon Jonassen

    -

    Udemærket blog… tja nu har jeg jo også heldigvis flere private konti end erhvervskonti… he he !

  6. Af Michael Thomsen

    -

    Bankerne før indførslen af NemID: NemID er sikker pga papkortet, du kan bruge nemid på alle computere, også den på biblioteket.

    Kort efter måtte man kun bruge nemid på computere med 100% opdateret software, hvilket udelukker den på biblioteket og internetcafeen.

    Først skulle man skrive papkort-kode hver gang man lavede en transaktion – nu er det kun i tilfælde af den første transaktion i de fleste banker, efterfølgende kræver kun kodeord. Sjovt nok skal man papkort-verificere alt på nemid’s egen hjemmeside..

    Dernæst droppede man papkort kode ved login, så nu skal man bare sniffe brugernavn (evt cpr.nummer) og kodeord for at se diverse følsomme informationer, som er yderst velegnede til scamming: Vi har ved en fejl trukket 8937,21 kr på din konto, giv os dine kreditkortoplysninger, så vil vi tilbageføre dem..

    Min bankmand har netop svaret mig med følgende, da jeg muggede over de manglende papkort-forespørgsler: “[nemid] er i øvrigt fuldt godkendt som du sikkert ved”. Ja, det er meget fint; men jeg ved ikke hvem og hvordan det er godkendt, og som både privat og erhvervskunde er det delvist mig, som hænger på problemet hvis der bliver stjålet penge fra min konto.

    Så det giver unægteligt en vis ro i sindet at høre, at Simon har fået pengene retur, selvom der var tale om en erhvervskonto.

  7. Af Michael Thomsen

    -

    Den bliver da iøvrigt HELT gal, når vi skal bruge nemid til at verificere overfor kasinoer.

    Det bliver ren barnemad at oprette et par kasino sites, som høster nemid-brugernavne, kodeord, og papkort-koder og istedet overføre penge i baggrunden til højre og venstre.

    Gad vist om der er nogle, som har tænkt over det?

    Mit personlige gæt er nej..

  8. Af Ole Schmitto

    -

    Jeg er også forundret over at man fra finans verden vælger og bede kunder om og installere software på ens PC, så den kan checke.
    Hvad med næste udgave af denne trojaner, eller en ny type, betyder det så at brugeren skal downloade ny software…. og hvad med virksomheder med mange hundrede eller tusinde PC’er.. …. hvorfor har man ikke sendt trojaneren til virus producenterne, så de kan analyser den, og opdatere deres virus software med det samme, og dermed inkludere beskyttelse mod den. Det er jo ofte den måde man bliver beskyttet mod andre typer af virus, trojaner etc..

    PS. Til info er jeg selv indehaver af en IT-sikkerheds virksomhed

  9. Af S. Svendsen

    -

    Hej Dorte, din blog ang. nemid er jeg glad for. Men jeg har tænkt på, at bankerne selv bærer en del af ansvaret.
    For 17 år siden fik jeg netbank første gang med Diatel. Indtil da var mine pengesager adskilt fra mine regninger, kontoudtog mv.
    Dankort til kontantbetaling.
    Skriftlige kontoudtog pr. post
    Girkort i kuvert eller på posthus.

    I dag er det hele blandet sammen i en pærevælling, så den almindelige person der blot vil se sit kontoudtog REELT åbner for at overføre hele molevitten til en fjern bankforbindelse i udlandet.

    Bankerne har solgt homebanking som et convenience tool til masserne, for selv at spare penge. Nu har vi så en situation hvor det der burde være HELT ufarligt, at se hvor mange penge man har på sin konto også giver farlige muligheder for at tømme den.

    Nu går det heldigvis godt for de fleste, og bankerne har næppe tænkt sig at gå tilbage til girokort, bankbøger og kontoudtog i posten. Men som bruger har du fået et krydsermissil i hånden, hvor du før havde en kniv – og er du blevet klædt ordentlig på til det? Er bankerne SELV klar over, hvad de har givet dig lov til?

    Søren

  10. Af » NemID-trojanerens offer: Sådan faldt jeg i. Sådan ødelagde den også Windows - Bizzen – IT & Business

    -

    […] Danske Bank: NemID’s sikkerhed skal skærpes, men aktuel fare overstået […]

  11. Af Christian Nobel

    -

    @Søren

    Du har en meget god pointe med krydsermissilet, for det er jo lige præcis en del af det centrale problem.

    Folk har med computerens fremmarch fået et utroligt kraftigt “våben” stillet til rådighed, fint akkompagneret af sangen om at alt er blevet lettere, hurtigere osv. osv.

