---

Dette har været diskuteret herinde før, hvor det bl.a. blev påstået at
det ikke kunne lade sig gøre.
http://www.wired.com/threatlevel/2009/09/rogue-bank-statements/

--
Andreas

---

Saxet fra ComputerWorld.dk

http://www.computerworld.dk/art/53346?cid=10&a=cid&i=10&o=16&pos=17


On 7 Okt., 12:04, Andreas Plesner Jacobsen <a...@daarligstil.dk>
wrote:
> Dette har været diskuteret herinde før, hvor det bl.a. blev påstået at
> det ikke kunne lade sig gøre.http://www.wired.com/threatlevel/2009/09/rogue-bank-statements/
>
> --
> Andreas

---

Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote in
news:slrnhcoptc.f2o.apj@irq.hestdesign.com:

> Dette har været diskuteret herinde før, hvor det bl.a. blev påstået at
> det ikke kunne lade sig gøre.
> http://www.wired.com/threatlevel/2009/09/rogue-bank-statements/

Nu er sikkerhedsspørgsmål ikke lige mit arbejdsfelt, men MITM står vel for
"Man In The Middle" - er det ikke betegnelsen for at fyren med den sorte
hat opfanger data trafik, ændrer den og sender den videre - noget der
f.eks. vil kræve kontrol med en router eller lignende udstyr som sidder
mellem kunde og bank? Og som delvis hindres vha. https trafik eller andre
former for kryptering af de data som sendes mellem kunde og bank?

Den beskrevne metode er vel en avanceret form for trojansk angreb, som
følges op af nogle ændringer i offerets browser som skjuler angrebet?

Mvh. NKJensen

---

On 2009-10-07, Niels Kristian Jensen <nkj@internetDYTgruppen.dk> wrote:
>
>> Dette har været diskuteret herinde før, hvor det bl.a. blev påstået at
>> det ikke kunne lade sig gøre.
>> http://www.wired.com/threatlevel/2009/09/rogue-bank-statements/
>
> Nu er sikkerhedsspørgsmål ikke lige mit arbejdsfelt, men MITM står vel for
> "Man In The Middle" - er det ikke betegnelsen for at fyren med den sorte
> hat opfanger data trafik, ændrer den og sender den videre - noget der

Jeg bruger det selv om andet end netværkstrafik, specielt fordi det i
moderne computere er mindre og mindre klart, hvad der er netværk, og
hvad der er computere.

--
Andreas

---

Angrebene er mere i retningen af MitB - Man in the browser.

http://en.wikipedia.org/wiki/Man_in_the_Browser

On 7 Okt., 14:30, Niels Kristian Jensen <n...@internetDYTgruppen.dk>
wrote:
> Andreas Plesner Jacobsen <a...@daarligstil.dk> wrote innews:slrnhcoptc.f2o.apj@irq.hestdesign.com:
>
> > Dette har været diskuteret herinde før, hvor det bl.a. blev påstået at
> > det ikke kunne lade sig gøre.
> >http://www.wired.com/threatlevel/2009/09/rogue-bank-statements/
>
> Nu er sikkerhedsspørgsmål ikke lige mit arbejdsfelt, men MITM står vel for
> "Man In The Middle" - er det ikke betegnelsen for at fyren med den sorte
> hat opfanger data trafik, ændrer den og sender den videre - noget der
> f.eks. vil kræve kontrol med en router eller lignende udstyr som sidder
> mellem kunde og bank? Og som delvis hindres vha. https trafik eller andre
> former for kryptering af de data som sendes mellem kunde og bank?
>
> Den beskrevne metode er vel en avanceret form for trojansk angreb, som
> følges op af nogle ændringer i offerets browser som skjuler angrebet?
>
> Mvh. NKJensen

---

Michael Christensen:

> Angrebene er mere i retningen af MitB - Man in the browser.

Ja, at det skulle være et MitM kan bl.a afvises fordi angrebet fejler, når
offeret benytter en anden computer.


