Hacket netbank-kunde afslører: Ond NemID-trojaner smadrede Windows

Dansk it-konsulent fik tømt sin konto i Danske Bank af NemID-hackere. Her fortæller han Version2, hvordan trojaneren sletter sporene efter sig.

Skaberne af den trojaner, der blev brugt til NemID-indbruddet i otte Danske Bank-kunders netbanker, gjorde sig umage for at kunne slette sporene efter sig. Programmet slettede nemlig også programfilerne fra brugerens pc.

Det fortæller it-konsulent Simon Jonassen, som var én af dem, der blev ramt, til Version2.

»Jeg måtte bruge en hel uge på at starte forfra,« siger Simon Jonassen.

Han ved ikke, hvilken hjemmeside trojaneren er kommet ind på hans Windows-pc fra, men han kan fortælle, hvad der skete, da trojaneren og bagmændene gik i aktion.

»Jeg var inde på min netbank om morgenen for at udskrive nogle kontooversigter. Der dukkede så det her NemID-vindue op, og jeg kunne ikke komme videre, så jeg indtastede en kode og tænkte så ikke videre over det,« fortæller Simon Jonassen.

Læs også: Pas på: Listig NemID-trojaner stjæler også alle dine kodeord

Senere samme dag gik han igen ind på sin netbank.

»Jeg kunne så se, at alt på kontoen var væk,« siger Simon Jonassen.

Alle pengene, der havde stået på kontoen, var blevet overført til en anden konto. Da Simon Jonassen tidligere på dagen havde logget på netbanken, havde bagmændene opsnappet hans brugernavn og adgangskode.

Det popup-vindue, hvor han blev bedt om en ekstra NemID-kode, gav bagmændene den kode, de skulle bruge for selv at få adgang til netbanken, så de kunne foretage en pengeoverførsel til udlandet.

Da Simon Jonassen opdagede, at hans konto var tømt, forsøgte han i første omgang selv at finde ud af, hvem pengene var blevet overført til.

»Jeg markerede navnet i netbanken, åbnede et nyt faneblad og søgte på navnet. Så begyndte det at fyre op med Windows-popup-vinduer med 'Indsæt cd' eller manglende DLL-fil, den ene efter den anden. Til sidst slukkede jeg bare for maskinen. Da jeg prøvede at starte den igen, ville den slet ikke,« fortæller Simon Jonassen.

Den trojaner, som blev brugt, og som Simon Jonassen havde fået på sin pc, indeholdt nemlig en funktion, som var beregnet til at slette alle spor. Det bekræfter sikkerhedskonsulent Peter Kruse fra sikkerhedsfirmaet CSIS.

»En del af malwaren er, at den sletter sporene. Den bruger en helt særlig fremgangsmåde, som vi ikke har set før,« siger Peter Kruse til Version2.

Det har også gjort efterforskningen vanskelig, fordi det gør det svært at indsamle dokumentation for, eksempelvis hvilken hjemmeside trojaneren oprindeligt er blevet spredt fra.

Simon Jonassen slog selv alarm til Danske Bank om indbruddet i hans netbank, men ved heller ikke, hvordan hans pc blev inficeret i første omgang, bortset fra at det er sket via én af de sårbarheder, som trojaneren forsøgte at udnytte.

Han fortæller i en kommentar til it-journalist Dorte Toft på Business.dk, at Danske Bank har kompenseret ham for tabet, selvom han er erhvervskunde, som normalt selv hæfter i højere grad end private forbrugere.

Men den ramte pc krævede en større operation for at blive reddet efter angrebet og den selvdestruktionsmekanisme, som bagmændene havde bygget ind i trojaneren.

»Jeg forsøgte at reparere pc'en ved at kopiere manglende DLL-filer over, men det hjalp ikke. Den havde slettet både Windows og alle programfiler,« forklarer Simon Jonassen til Version2.

Kommentarer (81)

Finn Aarup Nielsen

I Version2's debat har nogle debatøre argumenteret at der har været tale om en Fejl 40. Det er interessant i dette tilfælde at den ramte er en IT-konsulent som vel er et rimelig stykke mere kompetent end den gennemsnitlige IT-bruger. Også Simon Jonassens bemærkning "[...] Der dukkede så det her NemID-vindue op, og jeg kunne ikke komme videre [...]" tyder på at man som travl IT-bruger skal være overordentligt vågen og vagtsom for ikke at falde i.

Hvis jeg har lov, må jeg sige angrebet er et flot stykke hacker-håndværk...

Christian Nobel

@Thomas

Drop nu det der elitære bullshit.

Når nu næste bølge af "NemID" brud bliver endnu mere raffineret, og det går ud over dig, vil du så sige det samme?

Det her er indiskutabelt, det produkt der blev lovet som et sikkert produkt, hvor:

"det er muligt at bruge NemID fra enhver pc med internetforbindelse - også i udlandet."

har fejlet big time, og det kan man altså ikke bare skubbe ind under tæppet og kalde brugerne for dumme.

Michael Nielsen

Jeg syntes sgu det er for svagt at prøve at tørre denne fadæse af på brugerne.

Mange af de brugere vi taler om er også ældre mennesker der knapt forstår hvad en computer er - disse folk bliver tvunget til at bruge NemID i fremtiden...

Jeg ved at selv de meste forhærdede IT Nørder er ikke immune over for NemID hacking, fordi jeg hved flere metoder hvor det kan gøres, og bare 5 seks uopmærksomhed på en lille detailje, så er du hacket..

Så vil man havde at 80 årige Ida på plejehjemmet skal være frontline forsvarer mod en hacker...

Suk..

Problemet ligger i en ufattelig dårlig implementering af et så kaldt sikkerhedssystem, jeg tror næppe i nyere tid, der har været en værre (aka dårligere) implementation.

Sikkerhed bør implementeres således der er meget få ting en bruger skal huske at gøre, eller checke før man bruger systemet, og systemet skal være lavet til at være modstandsdygtig over for alle gængse angrebs former, hvilket NemID på ingen måde er.

Simon Jonassen

Tja... jeg fik da hugget mine penge... og TRO mig, jeg har følt mig noget så dum lige siden...

@thomas... hvad vil du foreslå ? jeg har jo haft firewall, antivirus osv...og nej jeg vil IKKE forvente noget af corsair.... havde det været kingston derimod.....

@kristian... der er formentlig ikke nogen der dækker dette tab, den må jeg vel selv æde desværre....

og så til sidste, bare fordi man har lukket munden op, behøver I nu hellere ikke at grille mig....

/Simon :-)

Michael Nielsen

Trust me Simon, I'm on your side.

Jeg forstår ikke disse folk der forsvarere NemID med klør og næb, og benægter der er store katastrofale fejl i dens design. Jeg har kæmpet i mod dem siden ca 2006/7 da konceptet først blev kendt...

Det er som om at NemID "can do no wrong", hvordan kan folk være så blinde over for så i øjnefalende teknsiske fejl som dette produkt indeholder, det er mig mere ufattelig, end at en IT konsulent er blevet hacket.

Det er på ingen måde din skyld du blev hacket, da systemet ikke burde tillade at dette kunne ske, og det er teknisk muligt (hvis man gjorde det rigtig) at beskytte brugeren mod disse slags angreb.