    Men sandheden er at computere er sindsygt komplekse, og muligheder for fejl og misbrug er astronomiske – men alligevel så “tørrer” bankerne og det offentlige arbejdet af på kunderne og borgene, selv om der er en række aspekter omkring sikkerheden og borgernes integritet der er stærkt bekymrende, for at sige det meget mildt.

    NemID blev i sin tid markedsført som den ultimative løsning, man kan jo f.eks. selv se hvad der står på borger.dk:

    https://www.borger.dk/Nyheder/Sider/Ny-digital-signatur-hedder-NemID.aspx

    Især er denne passus interessant:

    “Til forskel fra den nuværende digitale signatur, er det muligt at bruge NemID fra enhver pc med internetforbindelse – også i udlandet.”

    Argumentationen for at lave løsningen var jo at borgerne var for dumme til selv at holde rede på egen sikkerhed, så det skulle gøres centralt, trods det der ikke var lovhjemmel for det (NemID er i direkte modstrid med lov om elektroniske signaturer), og det oven i købet af en privat aktør.

    Nu står man så i den situation at modellen har fejlet katastrofalt, man ved reelt ikke hvor stort problemet er, og man ved ikke hvor mange personers OCES del af “NemID” der er blevet kompromitteret.

    Og for at understrege katastrofens totale omfang anbefales det nu de ramte (altså dem der ved de er ramt) at de skal reformattere deres Windows computer.

    Det er en total falliterklæring IMO, og burde få alle røde lamper til at lyse på Christiansborg, da der jo er i direkte modstrid med kommissoriet.

    Så vi er nødt til at løfte debatten til et højere plan end hvorvidt der er blevet stjålet nogen penge fra DDB, og så virkelig fokusere på om det er den vej vi vil pantsætte vores digitale fremtid.

    Christian Nobel

  12. Af Benny Ammitzbøll

    -

    Igen: Hvorfor tilbyder banker ikke at man kan spærre for overførsel til udenlandske konti? Eller sætte en max. beløbs grænse op som kræver evt. sms godkendelse inden det overføres?

    Hvorfor kan banker internationalt ikke finde ud af at aftale, hvordan den slags svindel-penge hives tilbage igen? Der er jo fuldstændig check på, hvor pengene overføres til.

    Og hvorfor skal vi have 1 enkelt hovednøgle der kan åbne ALT (NemId), som endda opbevares hos et privat foretagende? Der er en grund til at jeg har en nøgle til min cykel, men en anden til min hoveddør.

  13. Af Christian Nobel

    -

    “Og hvorfor skal vi have 1 enkelt hovednøgle der kan åbne ALT (NemId), som endda opbevares hos et privat foretagende? Der er en grund til at jeg har en nøgle til min cykel, men en anden til min hoveddør.”

    Det er faktisk værre end det, for som du selv skriver, så er det EN nøgle til ALT:
    Huset, bilen, cyklen, måske endda dit arbejde, haveskuret, bankboksen, konen kyskhedsbælte, vinkælderen, din gamle mors hus etc.

    OG det er IKKE DIN NØGLE, nej du skal bede andre om at låse op for dig, svarende til at du skal gå over på posthuset og bede en postmedarbejder låse op for dig, hver gang du skal indenfor.

    OG du kan ikke låne nøglen til haveskuret til din nabo så han kan låne din plæneklipper, du skal BLOTLÆGGE DET HELE.

    Modellen er en total misforståelse, og med Lars Frelle-Petersen og Co’s seneste manøvre, hvor de i ly af en inderlig ligegyldig betalingsring fik misbrugt det politiske tomrum til at lave en lynhøring omkring den digitale fremtid, så ser det meget dystert ud.

    Christian Nobel

  14. Af Dorte Toft

    -

    @Christian Nobel . Jeg er mere optimistisk end du, omend jeg ALDRIG har ønsket en og samme nøgle til alt og gentagne gange har kritiseret den strategi.

    Men både banker og det offentlige har for meget at tabe, hvis der ikke kommer bedre NemID’er eller hvad de hedder til danskerne.

    Alene det forhold skal nok få dem på rette spor.

    Jeg er så ikke den, der plæderer for en open source m.v. løsning til pc’en. Jeg ønsker slet ikke pc’en involveret. Man opbevarer heller ikke sin formue i en skuffe i kommoden:-)

    Men hvis min tanke om en helt dedikeret “bankterminal” på eget bette device ikke holder (fordi folk ikke gider ha’ den eller lign.), så vil jeg foretrække en løsning a la den danske Giritech har, hvor man via en USB på sin vis går uden om pc’en, og hvor teknologien også forhindrer man in the middle angreb.