--
Oops!... I did it again

---

Den 08 Oct 2009 15:58:57 GMT skrev Axel Hammerschmidt:
> Michael Christensen:
>
>> Angrebene er mere i retningen af MitB - Man in the browser.
>
> Ja, at det skulle være et MitM kan bl.a afvises fordi angrebet fejler, når
> offeret benytter en anden computer.

Så hvis nogen overtager en Cybercity-router, og bruger den til at
aflure min kode, er det heller ikke et MitM, fordi det fejler hvis jeg
bruger min mors PC? Hun har TDC

Et MitM angreb vil altid fejle hvis man går udenom det punkt hvor
angrebet foregår.

Mvh
Kent
--
"The Brothers are History"

---

Kent Friis:

> Den 08 Oct 2009 15:58:57 GMT skrev Axel Hammerschmidt:
>
>> Michael Christensen:
>>
>>> Angrebene er mere i retningen af MitB - Man in the browser.
>>
>> Ja, at det skulle være et MitM kan bl.a afvises fordi angrebet
>> fejler, når offeret benytter en anden computer.

Eller offeret bare benytter en anden browser. Det står der mer' om på
Finjans HP.

> Så hvis nogen overtager en Cybercity-router, og bruger den til at
> aflure min kode, er det heller ikke et MitM, fordi det fejler hvis jeg
> bruger min mors PC? Hun har TDC

På det sted er kommunikationen krypteret. Så hvordan ændre angriberen
skærmbilledet, og iøvrigt kender indholdet?

> Et MitM angreb vil altid fejle hvis man går udenom det punkt hvor
> angrebet foregår.

Det vil så mange andre angreb såmen osse.


--
Oops!... I did it again

---

Den 08 Oct 2009 16:56:26 GMT skrev Axel Hammerschmidt:
> Kent Friis:
>
>> Den 08 Oct 2009 15:58:57 GMT skrev Axel Hammerschmidt:
>>
>>> Michael Christensen:
>>>
>>>> Angrebene er mere i retningen af MitB - Man in the browser.
>>>
>>> Ja, at det skulle være et MitM kan bl.a afvises fordi angrebet
>>> fejler, når offeret benytter en anden computer.
>
> Eller offeret bare benytter en anden browser. Det står der mer' om på
> Finjans HP.
>
>> Så hvis nogen overtager en Cybercity-router, og bruger den til at
>> aflure min kode, er det heller ikke et MitM, fordi det fejler hvis jeg
>> bruger min mors PC? Hun har TDC
>
> På det sted er kommunikationen krypteret. Så hvordan ændre angriberen
> skærmbilledet, og iøvrigt kender indholdet?

Irrelevant i forhold til spørgsmålet.

>> Et MitM angreb vil altid fejle hvis man går udenom det punkt hvor
>> angrebet foregår.
>
> Det vil så mange andre angreb såmen osse.

Igen irrelevant.

Påstanden var at det ikke er et MitM angreb *fordi* angrebet fejler
hvis man undgår det punkt hvor angrebet foregår.

Et MitM angreb vil altid fejle hvis man undgår det punkt hvor angrebet
foregår, så under den påstand, vil intet kunne kategoriseres som
MitM angreb.

Mvh
Kent
--
"The Brothers are History"

---

Kent Friis:

>snip>

>> På det sted er kommunikationen krypteret. Så hvordan ændre
>> angriberen skærmbilledet, og iøvrigt kender indholdet?
>
> Irrelevant i forhold til spørgsmålet.

Du svarer ikke på spørgsmålene.

>>> Et MitM angreb vil altid fejle hvis man går udenom det punkt
>>> hvor angrebet foregår.
>>
>> Det vil så mange andre angreb såmen osse.
>
> Igen irrelevant.

Ikke i det her tilfælde...

> Påstanden var at det ikke er et MitM angreb *fordi* angrebet
> fejler hvis man undgår det punkt hvor angrebet foregår.

....hvad tror du det sidste "M" i "MITM "står for?

> Et MitM angreb vil altid fejle hvis man undgår det punkt hvor
> angrebet foregår, så under den påstand, vil intet kunne
> kategoriseres som MitM angreb.

I det her tilfælde er "MITM" i overskriften forkert. Der er såmen
bare tale om en key-logger med lidt ekstra funktioner.