Simon Jonassen

Jeg har i øvrigt også pointeret et andet problem overfor den journalist jeg snakkede med....

efter at have fisket lidt i min internet cache, finder jeg .html /JavaScript filer fra banken hvori der fremgår både kunde (læs cpr) nummer, adresse, telefon, mobil, email osv. osv..... også filer med kontonumre, kontobevægelser osv.... det mener jeg IKKE er iorden, og jeg har snakket med banken.... de trak nærmeste på skulderne !

jeg fik at vide jeg kunne bare lade være med at cache https - IGEN MIT PROBLEM..... nej nej nej.... det tager jo ikke ret meget for bankens programmører at lave en PRAGMA NO-CACHE !

/Simon :-)

Thomas Bundgaard

Drop nu det der elitære bullshit.

Når nu næste bølge af "NemID" brud bliver endnu mere raffineret, og det går ud over dig, vil du så sige det samme?

Der er sgu intet hverken elitært eller bullshit over det. Jeg har ikke kaldt Simon dum og jeg har ikke givet ham skylden.

At NemID er defekt pr. design er en helt anden diskussion, men at mene, at Nets/DanID/MS/Staten/NOGEN skal betale erstatning for spildt tid er helt ude i hampen i mine øjne. Han har fået pengene igen, som han selvfølgelig skal, og så er det det.

Jeg syntes sgu det er for svagt at prøve at tørre denne fadæse af på brugerne.

Hvem gør det da?

@thomas... hvad vil du foreslå ? jeg har jo haft firewall, antivirus osv...og nej jeg vil IKKE forvente noget af corsair.... havde det været kingston derimod....

Opdateret browser, java, adobe reader, flash osv. osv? Lukket for ubrugte services? Kørte du som lokal-admin?

Det er selvfølgelig ikke din skyld, at du blev ramt, og jeg er heller ikke ude på at "grille dig".

Men at forlange, som Kristian tilsyneladende gør det, at NETS/DanID skal betale erstatning for den tid du har brugt på reinstallation.. det er sgu lidt tyndt. Der er jo heller ingen, der får erstatning for spildt tid på fejlsøgning pga. defekt RAM f.eks. - ikke medmindre man har en specialaftale.

jesper madsen

Jeg syntes sgu det er for svagt at prøve at tørre denne fadæse af på brugerne.

I betragtning af banken har dækket hele tabet på trods af de faktisk ikke er forpligtide til dette ifølge betingelserne, så jeg har svært ved at se de tørrer ret meget af på nogen af de ramte brugere?

Om nemdid er sikkert eller ej er jo op til fortolkning, men faktum er at så længe der er en trojaner på pc'en vil de jo kunne lave realtime Phisning, mitm etc. på næsten alle sikkerhedsløsninger.

Man kan selvfølgelig bruge hardware baserede løsniner men så er brugervenlighed jo meget hurtigt væk med driver problemer etc. For ikke atnævne at så kan den ældre generation slet ikke finde ud af det.

Så det er meget nemt at kritisere men straks noget sværere at finde en god sikker løsning som alle kan finde ud af.

Christian Nobel

og så til sidste, bare fordi man har lukket munden op, behøver I nu hellere ikke at grille mig....

Tjae, jeg sad også bare og ventede på hvor lang tid det gik før det sædvanlige elitære vrøvl om at du bare er dum og det er en fejl 40 osv. ville komme - og der gik ikke ret lang tid.

Men jeg synes det er flot at du vil stå frem, men det forhindrer ikke dem der har en guddommelig holdning til egen viden og formåen i at slå på en der bare fortæller om hvordan verden fungerer.

Simon Jonassen

Yes, jeg kørte som admin på en XP SP2, jeg sidder da og programerer... der skal jeg ha' adgang til alt....

Se, XP kan jo kun køre IE8 desværre, og Flash... ja, der kommer jo en popup engang imellem om en opdatering... den bliver da også kørt ved lejlighed....

Acrobat derimod var jo gammel - den ny X laver ged i alt mulig...

/Simon :-)

Erik Nørgaard

Kunne du være så Nobel at løfte sløret for hvad der kan gøres for at hindre sådanne angreb. :-D

Vil en model med tilsendelse af en grafisk udformet kode, der skal tekstgenkendes af brugeren være en mulighed for at undgå hackningen.

Altså: Man sender en transaktionsanmodning som udløser en grafisk kode, der skal benyttes inden f.eks. 2 min, så også vi gamle kan nå det.

Så sipper vi for at skulle kunne huske hvor kodekortet er lagt.
Vi logger på med stelnummeret og et selvvalgt password (hvorfor kun små bogstaver og tal).
Der skal så kvitteres med genkendelse af en grafisk information efterfulgt af en KODE-2, som man har fået at vide ALDRIG vil kunne blive indhentet for 'kontrol'.
Herefter er der åbnet for kontoadgang.
Skal der udføres transaktioner afgives ordre herom med fornyet optisk kode (visuelt genkendt - med mulighed for at bede om en ny) og password.
Fejlindtastninger accepteres 1 gang. Derefter skal der startes forfra med transaktions-godkendelsen. Måske hele transaktionen muligvis med mulighed for repetition af input. Man har altså kun 2 skud i bøssen for at få gennemført transaktionen.

Vil dette koncept give større sikkerhed - vil det kunne udføres SIKKERT (væltede fortegnede koder, der næppe vil kunne laves OCR på)

jesper madsen

Vil en model med tilsendelse af en grafisk udformet kode, der skal tekstgenkendes af brugeren være en mulighed for at undgå hackningen.

Så længe de har en snabel i din pc kan de jo bare se samme billede som dig Erik, så tror ikke det ville hjælpe meget.

Simon Jonassen

Jeg tænker lidt på hvorfor man tillader 2 eller flere sessioner (Læs IP Adresser) på samme kunde på samme tid - og jeg ved godt at der kan være flere fra én firma på banken.... men i de fleste tilfælde bruger de NAT, så det er den samme IP de kommer fra....

Hans Schou

Tja... jeg fik da hugget mine penge... og TRO mig, jeg har følt mig noget så dum lige siden...


Det kan jeg godt følge. Igennem mange år har du samlet vundet 7 billiarder Euro i nogle email-lotto, men har aldrig indløst nogen af dem, og så ramler du lige ind i denne:

Det popup-vindue, hvor han blev bedt om en ekstra NemID-kode,

Som jeg forstår det, er det eneste underlige at det er et pop-up vindue. Hos skat.dk har jeg at der bliver hoppet rundt imellem det en og det andet domæne, så URLen skifter hele tiden. På den måde bliver folk vandt til at der bliver hoppet rundt med URLer og så er det vel ikke så underligt med et pop-up vindue?

I mine øjne er problemet NemID. De gør det meget forskelligt hvordan man logger på det ene og det andet sted, i stedet for at gøre det simpelt og ensartet, så folk reagere hvis der er det mindste smule underligt.

Michael Nielsen

Det er hvad samtlige af de første indlæg i denne debat har gjordt.

Kørte han som admin.
Var progammerne opdateret..
Fejl 40..
Kompetent brugere.

Det er alt samme forsøg på at tørre denne fadæse af på brugeren, og ikke at gå efter bolden som er en af verdens værste implementationer af et sikkerhedssystem.

I et ordenligt system, var alle de overstående spørgsmål og kommentarer irrelevante, de er kun relevante fordi systemet ikke virker, og man forsøger at ligge det hele over på brugeren.

