---

Hej sikkerheds gruppe
Min gamle arbejdsgiver gav mig en ide til et nyt program han syntes jeg
skulle udvikle.

Det skulle være et program der gjorde det umuligt for hackere at sniffe ens
koder til f.eks banken

Det lyder selvfølgeligt som en god ide, problemet er bare at jeg ikke ved
noget om hvordan de spyware virker.

Sniffer de bare ens indtastninger på keyboardet eller er det mere teknisk?

Hvis de blot sniffer ens indtastninger er programmet jo rimelig let at lave,
men hvis de også sniffer skærmbileder, er det jo straks værre.

Håber nogen her kan hjælpe mig med at forklare hvordan de hackere arbejder,
og hvordan de spyvare programmer virker.

MVH
Bjarne
www.ydicon.dk

---

Den Mon, 26 Mar 2007 06:17:52 +0200 skrev Bjarne Østergård:
> Hej sikkerheds gruppe
> Min gamle arbejdsgiver gav mig en ide til et nyt program han syntes jeg
> skulle udvikle.

Åh nej, dig igen.

> Det skulle være et program der gjorde det umuligt for hackere at sniffe ens
> koder til f.eks banken

Du er ret glad for det ord "umuligt"...

> Det lyder selvfølgeligt som en god ide, problemet er bare at jeg ikke ved
> noget om hvordan de spyware virker.

Sådan er det hver gang. Kaster du dig aldrig over noget du ved noget
om?

> Sniffer de bare ens indtastninger på keyboardet eller er det mere teknisk?

De sniffer på det der er nødvendigt.

> Hvis de blot sniffer ens indtastninger er programmet jo rimelig let at lave,
> men hvis de også sniffer skærmbileder, er det jo straks værre.

Tastatur, skærmbilleder, indtastningsfelter i programmet (så **** ikke
nytter), netværk, lægger et usynligt vindue ovenpå det man indtaster i,
så man reelt indtaster direkte i spyware-programmet, og sikkert endnu
flere.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Bjarne Østergård wrote:

> Det skulle være et program der gjorde det umuligt for hackere at sniffe ens
> koder til f.eks banken
>
> Det lyder selvfølgeligt som en god ide, problemet er bare at jeg ikke ved
> noget om hvordan de spyware virker.

Folk, der ved alt om, hvordan spyware fungerer, har heller ikke været i
stand til at lave et program, der forhindrer det.

Ikke for at være lyseslukker (eller - jo, det bliver det vel nærmest),
men giver det dig ikke et hint om realismen i projektet?

> Hvis de blot sniffer ens indtastninger er programmet jo rimelig let at lave,
> men hvis de også sniffer skærmbileder, er det jo straks værre.

Hvorfor?

M.v.h.

Jonathan

--
Er din email vigtig? Er du træt af, at din hjemmeside er nede?
Stabilt webhotel på redundant setup med daglig backup.
POP3, IMAP, PHP, JSP, Java, Perl, Python, Telnet, SSH, Cron-jobs m.v.
http://www.jsp-hotel.dk/

---

On Mon, 2007-03-26 at 06:17 +0200, Bjarne Østergård wrote:
> Det skulle være et program der gjorde det umuligt for hackere at sniffe ens
> koder til f.eks banken

Drop homebanking, det plejer at sætte en stopper for den slags
problemmer...eller tag den modsatte vinkel, bankerne dækker det
økonomiske tab, hvorfor bekymre sig?

> Det lyder selvfølgeligt som en god ide, problemet er bare at jeg ikke ved
> noget om hvordan de spyware virker.
>
> Sniffer de bare ens indtastninger på keyboardet eller er det mere teknisk?

Det er forskelligt.

Nogle sniffer keyboardet, andet sniffer input felter i browseren, andre
i applikationen der afvikles fra browseren, andre narre brugeren til at
indtaste brugernavn og password på en side der intet har med banken at
gøre. Andre laver deres egen browser, brugeren ikke kan se er fake. Find
selv på flere metoder at narre folk på, der kommer hele tiden nye
metoder.

> Hvis de blot sniffer ens indtastninger er programmet jo rimelig let at lave,
> men hvis de også sniffer skærmbileder, er det jo straks værre.

Drop det...det er umuligt at lave et system, der skal redde et
komprimeret system. Det kræver at systemet ikke er komprimeret.

Det kunne dog løses ved et challenge/response system på en ekstern
enhed, der var med til at validere ens transaktion...men jeg gætter på
bankerne har beregnet udgiften, kontra risikoen.

