/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Man-in-the-middle demo
Fra : Axel Hammerschmidt


Dato : 04-11-11 14:14

Så må selv Jesper Poulsen ku' forstå det:

<http://www.version2.dk/artikel/video-saadan-kan-nemid-hackes-32396>

Kort link:

http://tinyurl.com/6hqwe3t


--
Ikke ham på Facebook.

 
 
Søren (04-11-2011)
Kommentar
Fra : Søren


Dato : 04-11-11 14:50

Den 04-11-2011 14:13, Axel Hammerschmidt skrev:
> Så må selv Jesper Poulsen ku' forstå det:
>
> <http://www.version2.dk/artikel/video-saadan-kan-nemid-hackes-32396>
>
> Kort link:
>
> http://tinyurl.com/6hqwe3t
>
>

Det kræver vel så at det sted, den hackede ønsker at gå ind på,
viderestiller til ex vis bank eller andre steder. Altså biblioteket, som
er vist, viderestiller. Ellers kan hackeren i eksemplet vel kun bestille
bøger?
Det er selvfølgelig muligt at den hackede får tilsendt et falsk link til
banken og så hackeren dermed får adgang til bankkontoen. Men svarer vel
lidt til via falsk link at blive bedt om at oplyse kortnummer og
pinkode.....

-Søren

Kent Friis (04-11-2011)
Kommentar
Fra : Kent Friis


Dato : 04-11-11 16:46

Den Fri, 04 Nov 2011 14:49:31 +0100 skrev Søren:
> Den 04-11-2011 14:13, Axel Hammerschmidt skrev:
>> Så må selv Jesper Poulsen ku' forstå det:
>>
>> <http://www.version2.dk/artikel/video-saadan-kan-nemid-hackes-32396>
>>
>> Kort link:
>>
>> http://tinyurl.com/6hqwe3t
>>
>>
>
> Det kræver vel så at det sted, den hackede ønsker at gå ind på,
> viderestiller til ex vis bank eller andre steder. Altså biblioteket, som
> er vist, viderestiller. Ellers kan hackeren i eksemplet vel kun bestille
> bøger?
> Det er selvfølgelig muligt at den hackede får tilsendt et falsk link til
> banken og så hackeren dermed får adgang til bankkontoen. Men svarer vel
> lidt til via falsk link at blive bedt om at oplyse kortnummer og
> pinkode.....

Mener du at papkortet er udstyret med en validering af at det rent
faktisk er bibliotekets hjemmeside de pågældende koder bliver brugt
på?

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

Søren (04-11-2011)
Kommentar
Fra : Søren


Dato : 04-11-11 20:05

Den 04-11-2011 16:45, Kent Friis skrev:
> Den Fri, 04 Nov 2011 14:49:31 +0100 skrev Søren:
>> Den 04-11-2011 14:13, Axel Hammerschmidt skrev:
>>> Så må selv Jesper Poulsen ku' forstå det:
>>>
>>> <http://www.version2.dk/artikel/video-saadan-kan-nemid-hackes-32396>
>>>
>>> Kort link:
>>>
>>> http://tinyurl.com/6hqwe3t
>>>
>>>
>>
>> Det kræver vel så at det sted, den hackede ønsker at gå ind på,
>> viderestiller til ex vis bank eller andre steder. Altså biblioteket, som
>> er vist, viderestiller. Ellers kan hackeren i eksemplet vel kun bestille
>> bøger?
>> Det er selvfølgelig muligt at den hackede får tilsendt et falsk link til
>> banken og så hackeren dermed får adgang til bankkontoen. Men svarer vel
>> lidt til via falsk link at blive bedt om at oplyse kortnummer og
>> pinkode.....
>
> Mener du at papkortet er udstyret med en validering af at det rent
> faktisk er bibliotekets hjemmeside de pågældende koder bliver brugt
> på?
>
> Mvh
> Kent
Nej, jeg mener at det viste eksempel kun kan være 'farligt' hvis det er
muligt at 'hoppe videre' fra bibliotekets bogside til ex vis banken.
Ellers kræves der jo ny kode og den har hackeren jo ikke. Jeg kan f.
eks. fra mit bank-logon hoppe videre til e-Boks og der kræves kun
adgangskode og ikke NemID kode. Ved ikke om man kan det samme fra
biblioteks-login :)