Men det i glemmer når i prøver at tørre det her af på brugeren, er at det her skal være bruger venligt, og forstålig for hr Jensen 80år gammel, der aldrig har brugt en computer, og aner intet om sikkerhed.. Så at forlange en kompetent bruger er at erklærer at dette system kan ikke bruges til offentlig administration, som bliver lov påkrævet efter 2014 (afaik), hvor alle SKAL bruge det.

Det er værre når feks Danske Bank kommer ud og siger jamen vi troede den var sikker.... bla. bla. Dette har været oppe i folketinget og vende, det har været taget op af bla IT-politisk forening, og andre, for at på pege fejlen til alt og alle, men alt var afvist af DanID.

Jeg vil dog sige at bankerne har gjort det rigtige ved at dække tabene, da denne fadæse faktisk er delvis deres skyld.

VEDR. bruger venlighed.. Jeg havde et design inde forbi teknologi rådet, der var både handicap venlig, og bruger venlig.

Du sætter en USB Nøgle ind i computere (som de fleste er vant til, i forhold til biler og døre), Du gør hvad du normalt gør med din bank, og nøglen bipper for opmærksomhed, og der står en tekst på den.

Over for xxx dkk fra kontol yyyyy-yyyyy til Giro kort zzzzz-zzzz Godkend/afvis..

Så er der en rød knap - afvis, eller en grøn knap - godkend.

Transaktion gennemført..

For blinde/svagt - laver man voice på enheden, der læser beskeden for dem.

Fortæl mig hvordan denne løsning er mere besværlig, mindre bruger venlig end NemID? Der er ingen overførsel af numre (svært for ord blinde - som feks mig), ingen søgen efter et nummer på et pap kort.

(ulempen ved denne løsning er at man skal bruge en signeret java applet, som er et sikerhedshul, men sikkerheds hullet, lukker ikke din bank konti op for at blive lænset af en trojan).

(Teknisk er det en krypto terminal, der modtager en krypteret besked fra banken - der valideres - og derefter dekodes, for at vises... Enheden kryptere så et svare, baseret på hvad knap brugeren trykker på... Alt dette sker på enheden, uden at nogen sinde komme ind i computer memory, derved trojan sikret - med forbehold for bugs i terminalen)

Christian Nobel

Kunne du være så Nobel at løfte sløret for hvad der kan gøres for at hindre sådanne angreb. :-D

For det første mener jeg at vi skal lade være med at bilde verden ind at det med computere er så let som man gøre det til, og tvinge folk til at bruge værktøjer de ikke er trygge eller sikre ved at bruge.

Dernæst mener jeg at det er en fatal fejltagelse at lægge alle æg i en kurv - dels mener jeg at bank og OCES intet skal have med hinanden at gøre, dernæst mener jeg yderligere at jeg er kunde hos f.eks. Handelsbanken, ikke hos DanID!
Og læg mærke til at der stadig er en række datacentre rundt omkring der står for diverse webbankløsninger, og de er svjv ikke blevet mere rentable som følge af "NemID"

Hvis vi skal kikke teknisk, så mener jeg at den eneste metode vi for tiden kan føle os trygge ved er en løsning som Chiptan - det kan godt være den er besværlig, men den er sikker, og så længe der ikke er noget bedre alternativ, så hellere besværlighed end at spille russisk roulette med sikkerheden.

Peter Gram

Endelig et godt, konstruktivt forslag (det med ikke at tillade log in fra forskellige IP-adresser (inden for et kort tidsinterval)).
Er der nogen af jer andre læsere, der kan se nogen ulemper?

Jesper Frimann

Tja, problemet er jo lidt at man kan blive inficeret, hvor som helst. Det kan lige så godt være f.eks. dansk folkepartis hjemmeside eller et andet partis, som værende www.bigbreastedbimbosfromhell.ru.
Altså det svarer lidt til at være nødt til også ha' skudsikker vest og kevler på i netto, og ikke kun hvis du tager til f.eks. Afghanistan.

// Jesper

Simon Jonassen

Jeg tænkte også "det er ikke normalt" - men da jeg faktisk havde travlt og skulle videre med de udskrifter jeg skulle bruge var jeg jo dum nok til at falde for den....

efterfølgende kan man jo se at den ikke helt ligner - men i kampens hede....

/Simon :-)

Michael Nielsen

JA,

Jeg ligger en trojan ind på din computer.

Proxier mit angreb igennem din computer (trojanen kontaktede min server, og lukkede en forbindelse op, evt igennem et bot net for at skjule mig).

Nu bruger jeg din egen browser, og din egen session til at hacke dig med.

Det er ikke security, men bare complexity, som gør sikkerheden mere besværligt og langt mindre bruger venlig.

Vedr. inficering.

Jeg ved at op til flere medie huse i Danmark har haft script indjection attacks på deres sider, hvor artikler de har hentet fra divs kilder faktisk indeholdte scripts til at inficere folks computere... Så du er end ikke sikker hvis du bare en gang i mellem læser en af de mange online aviser..

Sune Marcher

Hm, brug for at være admin for at programmere? Kommer da godt nok an på hvad man laver :)

OK, at kører en Limited User Account er mere omstændeligt på XP end Vista og senere, men det er bestemt ikke umuligt - hvis man har behov for ofte at at launche et app med admin rettigheder, så kan man have en elevated cmd.exe prompt åben til at launche fra.

At XP kun har IE8 forhindrer dig ikke i at installere FireFox med NoScript og AdBlockPlus :)

Man behøver ikke Acrobat for at læse PDF filer, Foxit eller Sumatra er bedre alternativer (med mindre du har brug for nogle af de lidt mere funky features end blot læsning).

Java i browseren? Eneste sted jeg selv har brug for det er NemID, og det kører i en virtuel linux maskine... NemIDs native kode skal ikke have adgang til min fysiske box, og der skal dælme ikke være et stort, gabende åbent og stinkede sår (læs: java) i min browser.

Og så en sidste ting: hvis noget lignende skulle ske en anden gang, så lad endeligt være med at prøve at reparere installationen (eller i det hele taget boote maskinen) - der skal frisk install til, med restore af datafiler fra den inficerede disk. Det er en pissesur operation at skulle igennem, men der er for store muligheder for at gemme malware underlige steder, til at en 'reparation' er en god idé.

Simon Jonassen

har også studset lidt over navngivning af denne trojan :

BankTexeasy - tænkte lige på hvorfor både B og T er med stort...

kan huske en bannerbomb for år tilbage på EkstraBladet

Kjeld Flarup Christensen

Er der ikke noget med at teleselskaberne har pligt til at logge hvilke sider besøges fra alle.
Ud fra dette kunne man måske stykke et billede af hvilke sider der har været synderen, hvis det altså tjener noget formål.

Thomas Hansen

Jeg anser mig selv for hacket altid.

Jeg holder mig helt opdateret, med antivirus, og alle opdateringer til MS osv.. Jeg har en almindelig router, NAT, osv., hvad man nu ellers har af muligheder for at sikre sig af den vej. Jeg slukker for alt net, hver nat, med et almindeligt tænd/sluk-ur.

Med jævne mellemrum, alt efter behov, bygger jeg en rå maskine op, installerer antivirus på den, og bruger den maskine til at checke alle andre maskiners HD'er. Jeg piller HD ud af hver enkelt maskine, og checker den ved at sætte den i et eksternt USB-kabinet.
Det finder ALTID noget.

Uanset hvad jeg har haft af løsninger omkring sikkerhed, herunder en proxy, så har jeg aldrig kunnet holde mine maskiner helt fri for "snavs".