--
2GB RAM should be enough for anyone.

---

Den 08 Oct 2009 17:38:29 GMT skrev Axel Hammerschmidt:
> Kent Friis:
>
>>snip>
>
>>> På det sted er kommunikationen krypteret. Så hvordan ændre
>>> angriberen skærmbilledet, og iøvrigt kender indholdet?
>>
>> Irrelevant i forhold til spørgsmålet.
>
> Du svarer ikke på spørgsmålene.
>
>>>> Et MitM angreb vil altid fejle hvis man går udenom det punkt
>>>> hvor angrebet foregår.
>>>
>>> Det vil så mange andre angreb såmen osse.
>>
>> Igen irrelevant.
>
> Ikke i det her tilfælde...
>
>> Påstanden var at det ikke er et MitM angreb *fordi* angrebet
>> fejler hvis man undgår det punkt hvor angrebet foregår.
>
> ...hvad tror du det sidste "M" i "MITM "står for?

Nu ved jeg tilfældigvis at det står for "Middle".

>> Et MitM angreb vil altid fejle hvis man undgår det punkt hvor
>> angrebet foregår, så under den påstand, vil intet kunne
>> kategoriseres som MitM angreb.
>
> I det her tilfælde er "MITM" i overskriften forkert. Der er såmen
> bare tale om en key-logger med lidt ekstra funktioner.

Det er din holdning. Det er blevet kaldt MITM de andre gange vi
har diskuteret det.

Det var ikke mig der begyndte med at kalde det MITM denne gang, jeg
opponerede bare imod påstanden om at det ikke er MITM *fordi* at
det ikke virker hvis man undgår det punkt hvor angrebet foregår.

Hvis du vil diskutere det, bedes du fremføre nogen argumenter der
er relevante for den diskussion.

Hvis du derimod vil diskutere om det grundlæggende er tale om et MITM
angreb, må gøre det i den deltråd hvor det bliver diskuteret.

Mvh
Kent
--
"The Brothers are History"

---

Kent Friis <nospam@nospam.invalid> wrote:

> Den 08 Oct 2009 17:38:29 GMT skrev Axel Hammerschmidt:
>
> > Kent Friis:
> >
> >>snip>
> >
> >>> På det sted er kommunikationen krypteret. Så hvordan ændre
> >>> angriberen skærmbilledet, og iøvrigt kender indholdet?
> >>
> >> Irrelevant i forhold til spørgsmålet.
> >
> > Du svarer ikke på spørgsmålene.
> >
> >>>> Et MitM angreb vil altid fejle hvis man går udenom det punkt
> >>>> hvor angrebet foregår.
> >>>
> >>> Det vil så mange andre angreb såmen osse.
> >>
> >> Igen irrelevant.
> >
> > Ikke i det her tilfælde...
> >
> >> Påstanden var at det ikke er et MitM angreb *fordi* angrebet
> >> fejler hvis man undgår det punkt hvor angrebet foregår.
> >
> > ...hvad tror du det sidste "M" i "MITM "står for?
>
> Nu ved jeg tilfældigvis at det står for "Middle".

Hurra! Og når det punkt 'der fejler' er i den ene ende, så er det ikke
'middle' - vel.

Og du mangler stadig at redegøre for hvordan angriberen læser HTML
trafik og udskifter skærmbilleder, når han kun beherske min router (hvor
trafikken er krypteret).

> >> Et MitM angreb vil altid fejle hvis man undgår det punkt hvor
> >> angrebet foregår, så under den påstand, vil intet kunne
> >> kategoriseres som MitM angreb.
> >
> > I det her tilfælde er "MITM" i overskriften forkert. Der er såmen
> > bare tale om en key-logger med lidt ekstra funktioner.
>
> Det er din holdning. Det er blevet kaldt MITM de andre gange vi
> har diskuteret det.
>
> Det var ikke mig der begyndte med at kalde det MITM denne gang, jeg
> opponerede bare imod påstanden om at det ikke er MITM *fordi* at
> det ikke virker hvis man undgår det punkt hvor angrebet foregår.
>
> Hvis du vil diskutere det, bedes du fremføre nogen argumenter der
> er relevante for den diskussion.
>
> Hvis du derimod vil diskutere om det grundlæggende er tale om et MITM
> angreb, må gøre det i den deltråd hvor det bliver diskuteret.