-Søren

Kent Friis (04-11-2011)
Kommentar
Fra : Kent Friis


Dato : 04-11-11 21:07

Den Fri, 04 Nov 2011 20:04:42 +0100 skrev Søren:
> Den 04-11-2011 16:45, Kent Friis skrev:
>> Den Fri, 04 Nov 2011 14:49:31 +0100 skrev Søren:
>>> Den 04-11-2011 14:13, Axel Hammerschmidt skrev:
>>>> Så må selv Jesper Poulsen ku' forstå det:
>>>>
>>>> <http://www.version2.dk/artikel/video-saadan-kan-nemid-hackes-32396>
>>>>
>>>> Kort link:
>>>>
>>>> http://tinyurl.com/6hqwe3t
>>>>
>>>>
>>>
>>> Det kræver vel så at det sted, den hackede ønsker at gå ind på,
>>> viderestiller til ex vis bank eller andre steder. Altså biblioteket, som
>>> er vist, viderestiller. Ellers kan hackeren i eksemplet vel kun bestille
>>> bøger?
>>> Det er selvfølgelig muligt at den hackede får tilsendt et falsk link til
>>> banken og så hackeren dermed får adgang til bankkontoen. Men svarer vel
>>> lidt til via falsk link at blive bedt om at oplyse kortnummer og
>>> pinkode.....
>>
>> Mener du at papkortet er udstyret med en validering af at det rent
>> faktisk er bibliotekets hjemmeside de pågældende koder bliver brugt
>> på?
>
> Nej, jeg mener at det viste eksempel kun kan være 'farligt' hvis det er
> muligt at 'hoppe videre' fra bibliotekets bogside til ex vis banken.
> Ellers kræves der jo ny kode og den har hackeren jo ikke.

Og derved må du forudsætte at papkortet kan kontrollere at den kode
det har oplyst til brug for at logge ind på bibliotekets side ikke
bruges til at logge ind på bankens side *i stedet for*.

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

Axel Hammerschmidt (04-11-2011)
Kommentar
Fra : Axel Hammerschmidt


Dato : 04-11-11 18:20

Søren:

<snip>

> Det kræver vel så at det sted, den hackede ønsker at gå ind på,
> viderestiller til ex vis bank eller andre steder. Altså
> biblioteket, som er vist, viderestiller. Ellers kan hackeren i
> eksemplet vel kun bestille bøger?

Siden har slet ikke noget at gøre med Herlev Bibliotek.

Manden i midten, der bestyrer herlev-bibliot.dk åbner en forbindelse
til danskebank.dk. Når du så vil logge ind på den hjemmeside, som du
tror er Herlev Biblioteks hjemmeside, sender du bruger id og password
som kan læses af manden i midten. de oplysninger sender han så videre
til Danske Banks hjemmeside.

Danske Banks hjemmeside svarer så med det 4-cifrede nummer, som
bankens system ved står på dit kort. Dette 4-cifrede nummer viser
manden i midten dig på herlev-bibliotek.dk og når du har indtastet
det tilsvarende 6-cifrede nummer læser han det og kan så sende det
til danskebank.dk. Samtidig har han lavet det sådan, at du får en
fejlmeddelse om at en server er nede.

Nu er manden i midten logget på din netbank konto hos Danske bank og
kan overfører penge til sin muldyr. Han kender jo dit password fra
dengang du loggede på herlev-bibliotek.dk og det er det eneste han
behøver for at kunne lave en overførsel når han er logget på din
netbank.

> Det er selvfølgelig muligt at den hackede får tilsendt et falsk
> link til banken og så hackeren dermed får adgang til bankkontoen.
> Men svarer vel lidt til via falsk link at blive bedt om at oplyse
> kortnummer og pinkode.....

Det behøver ikke engang være din bank, at du bruger din Nemid på.

Det er bl.a det de gør opmærksom på på V2. Efterhånden som flere og
flere hjemmesider benytter Nemid, kommer du til at bruge
oplysningerne fra din OTP - One Time Pad, dit papkort - flere og
flere steder. Men det er de samme 4- og 6-cifrede numrer der kan
bruges til at får adgang alle stederne - herunder til din netbank.