Jeg har helt opgivet at gøre noget specielt.
Jeg har nogen maskiner der aldrig kommer på nettet, og så har jeg nogen til almindeligt brug.
De maskiner jeg bruger almindeligt, anser jeg helt enkelt for at være kompromitteret.

Så sent som i går, gik mit ned, hvilket sker med jævne mellemrum.
Min router var rødglødende, min PC gik ned, og da jeg efterfølgende forsøgte at hente mail, åbnede den mail jeg fik, af sig selv.

For at komme lidt uden om problemet, så slukker jeg for min forbindelse, og går online på mobiltelefonen, når routeren begynder at gløde, og Win gå i sort (blå).
Jeg ved ikke om andre har samme problem, men for mig, er der et problem ca. en gang om ugen eller oftere.

Trojanere, virus, hack, backtracking, osv. er en del af nettet.
Det må vi bare lære at leve med.
Det er også noget som man må regne med, når man vælger sikkerhedssystemer, hvilken politik man har, osv..

Vil man være sikker på, ikke at få stjålet penge fra sin Netbank, så er den sikre vej, ikke at have Netbank.

Michael Nielsen

  1. Jeg bruger bastion host conceptet.
  2. Bruger virtuelle maskiner på mine vigtige maskiner..
  3. Bruger ikke windows på maskiner med følsomt information.

Altså
1. Bastion konceptet, betyder, jeg bruger en maskine som er isoleret fra mit følsomme data, den indeholder intet, som jeg ikke hurtigt kan genskabe, ved at installere maskiner (en af grundene jeg hader den her med windows unden installations medier). Derved har jeg en udsat maskine der ligger og kan blive hacket - sker regulært.

Jeg bruger denne maskine til generel surfing, og hvis min router viser usædvanligt meget traffik, og min switch indikere denne maskine, så er det format c:, og begynd for fra.

  1. på sensivtive maskiner hvis de skal havde adgang til nettet - for at gøre ting nemt, køre jeg sessionen i en virtual boxs (virtuel maskine), derved skulle der komme noget ind, trykker jeg bare på reset snapshot, og alt er fjernet, og jeg har en ren virtuel maskine igen... Disken der deles mellem virtuel maskinen og hosten, bliver scannet hård..

  2. Jeg bruger heterogeneous systemer, derved er det ikke nok at hacke et system, fordi du kommer kun et niveau ind.

Feks køre jeg ofte med en Linux host, og har virtualiseret min windows (når jeg har brug for den), dette gør dog at du ikke direkte kan bruge hardware, som er et problem hvis det kræver 3D. Så hvis man hacker min virtuel box, så skal der et andet hack til at komme ud af virtuel boxen, og et nyt hack til at komme ind på linuxen.

Jeg køre også en virtuel boks på den maskine jeg tester windows programmer der kræver hardware adgang, der har jeg en browser der kører i en linux virtuel box, her er det hack linux, og der efter virtual box, for så at hacke windows..

Det gør det kompliceret for folk at komme ind til de dataer jeg ikke vil havde folk får fat i. Men det er en mindre ting at gøre, når man bare har sat det op en gang.

Dette virker, jeg finder ofte viruser på mine bastions, samt i mine virtuel box guests - dog endnu aldrig på en linux virtual guest..

Men det er nemt at rydde op..

Men det er umuligt for en ikke IT kompetent person at styre denne kompleksitet, altså hr Jensen på 80 år har ikke en chance.

Simon Jonassen

Kender udemærket godt til bastion host - i form af microsofts ISA server - dem har jeg lavet et par stykker af....

dog kører jeg ikke selv med konceptet - det kunne jeg måske overveje om jeg skulle gøre....

du ved godt jo, at mekanikerens bil er den der ser værst ud og er fuld af huller... he he....

/Simon :-)

Simon Jonassen

yup !

bare rolig - de maskiner jeg laver til mine kunder ser væsentlige pænere ud end min egne.... og er nok også mere sikker og opdateret

ku' være at man skulle gå tilbage til at programmere assembler... istedet for alt det nymodens internet crap....

Sune Marcher

nu sidder jeg og koder til IE med en masse VBScript osv, jeg gider ikke spilde min tid på ditten og datten "du må ikke" ala. UAC

Du behøver ikke bruge IE som din systemwide browser, blot fordi du udvikler til den :)

XP har ikke UAC - der enten virker tingene, eller også er det access denied. Udviklere burde egentligt tvinges til at køre under en LUA, så de ikke laver skodkode der kræver admin privilegier.

Det er yderst sjældent jeg personligt ser en UAC prompt under udvikling, om det så er C#, native C++ eller whatever jeg sidder med. Og hvis man har enkelte stykker software der driller, så kommer man (selv på XP) langt ved at køre som en LUA, og lave administrative RunAs på de programmer der volder problemer.

Det er ikke noget der gøre dig 100% immun, det er der ingenting der gør... men sikkerhed gælder om både bredde og dybde :)

Jesper Lund

Endelig et godt, konstruktivt forslag (det med ikke at tillade log in fra forskellige IP-adresser (inden for et kort tidsinterval)).
Er der nogen af jer andre læsere, der kan se nogen ulemper?

Ja, mange falsk-positive for brugere af mobilt bredbånd. Du er i gang med lidt netbank, mister forbindelsen til internettet, og dit 3G modem reconnecter med en ny IP adresse (jeg får altid en anden IP efter reconnect). Nu skal du lave et nyt bank/NemiD login med en anden IP.

Jeg har også oplevet af min netbank hænger i browseren. Jeg lukkede browseren, lavede et nyt login, og så kørte det. Da min netbank har en timeout ved inaktivitet på 15-30 minutter, vil den første session formentlig stadig være aktiv på serveren. Her er det dog to logins fra samme IP.

(og så giver det ikke ekstra sikkerhed som Michael skriver).

Simon Jonassen

ved godt at xp ikke har UAC - jeg skrev jo ala UAC.....

nu sidder jeg og bruger en masse ActiveX componenter - det er også noget lort (ved det), derfor bliver der lavet diverse krumspring for at undgå prompts osv..... (trusted zones etc)

men nu tror jeg at jeg vil prioretere sikkerheden højere end før....

Martin Poulsen

Hvem betaler erstatning til ham her for den tid han spilder på at fejlsøge og re-etablere sin windows installation?

Gør Staten?
Gør NETS/PBS?
Gør Banken?
Gør Microsoft?

Eller får han en lang næse.

Han får selvfølgelig en lang næse. Og det skal han have:

"Yes, jeg kørte som admin på en XP SP2, jeg sidder da og programerer... der skal jeg ha' adgang til alt..."

"Acrobat derimod var jo gammel - den ny X laver ged i alt mulig..."

"nu sidder jeg og koder til IE med en masse VBScript osv, jeg gider ikke spilde min tid på ditten og datten "du må ikke" ala. UAC"

"bare rolig - de maskiner jeg laver til mine kunder ser væsentlige pænere ud end min egne.... og er nok også mere sikker og opdateret"

Hvis du ikke gider spilde tiden på ditten og datten, så må du finde dig i at spilde dine penge når du bliver snydt. Nej, NemID er ikke kønt, men det kan ikke være andres skyld at ens maskine er inficeret hvis man selv administrerer den.

Og nej, jeg synes ikke du har "godt af det", men vær glad for at du har fået din penge igen.