---

Hej gruppe og Christian

Christian E. Lysel skrev:


> Det kunne dog løses ved et challenge/response system på en ekstern
> enhed, der var med til at validere ens transaktion...men jeg gætter på
> bankerne har beregnet udgiften, kontra risikoen.

Det bruger jeg da dagligt:

https://netbank.bgbank.dk/html/index.html?site=BGNB&secsystem=KO

Den kan bruges alle steder, i alle browsere. Der er ingen certifikater
og nøgler på min PC, som hackerne kan hugge. Lige meget hvad jeg har
tastet, så har det ændret sig næste gang.

Egentligt troede jeg at de fleste der ulejliger sig i denne gruppe
forlængst havde indset, at propritære systemer indbygget i/sammenbygget
med i Microsofts browser, ikke kan tilbyde en fornuftig sikkerhed.

Og det er ikke nødvendigvis kun Microsofts skyld, men lige så meget dem
der sidder bar tasterne på disse systemer.

Bjarne?? Det var ham med: "Find din stjålne PC med et klik på nettet",
ikke?? Hvis hjemmeside afslørede den der tidligere havde registreret sig
på den.

Hvis kan skal beskytte min PC, så tror jeg jeg vælger at stå i kø ved
kassen


Med venlig hilsen

Lars P. Møller

---

Lars Møller skrev:
> Hej gruppe og Christian
>
> Christian E. Lysel skrev:
>
>
>> Det kunne dog løses ved et challenge/response system på en ekstern
>> enhed, der var med til at validere ens transaktion...men jeg gætter på
>> bankerne har beregnet udgiften, kontra risikoen.
>
> Det bruger jeg da dagligt:
>
> https://netbank.bgbank.dk/html/index.html?site=BGNB&secsystem=KO
>
PS: Linket skulle have været :

https://www.bgbank.dk/activcard

Mvh

Lars P. Møller

---

Den Tue, 27 Mar 2007 21:48:28 +0200 skrev Lars Møller:
> Hej gruppe og Christian
>
> Christian E. Lysel skrev:
>
>
>> Det kunne dog løses ved et challenge/response system på en ekstern
>> enhed, der var med til at validere ens transaktion...men jeg gætter på
>> bankerne har beregnet udgiften, kontra risikoen.
>
> Det bruger jeg da dagligt:
>
> https://netbank.bgbank.dk/html/index.html?site=BGNB&secsystem=KO
>
> Den kan bruges alle steder, i alle browsere. Der er ingen certifikater
> og nøgler på min PC, som hackerne kan hugge. Lige meget hvad jeg har
> tastet, så har det ændret sig næste gang.

Selv den beskytter ikke imod et man in the middle angreb, hvor beløb
og kontonummer byttes ud uden brugeren opdager det. Det diskuterede
vi her i gruppen for ikke ret længe siden. For at sikre imod det
problem, er det nødvendigt at kontonummeret indtastes på den eksterne
enhed (beløbet er mindre vigtigt, hvis bare man kan sikre at de stadig
havner på den rigtige konto, er der ikke meget vundet i at ændre
beløbet).

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On Mon, 2007-03-26 at 21:15 +0200, Jonathan Stein wrote:
> Folk, der ved alt om, hvordan spyware fungerer, har heller ikke været i
> stand til at lave et program, der forhindrer det.
>
> Ikke for at være lyseslukker (eller - jo, det bliver det vel nærmest),
> men giver det dig ikke et hint om realismen i projektet?

Hvorfor får du mig til at tænke på:

http://web.politiken.dk/media/grafik/7613.gif

---

On Tue, 2007-03-27 at 21:48 +0200, Lars Møller wrote:
> Den kan bruges alle steder, i alle browsere. Der er ingen certifikater
> og nøgler på min PC, som hackerne kan hugge. Lige meget hvad jeg har
> tastet, så har det ændret sig næste gang.

Den løsning er sårbar over for et angreb i GUI'en, hvor angriberen
forfalsker bank applikationen på din maskine. Er angriberen god, kan du
ikke se forskel på en browser, certifikat godkendelses sider og bank
applikationen.

Den har været vendt et par gange i gruppen...senest med eksempel på hvor
nemt der er at lege med en java applet.


Min pointe var at enheden skal validere ens transaktion.

Du vil gerne give esben 5 kr. I bank applikationen udfylder du dette.
Applikationen giver nu challengen 99.
I dit token taster du "5esben99".

Dit token bygger et response på baggrund af 5esben99, som du nu giver
til bank applikationen.

"5esben99" er blot et eksempel der nok skal blive ganske upraktisk...men
jeg gætter på det kan laves smartere, det kunne fx være de sidste 4
cifre i bank kontoen.