Jeg ved ikke hvad du tror vi diskuterer, men en keylogger er ikke MitM.

Det er nok heller ikke tilfældigt, at denne malware hedder 'URLZone
Trojan'.

Jeg kender ikke 'Postbank.de'. Med Danske Bank Netbank og Aktivcard
bruger man OTP og et password og er ikke bundet til en bestemt computer.

En transaktion som en kontooverførsel kan afbrydes og genoptages på en
anden computer flere steder. Man kan f.eks bestille overførslen til
næste dag på sin stationære. Genoptage og validerer overførslen på sin
bærbare. Efterfølgende gå ind og checke transaktioenen på sin Mac. Og
dagen efter bruge sin Netbook til at se om beløbet er korrekt og blevet
overført til den rigtige modtager. Mindre kan osse gøre det hvor URLZone
Trojan vil fejle.

I et (rigtig) MitM angreb ville det ikke gøre nogen forskel. Hvis det
kunne lade sig gøre at bryde krypteringen.

Og selv et rigtig MitM angreb kan omgås ved f.eks at skifte mellem
fastnet bredbånd og mobil bredbånd på de rigtige steder som beskrevet.

HTH.

Det eksempel fra Finjan, beskriver hvordan nogle "dygtige hackere" har
scoret sølle 300.000 Euro. Hvis de i stedet havde brugt deres talent på
at lave et ordenligt dagital Tinglysningssystem for Domstolstyrelsen
kunne de ha' scoret en halv milliard kroner.

Man skal ikke tro på alt man læser på The Web.


--
"I believe in having an open mind, but not so open that your brains fall
out." Grace M. Hopper.

---

On 2009-10-08, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>> >
>> > ...hvad tror du det sidste "M" i "MITM "står for?
>>
>> Nu ved jeg tilfældigvis at det står for "Middle".
>
> Hurra! Og når det punkt 'der fejler' er i den ene ende, så er det ikke
> 'middle' - vel.
>
> Og du mangler stadig at redegøre for hvordan angriberen læser HTML
> trafik og udskifter skærmbilleder, når han kun beherske min router (hvor
> trafikken er krypteret).

Hvis der er tre routere mellem dig og din bank, og angriberen har brudt
ind i din sidder han heller ikke i midten.

>> Hvis du derimod vil diskutere om det grundlæggende er tale om et MITM
>> angreb, må gøre det i den deltråd hvor det bliver diskuteret.
>
> Jeg ved ikke hvad du tror vi diskuterer, men en keylogger er ikke MitM.

Det er heller ikke en keylogger det handler om.

> Det er nok heller ikke tilfældigt, at denne malware hedder 'URLZone
> Trojan'.

Åh, nu forstår jeg. Hvis bogstavet "o" indgår er det ikke MITM? For det
er jo tilfældet med "keylogger" og "urlzone". Eller er det "e"?

> Jeg kender ikke 'Postbank.de'. Med Danske Bank Netbank og Aktivcard
> bruger man OTP og et password og er ikke bundet til en bestemt computer.

Jeg tror vi har fortalt dig det før. Activcard er ikke og bliver aldrig
OTP. Hvis du vil se OTP, så kig på Jyske Banks papirkort. Der er dog
fortsat intet i de sikkerhedssystemer, der garanterer hvad du skriver
under på med dit password.

> En transaktion som en kontooverførsel kan afbrydes og genoptages på en
> anden computer flere steder. Man kan f.eks bestille overførslen til
> næste dag på sin stationære. Genoptage og validerer overførslen på sin
> bærbare. Efterfølgende gå ind og checke transaktioenen på sin Mac. Og
> dagen efter bruge sin Netbook til at se om beløbet er korrekt og blevet
> overført til den rigtige modtager. Mindre kan osse gøre det hvor URLZone
> Trojan vil fejle.

Det lyder da som et perfekt sikkerhedssystem! Hvordan vil du få kunder
til at benytte det?