Simon Jonassen

jeg har nu hellere aldrig sagt at andre skal betale mig for min tabte tid, og at andre er skyld i min maskin blev infeceret med noget lort, og tro mig, jeg er også glad for at have fået min penge igen...

Kræn Hansen
Kræn Hansen

Det er på ingen måde din skyld du blev hacket, da systemet ikke burde tillade at dette kunne ske, og det er teknisk muligt (hvis man gjorde det rigtig) at beskytte brugeren mod disse slags angreb.


Jeg kunne da meget gerne lige høre, bare ganske kort, hvordan du så at man med en teknisk løsning kunne forhindre folk i at indtaste deres NemID oplysninger på ukendte (og derved ikke betroede) sider?

Kræn Hansen

Fortæl mig hvordan denne løsning er mere besværlig, mindre bruger venlig end NemID? Der er ingen overførsel af numre (svært for ord blinde - som feks mig), ingen søgen efter et nummer på et pap kort.


Challenge accepted: Hvordan virker din løsning med ikke-windows maskiner?
Jeg ser både et muligt driver problem og manglen på host USB porte (Linux maskiner og de mobile enheder som NemID snart skal kunne understøtte).

Søren Munk

Når "banken betaler", hvis penge er det mon de bruger til det?

Direktøren går ned i løn?
Tages det fra IT afdelingens budget?
Er det IT sikkerheds chefen's ferie der indrages?
eller...?

Morten Andersen

denne debat er da kørt helt af sporet. Man kan på ingen måde klandre Nemid for evt. skader denne trojaner har påført maskinen, og hvor svært det har været at geninstallere. Virusen er jo ikke kommet ind på computeren via Nemid, men via en anden webside (og formentlig sikkerhedsfejl i computerens software og/eller uheldig brugeradfærd). Der findes masser af trojanere der sletter og stjæler filer, passwords m.m. som intet har med Nemid at gøre.

Peter Hansen

Hvor mange penge stod der på kontoen der blev lænset?
Min mor overførte via hendes Nordea netbank for nylig 30-40.000 kr. fra sin konto til en andens konto. Derefter fik hun straks en auto-genereret sms fra Nordea, som spurgte om det kunne være rigtigt at hun ville overføre X kr. til konto X. Hun skulle sms'e tilbage og svare ja inden for få minutter, ellers ville pengene ikke blive overført.
Hvis man ikke selv havde gang i at overføre penge ville man også når man læser sms'en være klar over at nogen havde brudt ind i ens netbank og forsøgt at overføre penge.
Hvis Simon Jonassen også have modtaget sådan en sms fra Danske Bank, så ville hans knoto aldrig være blevet tømt for penge.
Er Nordea den eneste netbank der har indført denne ekstra sms kontrol, ved overførsel af større beløb? Eller ver beløbet bare så småt at det var under tærsklen hvor der bliver sendt en sms der beder om bekræftiglese? Eller måske er featuren slået fra i netbanken?

Det er kun ved beløb af en vis størrelse at Nordea sender en sms som ekstra sikkehed, for ikke at gøre det alt for brugeruvenligt. Jeg ved ikke hvad tærskelværdien er i Nordeas netbank, men det kan man sikkert finde et sted på deres hjemmeside eller i netbanken, ellers kan man spørge dem. Måske kan man selv vælge en brugerdefineret grænse?

Peter Hansen

Jeg har fundet, hvad Nordea skriver om sms ved kontooverførsel:
http://www.nordea.dk/Erhverv/Internet+og+online+betalinger/R%C3%A5dgivni...

Sikkerhed

Øget sikkerhed i Netbank

Vi kombinerer brugen af Netbank med din mobiltelefon. Fremover kan du komme ud for, at du via sms skal bekræfte overførsler oprettet i Netbank.

Du vil modtage en sms, hvis du skal bekræfte en overførsel via din mobiltelefon. Denne sms skal du besvare med enten ja eller nej.

Sms’en bliver sendt til det mobilnummer, der er registreret i Netbank. Du modtager den lige efter, at du har oprettet overførslen.

•Svarer du ja inden for den oplyste tidsfrist, gennemføres overførslen
•Svarer du nej, eller svarer du slet ikke, slettes overførslen, og du får en sms om, at overførslen ikke gennemføres.

Har vi ikke dit mobilnummer, beder vi dig derfor om at taste nummeret ind under dine kundeoplysninger i Netbank. Log på Netbank.

Får du en sms om en overførsel du ikke kender til, så kontakt banken.

Peter Hansen

Synes nu ikke det er specielt ubrugervenligt (?). Tast brugernavn og adgangskode, vent lidt og tast så et 6-cifret nummer.

Jeg kender ikke ret mange, der har problemer med NemID.


Først skal man hente det i pungen i den anden ende af huset og så finde en kode i tabellen.

Eller, hvis man er på en længere rejse og løber tør for koder kan man ikke logge ind fordi brevet med det nye papkort ligger hjemme i postkassen.

Niels Foldager

Ved NemID bruger man kun papkortet, når man logger ind og derefter password ved hver transaktion. Det betyder jo, at hackeren har frit spil, når først han er kommet ind.

Før NemId kom frem, brugte min bank samme system, men med én vigtig forskel: Jeg skulle bruge en kode fra papkortet ved hver eneste transaktion. Den rytme vil en hacker for mig at se have svært ved at spille med i.

Hans Schou

Min mor overførte via hendes Nordea netbank for nylig 30-40.000 kr. fra sin konto til en andens konto. Derefter fik hun straks en auto-genereret sms fra Nordea, som spurgte om det kunne være rigtigt at hun ville overføre X kr. til konto X.


Den slags mekanismer er super i mine øjne. Og det kan automatiseres.

Hvis en robot gennemtrawler min konto for hvor tit jeg har overført 30kkr til en anden dansk bank, vil det være mindst 5 år siden. Så vil det være passende at sende mig en SMS med beskeden "du har i de sidste 5 år ikke overført 30kkr til andre, det er underligt, bekræft venligst".

Der er nogle virksomheder der flere gange om måneden overføre mere end 10kkr til andre danske konti. Og her skal de selvfølgelig ikke bekræfte hver enkelt overførsel.

Jeg har en del idéer til hvordan banken og jeg i fællesskab kunne administrere min konto. Desværre er det sådan at min bank er satans arrogant, og jeg kan slet ikke komme i kontakt med den. De gange hvor jeg har haft den bedste dialog med min bank, og de rent faktisk har lyttet til hvad jeg sagde, har været når datatilsynet og domstolene var med ved bordet. Så når Nordea mister 800.000 kr og Danske Bank mister 700.000 kr, så skyldes det også i høj grad deres arrogante holdning overfor deres kunder. Hvis de gad at lytte til dem, så ville netbanken blive utroligt sikker. Selvfølgelig vil der være mindst én hvert år der får sin konto tømt, men ikke 20.

Hans Schou

denne debat er da kørt helt af sporet. Man kan på ingen måde klandre Nemid for evt. skader denne trojaner har påført maskinen


Det er ikke rigtigt. NemID er så fejldesignet at borgerne har svært ved at se når der forskelle i hvordan NemID opføre sig, så de fleste borgere vil blive narret.

Jeg plejer at informere min far om hvilke nye ting der er, som han skal holde øje med omkring NemID, nettet og andet, men med den beskrevne trojaner her i artiklen, bliver det noget vanskeligere. Han er 75 år og har kun haft et EDB-apparat i 15 år, så det skal forklares ordentligt, for jeg vil gerne have at forsat bruger teknologien trygt.

