Bankattacker

Nå, Guje, vad säjer du om senaste bankattackerna ? Fast du har ju redan för länge sedan sagt en hel del ...

Tyvärr tycks både banker och politiker vara fullständigt bortkomna ifråga om nätets säkerhet. Allt tyder på att först en riktigt stor smhällelig katastrof får dem att vakna till. Och troligen springa runt som huvudlösa höns ...

Polisen skall utreda ... Ha-ha-ha, de vet inget, kan inget och får heller inga resurser av politikerna.

Upplagt för riktigt mycket elände i framtiden.

Bankerna kör väl trådlöst...eller...

Månne inte allt är sagt redan vad som skall sägas? Bara att luta sig bakåt i TV stolen och följa med underhållningen.

För 10 år sedan bad jag min då 14 åriga dotter ladda ner Cain&Abel för att göra en Man-in-the-middle attack mot min bank-PC. Flickan plockade faktiskt fram engångslösenorden och följde med min https krypterade banksession - i klartext på sin egen PC.

Inte bra så jag kontaktade Ficora. De tyckte inte heller att det lät bra så deras jurist kontaktade mig och bad mig inte störa dem i fortsättningen!

Så, jag jag visade tricket åt YLE hur lätt man knäcker banksekretessen i det här landet. YLE bad Nordea om en kommentar, som hälsade att om bankens namn nämns i TV-inslaget så bussar dom sina jurister på YLE. Inslaget visades förstås i TV men blev bortförklarat av Ficoras dataexpert.

Så, jag kontaktade Nordeas styrelse som först hotade med sina jurister. När de märkte att jag trots allt har svårt att hålla tyst blev jag bjuden på kaffe med praliner på Alexendarsgatan i HAB:ens gamla salar. En småmysig tillställning där jag fick lära mig

a) hur litet det här problemet egentligen är eftersom de mestadels har företagskunder som på något sätt lär vara immuna mot MITM-attacker

b) att alla andra banker gör ju så här galet dom också, så då kan den bästa banken, Nordea, inte ändra sina rutiner heller

c) att om nån lyckas sno mina pengar från kontot så har de nog råd att betala dem tillbaka. Vilket jag ingalunda betvivlar, med tanke på mitt blygsamma saldo.

Att mina pengar i så fall hade hamnat i fel ficka och finansierarat gu-vet-vad bekymrade dem inte alls. Eftersom även jag lider av attitydproblem är jag inte kund i den banken längre.

Så, vad jag vet är allt både sagt och gjort redan.

Mig veterligen kör bankerna i Finland fortfarande med halv säkerhet utan riktig kundcertifiering.

Inte att undra på att all världens wannabees vädrar morgonluft...

Enligt optimisten kommer bankerna att ändra sitt beteende först då den stora katastrofen är ett faktum. Enligt pessimisten kommer de inte ens då att förbättra säkerheten ...

För min del använder jag Aktia och loggar in på vanligt sätt med användarnamn och lösenord. Men varje transaktion måste bekräftas med en sexsiffrig kod som kan användas bara en gång. Koderna får jag per snigelpost enligt en frekvens som tydligen bestäms enligt hur många koder jag har använt. Jag får 144 st per gång.

Även om någon kan avläsa min förbindelse och komma över mitt användarnamn, mitt lösenord och sifferkoden för den sessionen kan inga nya transaktioner från kontot göras utan en ny sifferkod. Så jag brukar betrakta systemet som säkert och har använt det överallt, bl.a. från hotell, också utomlands.

Och om nån sitter där i mitten, mellan dig och banken, och bara väntar in din engångskod, och - då du skickar den - bryter kontakten till dig och utnyttjar koden på "bästa" sätt?

Om nu systemet är så säkert som du antar så är det väl ingen vits att kryptera trafiken över huvud taget. Eller?

I min värld betyder ordet "banksekretess" att även innehållet i mina banktransaktioner hålls hemliga. Det är inte bara kontotömningar som skall vara omöjliga. Även Kontots saldo och transaktioner måste förbli skyddade!

Engångskoder och kryptering låter förstås bra. Men om banken inte med säkerhet vet vem som sitter i andra ändan så är keden inte så värst stark.

Bankkoderna används ju också för att identifiera sig till andra aktörer, t.ex. skatteförvaltningen och befolkningsregistret. Hur är det med den saken då, kan nån annan ändra mina registeruppgifter?

Knappast kan nån ändra dina registeruppgifter. De ligger väl inskrivna i någon databas långt ner i urberget utan Internet-access. ... väl
Däremot har man hört om att personuppgifterna kan stjälas och sedan användas lite här och där. Kanske i någon web-butik som inte är så nogräknad med vart de skickar varan och vem som får fakturan.

Men det är en annan sak.