PS. Burde Version2 ikke lukke Jakob Møllerhøj's adgang? De lukkede da
min adgang til Version2 da jeg demonstrerede hvordan ens logon til
Version2 kunne stjæles.

Se kommentarne her, især den fra Casper Thomsen:

<http://www.version2.dk/artikel/efter-firesheep-facebook-og-twitter-
scorer-dumpekarakter-paa-sikkerhed-16871>

Kort link:

http://tinyurl.com/6kmd3cj




--
Banned from Version2.dk for writing a Firesheep script.

Søren (04-11-2011)
Kommentar
Fra : Søren


Dato : 04-11-11 20:38

Den 04-11-2011 18:20, Axel Hammerschmidt skrev:
> Søren:
>
> <snip>
>
>> Det kræver vel så at det sted, den hackede ønsker at gå ind på,
>> viderestiller til ex vis bank eller andre steder. Altså
>> biblioteket, som er vist, viderestiller. Ellers kan hackeren i
>> eksemplet vel kun bestille bøger?
>
> Siden har slet ikke noget at gøre med Herlev Bibliotek.
>
> Manden i midten, der bestyrer herlev-bibliot.dk åbner en forbindelse
> til danskebank.dk. Når du så vil logge ind på den hjemmeside, som du
> tror er Herlev Biblioteks hjemmeside, sender du bruger id og password
> som kan læses af manden i midten. de oplysninger sender han så videre
> til Danske Banks hjemmeside.
>
> Danske Banks hjemmeside svarer så med det 4-cifrede nummer, som
> bankens system ved står på dit kort. Dette 4-cifrede nummer viser
> manden i midten dig på herlev-bibliotek.dk og når du har indtastet
> det tilsvarende 6-cifrede nummer læser han det og kan så sende det
> til danskebank.dk. Samtidig har han lavet det sådan, at du får en
> fejlmeddelse om at en server er nede.
>
> Nu er manden i midten logget på din netbank konto hos Danske bank og
> kan overfører penge til sin muldyr. Han kender jo dit password fra
> dengang du loggede på herlev-bibliotek.dk og det er det eneste han
> behøver for at kunne lave en overførsel når han er logget på din
> netbank.
>
>> Det er selvfølgelig muligt at den hackede får tilsendt et falsk
>> link til banken og så hackeren dermed får adgang til bankkontoen.
>> Men svarer vel lidt til via falsk link at blive bedt om at oplyse
>> kortnummer og pinkode.....
>
> Det behøver ikke engang være din bank, at du bruger din Nemid på.
>
> Det er bl.a det de gør opmærksom på på V2. Efterhånden som flere og
> flere hjemmesider benytter Nemid, kommer du til at bruge
> oplysningerne fra din OTP - One Time Pad, dit papkort - flere og
> flere steder. Men det er de samme 4- og 6-cifrede numrer der kan
> bruges til at får adgang alle stederne - herunder til din netbank.
>

OK, så fattede jeg det
Men kræver jo så at man følger et 'falsk' link og ikke bruger sin egen
genvej til bank el. lign.