Lars Tørnes Hansen

Man kunne tilføje en honey-pod server til sine maskin-park:
Honeypod: https://en.wikipedia.org/wiki/Honeypot_%28computing%29

Idéen er så nu at det altid er en fejl at kontakte den maskine, da den ikke tilbyder noget brugbart, da en honeypod simulerer f.eks. en sårbar webserver som ser interessant ud. Den kan køre på f.eks. et Linux baseret styresystem.
Meget snart kan man købe en Raspberry P, model B mini computer: Den er ideel til den slags med sit kun (max) 3,5 Watt forbrug, og en pris på 210 kr excl fragt.

Som medlem af (computer)-netværksgruppen på et stort kollegie havde jeg sådan et honeypod kørende.

Nogle honeypod løsninger: http://www.tracking-hackers.com/solutions/
honeyd, http://www.honeyd.org/ , er den linux service jeg havde kørende: Den er unik på den måde at den altid ser sårbar ud, overnævte webside skriver om den:

This is a powerful, low-interaction OpenSource honeypot, released by Niels Provos in 2002. Honeyd, written in C and designed for Unix platforms, introduces a variety of new concepts, including the ability to monitor millions of unused IPs, IP stack spoofing, and simulate hundreds of operating systems, at the same time. It also monitors all UDP and TCP based ports.

You can try out Honeyd with the Honeyd Linux Toolkit. A toolkit containing all the configuration files, precompiled static binaries, and startup scripts to get Honeyd instantly up and running on your Linux computer. Based on Honeyd 0.5 with patch 001.    
The Brazilian Honeynet Project has developed a Honeyd bootable CDROM. They are using it for large scale deployments of Honeyd. Its very exciting stuff, I recommend you check out there work.  

honeyd er et genialt lille program.

Rouge DHCP servere
Vi havde også en server som analyserede DHCP trafikinformation fra vores layer 3 switches. Fandt serveren ud af at en kunde havde en rouge DHCP server blev internetforbindelsen for den kunde lukket via en ordre til layer 3 switchen, og der blev så lavet en log i listen over rouge DHCP forbindelser sammen med de data der var årsag til detekteringen af en rouge DHCP server.


Med automatiske systemer kan gøre en del, men helt sikker bliver man først når netforbindelsen er blevet afbrudt fysisk.

Thomas Bundgaard

Først skal man hente det i pungen i den anden ende af huset og så finde en kode i tabellen.

Eller, hvis man er på en længere rejse og løber tør for koder kan man ikke logge ind fordi brevet med det nye papkort ligger hjemme i postkassen.

At du ikke har nøglekortet på dig kan NemID næppe klandres for.

Og så kan du bestille op til tre ekstra nøglekort, hvis du skal ud og rejse.

NemID er ikke perfekt (det er ikke i nærheden af det), men brugervenligt, det er det sgu.

Jesper Poulsen
Søren Koch

Ja Foldager, jeg savner også den gamle Jyske Netbank hvor engangskoderne skulle bruges ved hver eneste transaktion. Der var jeg aldrig bekymret for om jeg brugte netbanken på en delvist kompromiteret computer, for så længe jeg ikke skulle taste flere koder ind end jeg viste jeg skulle (1 for bare at logge ind og se, og så en mere pr overflytning eller anden transaktion) kunne jeg være ret sikker på at eventuelle forbrydere hæøjest kunne se hvad jeg havde.
Det eneste mulige angrebssenarie var en total realtime man 'in the middle' (mellem mig og browser) der ventede på at man selv ville initiere en overflytning og så ændrede modtagerkontonummer mm til en anden end man ville.

Jeg har gjort Jyske bank opmærksom på dette da de skiftede (mærkeligt nok 1 måned efter skiftet til Nemid, så Nemid kan sagtens køres med engangskode bekræftelse på enekelttransaktioner), men de ville ikke skifte tilbage igen...

Søren

Morten Saxov

Først skal man hente det i pungen i den anden ende af huset og så finde en kode i tabellen. Eller, hvis man er på en længere rejse og løber tør for koder kan man ikke logge ind fordi brevet med det nye papkort ligger hjemme i postkassen.

At du ikke har nøglekortet på dig kan NemID næppe klandres for.

Og så kan du bestille op til tre ekstra nøglekort, hvis du skal ud og rejse.

NemID er ikke perfekt (det er ikke i nærheden af det), men brugervenligt, det er det sgu.


Nu fraråder NemId at dit NemId kort opbevares i din pung, eller sammen med anden id-papirer hvor dit cpr nummer kan stå på.

Så du må/bør faktisk have en separat tegnebog/holder til det kort, hvis du skal følge nemIDs anbefalinger.
Personligt betyder det at mit nemId kort altid ligger og flyder derhjemme ved computeren, da jeg ikke vil rende rundt med en ekstra holder blot for at have nemId kortet med rundt.

Martin Poulsen

Et godt råd. Lav en virtuel maskine til netbank. Brug et moderne OS og en moderne browser.

Theo de Raadt on virtualization:

You are absolutely deluded, if not stupid, if you think that a worldwide collection of software engineers who can't write operating systems or applications without security holes, can then turn around and suddenly write virtualization layers without security holes.

Michael Nielsen

@Kræn Hansen

Tjooo, men hvordan vil du lige gøre det uden at bruge ~ uendeligt mange penge? Man må vel gå på kompromis et sted. Kunsten er så at gøre det, det rigtige sted.

Jeg lavede et teoretisk design, (før NemID kom ud), og lavede nogle beregninger, bemærk dog disse tal er uden mængde rabatten som man ville opnå når man køber millioner af enheder.

Hardware på krævet for en bruger - krypto terminal pris mellem 100-200 dollars.. (ca 800 - 1600dkk)
Software system, og infrastruktur - TDC's gamle - virker og er efter prøvet.

Pris for at deploy til 2 millioner Danskere, uden rabatter af nogen form.. 1.6 - 3.2 milliarder (nb pris for NemID er 2.4 milliarder).

Rabatter der forventes ved køb af millloner af enheder, mellem 50-90%, således prisen, vil falde til mellem 160 millioner -> 1600 millioner

Stadigvæk billigere end NemID.

Vi har så en applet der skal laves til at interface til hardwaren, pris, jeg vil gætte på en udvikler i ca 6 måneder... Altså ca 300 000dkk.

Så ikke kun kan man gøre det bedre end NemID, men man kunne også havde gjordt det billigere, og genbrugt hvad der allerede var lavet...

TDC's signatur havde et problem, og det var at den benyttede software keys, som kunne stjæles.

(før man siger det plukket ud af luften, så har jeg en fysisk Krypto terminal i min besiddelse, som kostede $200 at anskaffe, og jeg ved der findes andre der koster ca 400dkk, men de er knapt så gode).

Challenge accepted: Hvordan virker din løsning med ikke-windows maskiner?
Jeg ser både et muligt driver problem og manglen på host USB porte (Linux maskiner og de mobile enheder som NemID snart skal kunne understøtte).

Jeg er en linux nørd/unix Engineer, jeg benytter kun windows når jeg spiller computer spil...

Da jeg forslog løsningen forslog jeg at designe en krypto nøgle således den blev driver-less..