    Til slut. Der er og har været kraftige forsøg på at sprede angst over for NemID herhjemme. Jeg har skrevet om det tidligere på denne blog.

    Lad mig så spørge. Hvordan har sikkerheden i DK foreløbig været i forhold til sikkerheden i landene omkring os? Teoretisk set og praktisk.

    Så vidt jeg er orienteret, er NemID løsningen sammenlignet med, hvad der ellers bruges, ganske god?

    At angrebet så gør det tvingende nødvendigt at skærpe sikkerheden er en selvfølge.

  15. Af Christian Nobel

    -

    “Men både banker og det offentlige har for meget at tabe, hvis der ikke kommer bedre NemID’er eller hvad de hedder til danskerne. ”

    Sorry Dorte, men der er vi så uenige – nogen gange er det bedre at acceptere sunk costs, og så komme fremad.

    Lige nu er vi i en situation hvor NemID er så farligt at der burde trækkes i hårdt i håndbremsen – bankerne kunne så rulle tilbage til deres respektiv egne gamle løsninger, og det offentlige burde læse ordentligt på lektien, og så indføre en rigtig digital signatur løsning, som overholdt loven, og hvor det ikke var kontrolleret af en privat gatekeeper. – og under alle omstændigheder SÅ MÅ ALLE ÆG IKKE LIGGE I EN KURV.

    Og det gør ikke spor at det tager noget tid, hellere det en at sjuske en løsning i gennem der på sigt er en tikkende bombe.

    Jeg vil hævde, at hvis HTS havde politisk mod, så slagtede hun NemID, Rejsekortet og IC4, i stedet for at spilde alt sin tid på et ligegyldigt Københavnerproblem – jeg vil gå så vidt som at sige at hvis hun udviste de mod, så havde hun en ny vælger (og det er ret så meget af en indrømmelse!).

    “Men hvis min tanke om en helt dedikeret “bankterminal” på eget bette device ikke holder (fordi folk ikke gider ha’ den eller lign.), så vil jeg foretrække en løsning a la den danske Giritech har, hvor man via en USB på sin vis går uden om pc’en, og hvor teknologien også forhindrer man in the middle angreb.”

    Jeg vil mene at det for tiden mest sikre er den tyske Chiptan løsning – og som sagt det er et blålys at tro at computere er nemme, og hvis folk ikke vil bruge en besværlig løsning, så er det nok også det bedste (altså at de lader være i stedet for at kompromittere egen sikkerhed), men helt klart der skal en løsning til hvor computeren ikke bliver det svage punkt, men det er også hamrende vigtigt at man selv og ingen andre er herre over egen nøgle.

    “Der er og har været kraftige forsøg på at sprede angst over for NemID herhjemme. ”

    Uenig – der har fra centralmagtens side være et stort ønske om at skubbe problemerne ind under tæppet, og der har så været en række personer der har prøvet at råbe myndigheder og offentligheden op, uden andet end at få skudt i skoene at man spreder angst.

    Eksempelvis er vi flere der for flere år siden sagde at det der er sket med DDB ville ske før eller siden, men det blev bare fejet til siden med udtalelsen om at det var et forsøg på at sprede angst – og nu er det sket, men er der lydt nogen indrømmelser desårsag?

    Og vi har kun set toppen af isbjerget – lad mig komme med en analogi:

    —–

    Som ingeniør nyder man som regel en vis faglig accept, og hvis man som ingeniør påpeger en konstruktionsfejl i f.eks. en bro, vil der som regel blive lyttet.

    Så jeg bor ved en kløft hvortil der ned igennem er en sti over til landsbyen på den anden side – det tager en halv time at gå der over, derfor bliver der opført en hængebro så man kan gå derover på 2 minutter, og det er selvfølgelig helt “frivilligt” at bruge broen.

    Nu er det jo sådan at jeg som ingeniør kan se at broen er fejlkonstrueret, så da jeg har mit liv kært jeg vil hellere gå den halve time, det må være mit problem – ind til en dag kommunen har fyldt bunden af kløften op med pigtråd, for jeg kan jo bare benytte broen!

    Men det er da helt frivilligt at bruge den.

    —–

    Se sagen er at jeg mener ud fra en faglig betragtning at NemID er at sammenligne med bro, men i stedet for at respektere det, så udråbes man til at være scaremonger – det synes jeg faktisk er for lavt, for hvis jeg er vidende om broen på et eller andet tidspunkt vil kollapse, er det så ikke min pligt at gøre opmærksom på det, før der mistes liv?