-Søren

Kent Friis (04-11-2011)
Kommentar
Fra : Kent Friis


Dato : 04-11-11 21:08

Den Fri, 04 Nov 2011 20:38:14 +0100 skrev Søren:
> Den 04-11-2011 18:20, Axel Hammerschmidt skrev:
>> Søren:
>>
>> <snip>
>>
>>> Det kræver vel så at det sted, den hackede ønsker at gå ind på,
>>> viderestiller til ex vis bank eller andre steder. Altså
>>> biblioteket, som er vist, viderestiller. Ellers kan hackeren i
>>> eksemplet vel kun bestille bøger?
>>
>> Siden har slet ikke noget at gøre med Herlev Bibliotek.
>>
>> Manden i midten, der bestyrer herlev-bibliot.dk åbner en forbindelse
>> til danskebank.dk. Når du så vil logge ind på den hjemmeside, som du
>> tror er Herlev Biblioteks hjemmeside, sender du bruger id og password
>> som kan læses af manden i midten. de oplysninger sender han så videre
>> til Danske Banks hjemmeside.
>>
>> Danske Banks hjemmeside svarer så med det 4-cifrede nummer, som
>> bankens system ved står på dit kort. Dette 4-cifrede nummer viser
>> manden i midten dig på herlev-bibliotek.dk og når du har indtastet
>> det tilsvarende 6-cifrede nummer læser han det og kan så sende det
>> til danskebank.dk. Samtidig har han lavet det sådan, at du får en
>> fejlmeddelse om at en server er nede.
>>
>> Nu er manden i midten logget på din netbank konto hos Danske bank og
>> kan overfører penge til sin muldyr. Han kender jo dit password fra
>> dengang du loggede på herlev-bibliotek.dk og det er det eneste han
>> behøver for at kunne lave en overførsel når han er logget på din
>> netbank.
>>
>>> Det er selvfølgelig muligt at den hackede får tilsendt et falsk
>>> link til banken og så hackeren dermed får adgang til bankkontoen.
>>> Men svarer vel lidt til via falsk link at blive bedt om at oplyse
>>> kortnummer og pinkode.....
>>
>> Det behøver ikke engang være din bank, at du bruger din Nemid på.
>>
>> Det er bl.a det de gør opmærksom på på V2. Efterhånden som flere og
>> flere hjemmesider benytter Nemid, kommer du til at bruge
>> oplysningerne fra din OTP - One Time Pad, dit papkort - flere og
>> flere steder. Men det er de samme 4- og 6-cifrede numrer der kan
>> bruges til at får adgang alle stederne - herunder til din netbank.
>>
>
> OK, så fattede jeg det
> Men kræver jo så at man følger et 'falsk' link og ikke bruger sin egen
> genvej til bank el. lign.

Det gør alle web-baserede phishing-metoder.

Det samme kan gøres med alm. malware, det kræver så til gengæld at man
dummer sig så meget at man får skidtet installeret.

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

Jesper Lund (04-11-2011)
Kommentar
Fra : Jesper Lund


Dato : 04-11-11 22:23

Søren wrote:

> OK, så fattede jeg det
> Men kræver jo så at man følger et 'falsk' link og ikke bruger sin egen
> genvej til bank el. lign.

Ja, men..

NemID anvendes mange andre steder end din bank og det offentlige.

DanID har en stor marketingafdeling som prøver at overtale virksomheder
til at erstatte deres normale kundelogin (userid, password) med NemID.
Det skyldes at DanID får en krone per login fra virksomheden (eller 3-4
kroner per bruger/Ã¥r). Follow the money..

DanID har ikke en offentlig tilgængelig liste med steder hvor NemID
anvendes. Java appletten er indlejret på websiden, og din mulighed for at
verificere at den kommer fra DanID er meget begrænset.

SÃ¥.. hvordan skal jeg skelne mellem rigtige og fake NemID sider?

--
Jesper Lund

Kent Friis (04-11-2011)
Kommentar
Fra : Kent Friis


Dato : 04-11-11 23:04

Den 04 Nov 2011 21:22:43 GMT skrev Jesper Lund:
> Søren wrote:
>
>> OK, så fattede jeg det
>> Men kræver jo så at man følger et 'falsk' link og ikke bruger sin egen
>> genvej til bank el. lign.
>
> Ja, men..
>
> NemID anvendes mange andre steder end din bank og det offentlige.
>
> DanID har en stor marketingafdeling som prøver at overtale virksomheder
> til at erstatte deres normale kundelogin (userid, password) med NemID.
> Det skyldes at DanID får en krone per login fra virksomheden (eller 3-4
> kroner per bruger/år). Follow the money..
>
> DanID har ikke en offentlig tilgængelig liste med steder hvor NemID
> anvendes. Java appletten er indlejret på websiden, og din mulighed for at
> verificere at den kommer fra DanID er meget begrænset.
>
> Så.. hvordan skal jeg skelne mellem rigtige og fake NemID sider?

Hvis du alligevel overlader dine penge til de hoveder hos DanID der
ikke har et begreb om sikkerhed, kan det vel være ligemeget om det
er en rigtig eller en fake NemID side.

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

Jesper Lund (05-11-2011)
Kommentar
Fra : Jesper Lund


Dato : 05-11-11 00:43

Kent Friis wrote:

> Hvis du alligevel overlader dine penge til de hoveder hos DanID der ikke
> har et begreb om sikkerhed, kan det vel være ligemeget om det er en
> rigtig eller en fake NemID side.