I den simple form, er løsningen var at lave en standard flash USB, hvor man placere en krypto modul på den, krypto module kan ikke direkte tilgås på nogen som helst måde, men der oprettes virutelle "drop dirs" på USB enheden, altså du skriver en kryto kommando/data der skal signeres i et katalog - eg /encode på enheden... Kryto processoren leder efter filer i dette katalog, kryto processoren kigger på filen, læser instruktioner fra filen, og for tolker... Kryto processoren kræver at alt kommunikation med den er krypteret, via public/private key, hvor public nøglerne er registeret host kryto processoren.. - feks din banks public nøgle.. Krypto processoren ligger resultatet i et katalog feks "/result", med det samme navn som requesten.. Indholdet er nu krypteret - aka signeret.

Fordelen ved den arkitektur er at standard drivere der findes til alle platforme kan fungere, man skal bare kan mounte en storage USB nøgle, og skrive til den...

Altså fungere den ganske fint med samtlige computere.

For enheder der ikke har USB porte, er der intet der stopper for at man også tilfører andre interfaces, feks Bluetooth interface, Wireless network interface, det er bare et spørgsmål om at definere de interfaces der er gængse... De fleste smart phones har også en slags USB port på dem, hvor man kan kommunikere med enhederne.

Der er heller ikke et problem med at embedde kryto teknologien i smartphones, og andre enheder..

Ved at konceptet kræver at kryto terminalen kun vil kigge på signeret requests - altså noget som er underskrevet af banken, er sikkerheden på kommunikationen med enheden ikke så vigtig eller på krævet..

Ved smart design kan man fjerne kravet om at der skal være nogen som helst krav til sikkerheden på kommunikations stien.. Altså kun banken skal være sikret (uden trojaner), og krypto enheden selv.. Du kan bruge den på offentlige computere, feks i biblioteket, uden riskio.. - ved korrekt design.

@Thomas Bundgaard

ynes nu ikke det er specielt ubrugervenligt (?). Tast brugernavn og adgangskode, vent lidt og tast så et 6-cifret nummer.

Jeg kender ikke ret mange, der har problemer med NemID.

Jeg syntes bare det kunne gøres bedre, og nemmere..

Ved at man sætter en dims i computere, dimsen beeper, og på dens display viser den hvad du er ved at gøre.. Du trykker på Ja/Nej, og så gør enheden hvad den skal gøre..

NemID er besværlig i forhold til dette.

Vedr: SMS

SMS giver ikke beskyttelse, da SMSer ikke er garanteret levering, ej heller komme hurtigt frem, jeg har feks modtaget SMSer op til 7 dage efter de er blevet afsendt..

Det giver ikke nogen forbedring i sikkerhed, da smart phones også kan hackes.

Folkens, i skal kigge på om det i gør bare er at obscure ting, altså gøre det lidt sværere, og om det teoretisk kan omgås, eller om det er reel sikkerhed - altså det kan ikke omgås..

Det ånsvage i denne debat er at alle "løsninger" folk forslår er for at lappe på en forfejlet arkitektur, lavede man den rigtige arkitektur var alt det her unødvendig.

Samt disse tiltag er ekstrem omstændige, og kræver at folk har flere enheder..

Mange af kunderne til NemID aner ingengang hvordan de svarer på en SMS, samt det er muligt for en trojan at svare for dig.

Michael Thomsen

Jeg kunne da meget gerne lige høre, bare ganske kort, hvordan du så at man med en teknisk løsning kunne forhindre folk i at indtaste deres NemID oplysninger på ukendte (og derved ikke betroede) sider?

Meget kort: Ved at benytte 2-vejs authentifikation.
Det beskytter dog ikke nødvendigvis mod MITM-angreb.

NemID er fuld af grundlæggende sikkerhedsmæssige designfejl, bl.a.:
- Kun envejsauthentifikation (det eneste bankerne er interesserede i er at vide at det er den rigtige kunde, som logger ind)
- Du aner ikke hvad det er du skriver under
- Den "private" nøgle ligger i en central server
- Lukket proprietær løsning
- Kræver brug af signerede java applets

I GSM verdenen lavede man den samme fejl i 2G udgaven: Designede en proprietær, hemmelig løsning, som iøvrigt også kun havde envejs-authentifikation.

I 3G udgaven fik man samlet en stak sikkerhedseksperter, som designede en åben løsning, som mig bekendt ikke er blevet brudt endnu.

Det bliver spændende om 3. version af digital signatur/nemid bliver bedre.

Jarnis Bertelsen

SMS giver ikke beskyttelse, da SMSer ikke er garanteret levering, ej heller komme hurtigt frem, jeg har feks modtaget SMSer op til 7 dage efter de er blevet afsendt..


Eftersom default svaret på SMSen er nej/afvis, er det ikke et sikkerhedsmæssigt problem hvis SMSen ikke når frem. Det kan højest gøre det umuligt at gennemføre den ønskede transaktion.

Det giver ikke nogen forbedring i sikkerhed, da smart phones også kan hackes.


Det må alt andet lige være en væsentlig forbedring af sikkerheden at 2 uafhængige systemer begge skal kompromitteres for at gennemføre angrebet. I det omtalte angreb blev en trojaner installeret på kundernes PC når de besøgte en hacket webside. Med en påkrævet SMS godkendelse ville det kræve at brugeren også besøgte en tilsvarende kompromitteret webside fra sin telefon (med et exploit der virkede på mobilens OS) eller at man kunne kompromittere telefonen, når den blev forbundet til den inficerede PC. Samtidig kræver det at der yderligere udvikles den nødvendige malware til telefonen.

SMS bekræftelser kan ikke give 100% sikkerhed (det er der ikke meget der kan), men det kan hæve kompleksiteten og prisen for et angreb væsentligt.

Asger Bjerg
Simon Jonassen

Se, windows hjælper dig ikke ret meget.... og da slet ikke internet explorer, filerne kan ikke ses "lige umiddelbart", men prøv at kigge her: (i en stifinder f.eks) - følgende passer til en xp med ie8 - det kan godt være at win7 etc med ie9 er anderledes - det kan også godt være at "local settings" skal byttes ud med "lokal indstillinger"

%userprofile%\Local Settings\Temporary Internet Files\Content.IE5

her finder du et utal af skjulte biblioteker med tilfældige navne....

tag et kig ned i dem....

her ligger diverse .htm ,.js osv....

du kunne sortere dem efter tidspunkt - så husk hvornår du var på banken - og lede efter .htm filer fra det tidsrum.... du finder sikkert en masse guf...

hvis du så bare klikker på en af .html filerne kan du nok se nogle kontobevægelser (hvis det er det du har kigget på) - men hvis du trækker filen ind i en editor (eks. notepad) - så kan du se noget mere.

givet, det er ikke noget man "normalt" kigger på, men muligheden er der ! - i mine øjne er det IKKE nødvendigt at cache de filer - det kan også slås fra i browseren med et flueben, men det er den ikke pr. default. Det kræver ikke ret meget kode at fortælle browseren den ikke skal cache det !

/Simon :-)

Simon Jonassen

Hvis ikke windows er medgørlig med at vise dig filerne, kan man bare brug en dos prompt.

Her er bibliotekerne skjult, men det er ikke noget at en DIR /a ikke kan klar.

/Simon :-)

Asger Bjerg

Tak for fiffet, enig i man "normalt" ikke kigger i disse filer.