Såhär funkar den MITM-attack jag snackar om. Finessen är inbyggd i ARP-standarden så man kan inte fixa till det sådär bara. All TCP/IP trafik bygger på ARP-protokollet som finns i alla former av IP-trafik. Både i koppartrådar, fiber och i trådlöst. Hjälper inte att kryptera.

http://www.oxid.it/downloads/apr-intro.swf (Bli icke förskräckta av de första bilderna - klicka er fram i sekvensen så dyker animeringarna upp )

Den typ av kryptering bankerna i Finland använder sig av öppnas av en bugg i krypteringsprotokollet. Så här är alltså MINST TVÅ sk. egenskaper eller planeringsmissar som samverkar för att knäcka banksekretessen.

Aktia har även byggt in en annan säkerhetsmekanism i systemet. Om transaktionen går till ett konto utomlands räcker det inte med engångskoden. Då fordras ytterligare en pinkod för denna transaktion som kommer till mig som SMS. Också denna kod är en engångskod. Allt detta gör att jag nog inte oroar mig särskilt mycket för att någon skulle komma åt mina blysamma tillgångar på banken. Det är säkert lättare att kolla beloppen än att komma åt dem. Helt trygg kan man väl aldrig vara. Om NSA beslutar sig för att trakassera mig på något sätt kan nog ingen hindra dem.

Men hur skulle ett säkert system se ut? Vad vore det i andra sammanhang nämnda best practice för nätbankernas säkerhet?

Krypterad kommunikation borde bli normalinställning. Med ett tillräckligt bra krypteringsprotokoll.

Inte blir ett system med engångskoder säkrare om man frågar efter ännu fler engångskoder. Är koderna synliga i skurkdatorn så är dom. Det är ju som att läsa upp engångskoden direkt från pappret för honom. Bara att invänta den sista koden ... sen slår han till.


PortKatterno: "Men hur skulle ett säkert system se ut?"

T.ex. som Nordea gör i Sverige. Där ger de också ett certifikat åt kunden så banken med säkerhet vet vem som är i andra ändan, sk. dubbla certifikat, ett för banken och ett för kunden. I Finland är det bara banken som har certifikat medan kunderna får engångskoder. Lite som man använder toapapper.


Klicka här och välj fliken e-kod
https://internetbanken.privat.nordea.se/nsp/login



eller här: Nordea på finska, men inte i Finland.
https://solo.nordea.com/nsc/engine?language=fi&cou ntry=FI


Så, nog kan dom bara dom vill!!!

Här i dagarna fick jag frågan: "Är det faktiskt så att det fortfarande är möjligt att läsa bankens SSL-krypterade lösenord från en annan dator?"

Så jag prövade Cain&Abel - precis som för över 10 år sedan. Denna gång valde jag Andelsbanken. Bedöm själva hur krypterat det är!

Test 1:
"REQUEST_PREVIOUS_QUERYSTRING=id%3D81201%26panknro%3D556009%26&REQUEST_LOGIN_ATTEMPTED=true&USERNAME=GujeWasHere&PWD=0071&x=17&y=5"

Test 2:
"REQUEST_PREVIOUS_QUERYSTRING=id%3D81201%26panknro%3D556009%26&REQUEST_LOGIN_ATTEMPTED=true&USERNAME=12121212&PWD=3232&x=12&y=5"


Såhär säger Nordea på sin Login-sida:

"Den här förbindelsen är krypterad med SSL-teknik. Låset i webbläsaren visar att förbindelsen är krypterad. I webbläsaren Firefox blir låset synligt då du klickar på texten "Nordea Bank Finland Plc (FI)" som finns på grön botten i adressfältet."
https://solo1.nordea.fi/nsp/login?language=sv&coun try=FI


Så att...inte så stora förändringar där inte! Däremot har Cain&Abel blivit ännu bättre. Hittade nya funktioner med nånting dom kallar för "Certificate Injection". Vad nu det kan vara? Kanske Nordea kan berätta!


-----------
PS. Ni kanske börjar förstå varför jag VURMAR för L2 låsningen i våra fibernät. Vi har ingående talat om just den saken i tråden om det ultimata nätet.

Nu är det ju inte enbart bankerna som låter bli att berätta hela sanningen.

Även vi IT-mänskor tillhör samma patrask. ALLA vet att det är såhär - men INGEN gör nånting åt det. (förutom då något enstaka troll från Bromarf-skogarna och en och annan Italienare).

Exakt vad är det som IT-fackfolket tycker att är det roliga i MITM-attacker? I ur och skur, på konferans efter konferans, år ut och år in, visar man hur "enkelt" det går att blåsa dumma användare på deras lösenrd - bara man vill!!? Var är yrkesstoltheten - etiken?

Här ett alldeles färskt exempel igen. Skruva er fram till någon sekund före 25 minuter och tryck på play!

http://areena.yle.fi/tv/2449755

Så jag prövade Cain&Abel - precis som för över 10 år sedan. Denna gång valde jag Andelsbanken. Bedöm själva hur krypterat det är!

Guje: Kan du beskriva topologin lite?