> HTH.

Kent spurgte ikke efter hjælp. Og han får det aldrig fra dig.

> Det eksempel fra Finjan, beskriver hvordan nogle "dygtige hackere" har
> scoret sølle 300.000 Euro. Hvis de i stedet havde brugt deres talent på
> at lave et ordenligt dagital Tinglysningssystem for Domstolstyrelsen
> kunne de ha' scoret en halv milliard kroner.
>
> Man skal ikke tro på alt man læser på The Web.

Jeg har svært ved at følge din logik. Fordi det var EUR 300k, så er det
ikke sandt?

--
Andreas

---

Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote:

> On 2009-10-08, Axel Hammerschmidt <hlexa@hotmail.com> wrote:

<snip>

> > Jeg ved ikke hvad du tror vi diskuterer, men en keylogger er ikke MitM.
>
> Det er heller ikke en keylogger det handler om.

I det her tilfælde var det.

EOD.


--
"I believe in having an open mind, but not so open that your brains fall
out." Grace M. Hopper.

---

On 2009-10-08, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>
>> > Jeg ved ikke hvad du tror vi diskuterer, men en keylogger er ikke MitM.
>>
>> Det er heller ikke en keylogger det handler om.
>
> I det her tilfælde var det.
>
> EOD.

Nej, en keylogger skifter ikke sider ud.

--
Andreas

---

Den Thu, 8 Oct 2009 21:53:49 +0000 (UTC) skrev Andreas Plesner Jacobsen:
> On 2009-10-08, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>>> >
>>> > ...hvad tror du det sidste "M" i "MITM "står for?
>>>
>>> Nu ved jeg tilfældigvis at det står for "Middle".
>>
>> Hurra! Og når det punkt 'der fejler' er i den ene ende, så er det ikke
>> 'middle' - vel.
>>
>> Og du mangler stadig at redegøre for hvordan angriberen læser HTML
>> trafik og udskifter skærmbilleder, når han kun beherske min router (hvor
>> trafikken er krypteret).
>
> Hvis der er tre routere mellem dig og din bank, og angriberen har brudt
> ind i din sidder han heller ikke i midten.

Lige præcis. MITM betyder ikke at angrebet foregår på halvvejen, men
bare at data udskiftes et eller andet sted imellem brugeren og banken,
så brugeren tror han kommunikerer direkte med banken.

>> Jeg kender ikke 'Postbank.de'. Med Danske Bank Netbank og Aktivcard
>> bruger man OTP og et password og er ikke bundet til en bestemt computer.
>
> Jeg tror vi har fortalt dig det før. Activcard er ikke og bliver aldrig
> OTP. Hvis du vil se OTP, så kig på Jyske Banks papirkort. Der er dog
> fortsat intet i de sikkerhedssystemer, der garanterer hvad du skriver
> under på med dit password.

I min verden er OTP en krypterings-nøgle hvor hver bit kun bruges en
gang. De omtalte papirkort er passwords, krypteringen foregår vel
stadig med alm. SSL (3des, velsagtens).

Begrebs-forvirring?

Mvh
Kent
--
"The Brothers are History"

---

On 2009-10-09, Kent Friis <nospam@nospam.invalid> wrote:
>>
>> Jeg tror vi har fortalt dig det før. Activcard er ikke og bliver aldrig
>> OTP. Hvis du vil se OTP, så kig på Jyske Banks papirkort. Der er dog
>> fortsat intet i de sikkerhedssystemer, der garanterer hvad du skriver
>> under på med dit password.
>
> I min verden er OTP en krypterings-nøgle hvor hver bit kun bruges en
> gang. De omtalte papirkort er passwords, krypteringen foregår vel
> stadig med alm. SSL (3des, velsagtens).

One Time Password vs One Time Pad.

Kontekst er konge.

--
Andreas

---

On 2009-10-08, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>>
>> Nu ved jeg tilfældigvis at det står for "Middle".
>
> Hurra! Og når det punkt 'der fejler' er i den ene ende, så er det ikke
> 'middle' - vel.