Bruger aldrig IE, men tømte cachen for lige at prøve med denne browser, og foretog en lille overførsel for forsøget skyld.
Tjekkede så htm og de andre filtyper, men fandt ikke nogen person / konto relateret information overhovedet fra min bank (Landbobanken).
Det lader jo så til at de ikke arbejder på samme måde

Niels Foldager

@Søren Koch:

Ja, jeg forstår det ikke.

Nu kan Jyske Bank eller andre vel ikke selv vælge.

Men hvad med DanID selv? Eller ministeren (hvilken?)?. Det må da være en relativt nem ændring at foretage straks.

Thomas Hansen

Er der nogen der kender Status på opgaven.

Kan vi forvente, at Digitaliseringsstyrelsen løser problemet, inden for rimelig kort tid ?

Vi ved nu, at CSIS ikke hjælper, ikke engang en sikker løsning på at finde ud af om man er inficeret, diskes der op med.
Vi ved, at vi ikke kan vide hvor denne inficering kommer fra, og derfor kan ingen vide om de er inficeret.
Vi ved, at den eneste mulighed der findes for at være sikker på at man ikke er inficeret, er at slette sin HD.

Så længe vi ikke ved, hvor inficeringen kommer fra, er den eneste mulighed nogen har, at slette sin HD. Det må gælde for ALLE.

Er det realiteterne, at alle Danskere skal formaterer deres HD ?

Digitaliseringsstyrelsen, er den ansvarlige myndighed, og må klart melde ud, hvad man gør for at sikre sig.

John Vedsegaard

Jeg har haft computer i over 20 år, rent faktisk siden før internet blev opfundet. Men jeg har aldrig haft en virus hvilket selvfølgelig virker underligt for mig, hvordan skaffer man sig egentlig sådan en fætter, det kunne være sjovt at se hvordan den egentlig ser ud og hvad den gør. (Jeg har en gammel computer der fint kan bruges til formålet).

Morten Roslev
John Vedsegaard

lol, hvis man ikke engang opdager det og diverse antivirus programmer ikke finder noget, er det der vel ikke.
I øvrigt bliver alle ændringer på min computer logført, lige fra åbning af en fil til installation af programmer, midlertidige internet filer og sådan noget. Det sjove er at der ikke engang har været forsøg i den retning. Mon ikke de fleste får det igennem piratkopieret software?

Thomas Hansen

@ John Vedsegaard.

Hvis du aldrig har haft virus, så er det sandsynligvis fordi du aldrig har kigget efter. Jeg har gamle maskiner stående, som jeg normalt aldrig rører, piller jeg en HD ud af dem, så viser det sig, at der er virus eller trojanere på dem, som ikke blev detekteret da de blev brugt.

Jeg kører altid med antivirus slået til.
Det er sjældent, jeg får en advarsel i real tid, om virus. Det kommer først frem langt senere.
Jeg bekymrer mig ikke om det, er bare klar over, at det er sådan.

Jeg henter ikke film & programmer, fra fildelingssites.

Henter jeg noget, er det typisk drivere eller lignende, musik og filmklip henter jeg også lidt af. En sjælden gang i mellem, henter jeg noget shareware eller freeware.

Man kan ikke være sikker på, at man er fri for mallware, virus, eller andet snavs, hvis man er online.
Enkelte, kan bruge ufatteligt meget tid på at checke og holde sig så fri som muligt, men for langt de fleste, er det ikke en mulighed.
Slet ikke, for "gamle Fru Olsen", eller andre uden særlig interesse for IT, de har ikke en chance. Mange kender ikke engang forskel på en mail-klient og en webmail, og ved derfor ikke engang om de arbejder online eller lokalt.

Der mangler svar og løsninger, på det problem NemID har.
Det er jo ikke brugernes problem, at NemID er skruet sammen, så det udgør en national sikkerhedsbrist.
Det er heller ikke leverandørerne af styresystemer, eller antivirusleverandører, der skal levere løsningen.
Det er leverandøren af NemID !

Simon Jonassen

Godt spørgsmål.... der er mange som får virus/spyware og andet crap via diverse bannere / mails / javascripts

det kræver bare et lille "hul" i sikkerheden - og dem finder de kriminelle ret hurtige.... herregud, kigge på hvor mange "kritiske" updates microsoft pumper ud i tid og utid

Som Thomas Hansen skriver, har tante Ida på 80år ikke en chance ! - jeg får jævnlig maskiner til rep. som er fuld af alt mulig crap ! - og det kommer ikke altid fra "pirat" sites.... givetvis er man mere disponeret for virus hvis man downloader ulovlig software / cracks / warez osv.

men jeg husker for et par år siden at mange blev inficeret af en ganske alm. banner reklame fra EkstraBladet.....

Og hvis man læser lidt om den her NEMID virus, har den sneget sig ind under alt hvad der hedder antivirus/firewall - dog er antivirus producenterne blevet MEGET bedre til at fange den nu, jeg har nemlig brugt en masse tid på at upload den til div. producenter !

første gang jeg uploadet den var der næsten INGEN som fandt en skid....

for mit vedkommende fandt jeg også en anden trojan som var blevet plantet kort tid efter nemid trojaneren.... det var den som slettede alt hvad der hedder *.dll & *.exe filer..... rimelig nasty sag.....

/Simon :-)

Mikkel Hansen

Fejlet big time ? Ja dan-id(før nem-id) fordi man kunne lave ****attackt på folks konti og få deres kode lettere end at stjæle slik fra børn !

Det var NOGET udselt og VILDT armatør agtigt !
En 13 årig kan gøre det bedre TRUST ME ! kender en der koder sider og kan skrive fødselsdage i hovedet med 0-1 koder .. Så fatter ikke hvad dan id har/havde gang i !

Men det nye system er kun brudt rigtig få gange . Og tro mig de har været mere end ualmindelig dygtige ! Det kaldes LIVE phishisng altså du sidder live og hukker folks koder og derved kan det misbruges.. din nem id kode bliver IKKE sendt til banken men vist på fiskerens skærm og så logger han lige hurtig ind (lidt mere indviklet men absolut muligt, men vil ikke lære folk at stjæle!)
Hvilke jeg også mener er en KÆMPE fejl, i nyhederne kan man høre om hvad og hvordan hackere har gjort og boom så har de lært det videre .
Hvorfor skal vi vide navne på hackeres programmer (vil de have alle henter dem og går amok ?) ell vi hører om hvorfor sider går ned og om dele af deres sikkerheds system, tak for info idioter !

Hvis du får et kursus på 5 min af mig ell ham der gav mig det så vil du kunne finde ud af ALT og jeg mener ALT . Er det gjort/lavet kan det også findes/laves af dig ! Den eneste stopklods kan være værktøj/økonomi for hvem har råd til deres eget atomkraftværk ?

Så drop det pis med sikkerhed for det vil aldrig eksistere på nettet !!!!

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Word kursus grundlæggende

Hvornår: 2015-09-09 Hvor: Storkøbenhavn Pris: kr. 5100.00

Journalistiske arbejdspladskurser

Hvornår: Hvor: Efter aftale Pris: kr. Efter aftale

Test Management

Hvornår: 2015-09-03 Hvor: Storkøbenhavn Pris: kr. 8800.00

PRINCE2 afvigelsesstyring

Hvornår: Hvor: Efter aftale Pris: kr. Efter aftale

Excel kursus udvidet

Hvornår: 2015-09-07 Hvor: Storkøbenhavn Pris: kr. 5100.00