    Det her er alvorligt, meget alvorligt.

  16. Af Benny Ammitzbøll

    -

    Jeg er med på, at det er EN nøgle til ALT og også at den administreres af andre. Det er skidt, rigtig skidt endda.

    Jeg er også erhvervskunde (hos Nordea), men kan stadig logge på med den gamle løsning, hvor jeg selv har nøglen (passende isoleret på min linux maskine). Håber det kan vare ved så jeg slipper for NemId…

    Da jeg ved at evt. tab normalt IKKE dækkes af banken, så har jeg spurgt til muligheden for at spærre for overførsel til udenlandske konti eller en option, så jeg altid skal bekræfte via sms, hvis beløbet er over X kroner. Men det tilbyder bankerne ikke. Hvorfor dog ikke? Det ville være perfekt, så længe login løsningerne ikke er bedre sikret mod man in the middle angreb.

    Og trist som IT kyndig at høre på (bort)forklaringer i disse dage – “du skal være varsom hvis et pop-up vindue ikke ligner NemID bla bla…”. Det er jo ikke nogen LØSNING for p…. Som adskillige på version2.dk jo har peget på helt fra starten, så er NemId løsningen ganske simpelt defekt.

    Benny Ammitzbøll (som er uden NemId)

  17. Af Axel Hammerschmidt

    -

    Var it-eksperten Simon Jonassen logget på sin Windows boks med en konto med administrator rettigheder, da han besøgte hjemmesiden med troyaneren?

  18. Af Benny Ammitzbøll

    -

    @Axel: Ja, det var han muligvis og det er selvfølgelig ikke nogen god ide. MEN det er ikke nogen undskyldning – en login løsning som NemId skal kunne klare at folks computere ikke er sikre. De løsninger findes – og fandtes i øvrigt allerede inden NemId blev til.

  19. Af Christian Nobel

    -

    “en login løsning som NemId skal kunne klare at folks computere ikke er sikre.”

    Det var faktisk det der var hovedargumentet for at indføre “NemID”, ud fra en betragtning om at folket ikke selv var i stand til at tage vare på egen sikkerhed.

    Så meget desto mere sørgeligt at DanID nu løber fra ansvaret, og prøver at tørre den af på produktet – for husk brugerne af “NemID” er ikke kunderne, de er produktet, kunderne er bankerne og centralmagten.

  20. Af Axel Hammerschmidt

    -

    @Christian, 23. februar 2012 kl. 18:23.

    “Som ingeniør nyder man som regel en vis faglig accept, og hvis man som ingeniør påpeger en konstruktionsfejl i f.eks. en bro, vil der som regel blive lyttet”.

    Den er sgu’ morsom!

    Nej, jeg må desværre skuffe dig. Det er præcis samme misere idag, med ingeniører og brobygning. Jeg har flere års erfaring fra branchen.

    Idag blander en masse faggrupper, der ikke har begrebskaft om brokonstruktioner sig.

    Arkitekter er de værste, og det svarer vel til de der usability humanister, der blander sig i IT. Nemid er så et glimrende eksempel på det.

    Et virkelig grelt bro-eksempel var Millenium Bridge i London, der åbnede 10. juni 2000. Desværre, så havde ingeniøren ikke taget hensyn til den korrekte udsvingmodel (selv om de havde lagt det berømte film klip fra Tacoma Narrows Bridge kollapset på ingeniørfirmaets hjemmeside) og broen gyngede når folk gik på den.

    Der var mange kokke i køkkenet der – flippede “kreative” kunstnere, NGOer (velgørenhedsorganisationer) og politikere. Så det var i forvejen ikke nogen nem sag for ingeniørene.

    Broen blev lukket igen samme dag for så at genåbnene 2 år og svjh 65 millioner kr senere.

    Et andet tilfælde, hvor jeg selv var involveret, var en ståltrappe på Bispebjerg station i København. Jeg fik konstruktionen til gennemsyn i god tid og kom frem til, at trappen ville gynge når man gik på den. Vi – kontoret – skrev et brev til byggeledelsen/arkitekterne med advarslen.

    Der skete intet, før trappen blev monteret nogle måneder senere. Så ringede de fra arkitektkontoret: “Hva’ pokker er det i ingeniører går og laver, trappen gynger når man går på den!”.

    “Ja, det skrev vi til jer for flere måneder siden”.

    Så blev der stille i den anden ende af forbindelsen ;-)

  21. Af Dorte Toft

    -

    Nu fik jeg set et par videoer om den ekstra sikkerhedsforanstaltning, som bruges visse steder i Tyskland, altså dimsen ChipTan. Den har været i brug i et par år, og den er en bette smartcardlæser med et tastatur og en miniskærm.

    Der er flere videoer om den på YouTube, men denne er relativt kort og klar (hvis man forstår tysk:-)
    http://www.youtube.com/watch?v=5gyBC9irTsM&feature=related

    Som man kan se sendes der også et grafisk signal fra selve pc-skærmen til dimsen.

    Så alle I, der virkelig er kloge på sikkerhedsfronten. Er det p.t. den bedste løsning ude “i det fri”?

  22. Af Mikael Andersen

    -

    Jeg blev gårs dato af min bank tilbudt en forsikring mod svindel på mine to erhvervskonti til en pæne sum af 2xDKK 700,-

    Det er måske baggrunden for hele bankverdenens generelle accept af et usikkert system:

    Et forsikringsmarked opstået ud fra et lavkvalitetsprodukt, man selv har “solgt” som sikkert.

    Låsby-Svendsen har ikke levet forgæves.

    Ren iskold forretning efter laveste fællesnævners princip.

    Om få dage kan bankverdenen takke den trojanske hest for en meromsætning i millionklassen.
    På en dårlig dag kan man gøre sig de formasteligste tanker om hestens fødested.

  23. Af Kristian Risager Larsen

    -

    Man kunne forholdsvist nemt indbygge et Java-versionstjek i NemIDs applet. Hvis der ikke er tale om nyeste version til det givne OS, så får brugeren en advarsel og bliver bedt om at opdatere, før man logger ind.

    Og netbankerne kunne tilsvarende sætte et tjek på, om Flash og browseren er opdateret, på deres loginside.

    Det vil naturligvis ikke løse problemet 100%, men kan man nå 90% på denne måde, er det jo en stor gevinst.

  24. Af Dorte Toft

    -

    @ Den anonyme. Please. Tag direkte kontakt med mig via dorte.toft1 snabela gmail og det er selvfølgelig com. Non-nørden har behov for en hjælpende hånd.

  25. Af Dorte Toft

    -

    @Kristian Risager Larsen. Lyder som en god idé. Jeg undrer mig i øvrigt over, hvorfor Adobe ikke også lige “pinger” en om at opdatere flash, når man er ved at lukke systemet. Holdes man ude af Microsoft?

    Typisk når man tænder for pc’en er det jo fordi man SKAL i gang med noget, og så skyder man Flash-opdateringen til en senere gang. Når man er mig, eller rettere, når man VAR mig:-) Har lært lidt af denne hændelse.

    @Mikael Andersen Så din bank kommer og tilbyder dig forsikring mod at tabe, hvis nogen lænser din konto via NemID, umiddelbart efter at nogen har lænset konti….

    Umiddelbart virker det som meget dårlig timing, for banken burde vel forinden have fået sikkerheden ved NemID bedre på plads. Men har banken før været ude med tilbudet om forsikring?

  26. Af Mikael Andersen

    -

    Nej Dorte. Jeg har ikke tidligere modtaget dette tilbud.

    Har gårs dato i stedet foreslået banken at spærre mine konti for udbetalinger til udenlandske konti via netbank.
    (Jeg har så få betalinger til udlandet, at jeg kan klare det via bankbesøg.)
    Det var ikke muligt at spærre på denne måde pt.; men de ville se positivt på sagen.

    Efter min mening burde en stor del af risikoen for at miste pengene ellers være væk ved denne manøvre.

  27. Af Axel Hammerschmidt

    -

    Mikael, 29. februar 2012 kl. 04:35.

    “Har gårs dato i stedet foreslået banken at spærre mine konti for udbetalinger til udenlandske konti via netbank”.

    Det hjælper ikke. De bruger “muldyr” – een med dansk konto, som videresender pengene med Westernunion eller lignende.

  28. Af Axel Hammerschmidt

    -

    Til noget helt andet.

    I forbindelse med Stein Bagger sagen og hans venner kom du ind på noget der hed “augmented reality”.

    Jeg fandt lige denne her på den australske avis Sydney Morning Heralds hjemmeside, smh.com.au

    Swiss ‘augmented reality’ is out of this world

    March 6, 2012 – 9:44AM

    http://tinyurl.com/7egcog9

  29. Af Wakeup call for Denmark: NemID under attack « Finn Årup Nielsen's blog

    -

    […] bank did not discover the attack as it had lower the security mechanisms because it trusted […]

Kommentarer er lukket.