Bonusspørgsmål: Hvor kan et MITM-angreb opstå i et større cluster, der
er baseret på bl.a. NUMA, InfiniBand og PCI Express?

--
Andreas

---

Look what the cat dragged in - Andreas Plesner Jacobsen:

> On 2009-10-08, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>>>
>>> Nu ved jeg tilfældigvis at det står for "Middle".
>>
>> Hurra! Og når det punkt 'der fejler' er i den ene ende, så er det ikke
>> 'middle' - vel.
>
> Bonusspørgsmål: Hvor kan et MITM-angreb opstå i et større cluster, der
> er baseret på bl.a. NUMA, InfiniBand og PCI Express?

Baffle them with science...


--
Oops!... I did it again

---

On 2009-10-08, Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>>>
>>> Hurra! Og når det punkt 'der fejler' er i den ene ende, så er det ikke
>>> 'middle' - vel.
>>
>> Bonusspørgsmål: Hvor kan et MITM-angreb opstå i et større cluster, der
>> er baseret på bl.a. NUMA, InfiniBand og PCI Express?
>
> Baffle them with science...

Ja, jeg ved godt at det er helt urimeligt af mig at jeg stiller krav til
folks definitioner af de udtryk de bruger.

Som sagt var det med fuldt overlæg at jeg brugte MITM-betegnelsen, da
moderne computere og netværk er en stor smeltedigel, og grænserne er
meget udviskede.

--
Andreas

---

http://en.wikipedia.org/wiki/One-time_password

On 9 Okt., 07:12, Kent Friis <nos...@nospam.invalid> wrote:

> I min verden er OTP en krypterings-nøgle hvor hver bit kun bruges en
> gang. De omtalte papirkort er passwords, krypteringen foregår vel
> stadig med alm. SSL (3des, velsagtens).
>
> Begrebs-forvirring?
>
> Mvh
> Kent
> --
> "The Brothers are History"

---

Den Wed, 7 Oct 2009 10:04:28 +0000 (UTC) skrev Andreas Plesner Jacobsen:
> Dette har været diskuteret herinde før, hvor det bl.a. blev påstået at
> det ikke kunne lade sig gøre.
> http://www.wired.com/threatlevel/2009/09/rogue-bank-statements/

Tvært imod er det blevet påstået at det ikke kan lade sig gøre at
beskytte sig imod.

SSL, passwords, engangs-koder, elektroniske engangs-koder, alle kan
omgås på den måde.

Det er blevet foreslået som en mulig løsning at lave en USB-dims med
egen skærm (og firmware'n i ROM), som beløb, kontonumre osv overføres
krypteret til (krypteret fra banken til dimsen), hvor på
transaktionen skal godkendes. Så PC'en mere eller mindre reduceres
til en del af netværket.

Mvh
Kent
--
"The Brothers are History"

---

On 2009-10-07, Kent Friis <nospam@nospam.invalid> wrote:

>> Dette har været diskuteret herinde før, hvor det bl.a. blev påstået at
>> det ikke kunne lade sig gøre.
>> http://www.wired.com/threatlevel/2009/09/rogue-bank-statements/
>
> Tvært imod er det blevet påstået at det ikke kan lade sig gøre at
> beskytte sig imod.

"bl.a.". Og jo, jeg tænker på en helt bestemt person.

--
Andreas

---

Den Wed, 7 Oct 2009 16:53:16 +0000 (UTC) skrev Andreas Plesner Jacobsen:
> On 2009-10-07, Kent Friis <nospam@nospam.invalid> wrote:
>
>>> Dette har været diskuteret herinde før, hvor det bl.a. blev påstået at
>>> det ikke kunne lade sig gøre.
>>> http://www.wired.com/threatlevel/2009/09/rogue-bank-statements/
>>
>> Tvært imod er det blevet påstået at det ikke kan lade sig gøre at
>> beskytte sig imod.
>
> "bl.a.". Og jo, jeg tænker på en helt bestemt person.

Ah på den måde. Ok, der var vist nogen der var svære at overbevise.

Jeg kan dog ikke huske navne. Gigasoft laver da ikke netbank-produkter

Mvh
Kent
--
"The Brothers are History"