Det kan man bestemt argumentere for, men..

På den anden side er der nogen DJØF-genier i Finansministeriet som har
fået den geniale ide at NemID skal gøres obligatorisk for borgerne
(statens digitaliseringsstrategi).

--
Jesper Lund

Kent Friis (05-11-2011)
Kommentar
Fra : Kent Friis


Dato : 05-11-11 01:19

Den 04 Nov 2011 23:42:34 GMT skrev Jesper Lund:
> Kent Friis wrote:
>
>> Hvis du alligevel overlader dine penge til de hoveder hos DanID der ikke
>> har et begreb om sikkerhed, kan det vel være ligemeget om det er en
>> rigtig eller en fake NemID side.
>
> Det kan man bestemt argumentere for, men..
>
> På den anden side er der nogen DJØF-genier i Finansministeriet som har
> fået den geniale ide at NemID skal gøres obligatorisk for borgerne
> (statens digitaliseringsstrategi).

Hvor har du hørt det?

Hvis de virkelig skulle få den tåbelige ide, må de jo udlevere computere
og internet-forbindelser.

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

Jesper Lund (05-11-2011)
Kommentar
Fra : Jesper Lund


Dato : 05-11-11 01:24

Kent Friis wrote:

>> På den anden side er der nogen DJØF-genier i Finansministeriet som har
>> fået den geniale ide at NemID skal gøres obligatorisk for borgerne
>> (statens digitaliseringsstrategi).
>
> Hvor har du hørt det?

<http://www.version2.dk/artikel/dansk-it-borgerne-faar-en-bedre-service-
med-digitale-loesninger-30390>

Eller Google på "tvangsdigitalisering" for maaange flere links.

--
Jesper Lund

Kent Friis (05-11-2011)
Kommentar
Fra : Kent Friis


Dato : 05-11-11 01:42

Den 05 Nov 2011 00:24:05 GMT skrev Jesper Lund:
> Kent Friis wrote:
>
>>> På den anden side er der nogen DJØF-genier i Finansministeriet som har
>>> fået den geniale ide at NemID skal gøres obligatorisk for borgerne
>>> (statens digitaliseringsstrategi).
>>
>> Hvor har du hørt det?
>
> <http://www.version2.dk/artikel/dansk-it-borgerne-faar-en-bedre-service-
> med-digitale-loesninger-30390>
>
> Eller Google på "tvangsdigitalisering" for maaange flere links.

Hvis det bedste du kan klare er en formand for en eller anden forening
der allerede med deres navn gør det klart at de kun har øje for den
ene side, så kan det ikke skulle tages mere alvorligt end hvis en eller
anden Apple-fanboy mener alle skal have iPhones.

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

Jesper Lund (05-11-2011)
Kommentar
Fra : Jesper Lund


Dato : 05-11-11 02:12

Kent Friis wrote:

> Hvis det bedste du kan klare er en formand for en eller anden forening
> der allerede med deres navn gør det klart at de kun har øje for den ene
> side, så kan det ikke skulle tages mere alvorligt end hvis en eller
> anden Apple-fanboy mener alle skal have iPhones.

Læste du første sætning i artiklen?

"Fredag offentliggjorde regeringen deres digitaliseringsstrategi".

Rapporten kan findes på Finansministeriets hjemmeside.

--
Jesper Lund

Kent Friis (05-11-2011)
Kommentar
Fra : Kent Friis


Dato : 05-11-11 08:10

Den 05 Nov 2011 01:12:12 GMT skrev Jesper Lund:
> Kent Friis wrote:
>
>> Hvis det bedste du kan klare er en formand for en eller anden forening
>> der allerede med deres navn gør det klart at de kun har øje for den ene
>> side, så kan det ikke skulle tages mere alvorligt end hvis en eller
>> anden Apple-fanboy mener alle skal have iPhones.
>
> Læste du første sætning i artiklen?
>
> "Fredag offentliggjorde regeringen deres digitaliseringsstrategi".

En artikel kunne præcis lige så vel starte med samme sætning, efterfulgt
af hvad en Apple-fanboy kunne tænke sig at strategien skulle indeholde.

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408914
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste