Stoler du ikke på NemID-sikkerheden? Få en netbank-forsikring

For 700 kroner om året kan du forsikre din erhvervskonto mod netbanksvindel. Forsikringsordningen er etableret på opdrag fra Finansrådet.

Har du et cvr-nummer og en netbank? Så bør du kigge dine vilkår grundigt efter i sømmene.

For langt de fleste erhvervsdrivende hæfter selv for eventuelle tab, der sker som følge af netbankindbrud. Tilbage i 2009 mistede en jysk virksomhed således 1,8 millioner kroner ved, at netbanktyve lænsede kontoen - og banken erstattede kun tabet på grund af en procedurefejl.

Derfor har bankernes brancheorganisation Finansrådet nu bedt forsikringsmægleren Marsh om at oprette en forsikringsordning, der dækker tabet, hvis din firmakonto skulle blive hacket. For 700 kroner om året er du dækket ind for tab op til godt 2,5 millioner kroner - minus en selvrisiko på 7.500 kroner.

Rent konkret er det sket ved at lave hjemmesiden netbankforsikring.dk, som henvender sig til de godt 200.000 erhvervsdrivende med en netbank på firmavilkår.

»Vi kræver blot, at kunden har en firewall, en opdateret antivirus og antispyware samt i øvrigt ikke handler uansvarligt,« forklarer Morten Jeppesen, der er Affinity Business Development Leader hos forsikringsmægleren Marsh, til Version2.

Da otte Danske Bank-kunder i februar fik deres netbank-konti lænset for i alt 700.000 kroner, var de syv privatkunder, mens den ottende var erhvervskunde. Danske Bank valgte dengang at erstatte tabet for alle otte kunder.

Læs også: Hacket netbank-kunde afslører: Ond NemID-trojaner smadrede Windows

Læs også: Danske Bank har sporet 700.000 kroner stjålet ved NemID-hacking

»Den slags er en kommerciel beslutning fra bankens side, men de var ikke forpligtet til det efter loven. Og man kan spørge sig selv, om banken ville have gjort det samme, hvis der var tale om et massivt netbankangreb mod flere tusinde kunder og milliardtab til følge,« siger Morten Jeppesen til Version2.

Netbankforsikring.dk har eksisteret et års tid og har ifølge Morten Jeppesen 'tusinder' af kunder.

Kommentarer (41)

Carsten Stenberg

Først tvangsindfører man et mildst talt upålideligt og usikkert login, hvorefter finanssektoren tvinger kunderne til at betale sig fra samme usikkerhed, som finanssektoren selv har hovedansvaret for ... det sygeligt !

Ib Erik Söderblom

Kan man få den tanke, at det er en forretningsidé, som visse personer har lugtet fra starten og derfor været rigtig glade for den centraliserede "Vi er blevet malet ind i et hjørne, i Lommen på Pengeinstituterne" NemID-løsning?
Hvilke andre betalingsløsninger på et påtvunget system, finder De mon på?

Brian Jacobsen

»Vi kræver blot, at kunden har en firewall, en opdateret antivirus og antispyware samt i øvrigt ikke handler uansvarligt,«

Det lyder lidt som elastik i metermål.

Der er så mange huller i sådan nogle betingelser at langt de fleste virksomheder vil få afvist ethvert krav.
Vi ved jo allerede at rigtigt mange virksomheder er bagud på opdateringen af (alt) deres software.
Byrden ved at bevise at man ikke har "handlet uansvarlig" er nok uoverkommelig for en gennemsnits frisør/snedker/kommunikationsperson/bogholder/revisor.

Klavs Klavsen

gad vide om bankerne (dengang de havde deres eget netbank login system - istedet for et statsmonopol) skulle dække tyveri fra erhvervskunder ?

Man kunne jo få den mistanke, at det var et plus for dem, at de bare kunne sælge en monopol løsning til staten og vupti, så var de ude om det problem.

Hvis så bare bankerne gjorde det muligt f.ex. at hvis summen af transaktioner på f.ex. en time overstiger X kr. så skal der bekræftes pr. sms (således at både en overførsel på 100k, samt 10 stk. på 10k fanges) - så kunne man sætte beløbet tilstrækkeligt lavt - eller bare sætte det så man ALTID skulle bekræfte overførsler pr. sms.

Men det koster dem jo penge, og når de ingen risiko har ved misbrug.. :(

Jens Christensen

Journalisten gør fin reklame, men har ikke tjekket, at der findes alternativer, der også har lavere startpriser. Min egen bank forslog at jeg så nærmere på:
www.netbankforsikring.dk
http://netbanksindbrud.willisweb.dk/
www.danskeforsikring.dk/netbankforsikring

Det er så svært at se det rimelige i, at virksomheder er tvunget til at bruge en bank, men selv hæfter for brister i bankens sikkerhed.

Henrik Madsen

»Vi kræver blot, at kunden har en firewall, en opdateret antivirus og antispyware samt i øvrigt ikke handler uansvarligt,«

Det lyder lidt som elastik i metermål.

Det har du helt ret i.

Hvem beslutter om man har "handlet uansvarligt"..

Handler jeg uansvarligt når jeg besøger www.eb.dk og der er en 0-day sårbarhed som udnyttes via deres reklamebannere...

Handler jeg uansvarligt hvis jeg besøger siden 3 timer efter der er udgivet en patch til den sårbarhed der udnyttes...

Hvad med 1 dag efter, eller 2 ....

Henrik Madsen

Emil Moe

Er ikke økonom så kender ikke evt. praktiske komplikationer, men det lyder nærmest som om, at man kunne flytte hele sin erhvervsbank til udlandet og finde bedre vilkår.

Steffen Schultz

Som det er nu skal bankerne dække tabet for private kunder, kan ikke huske om der er nogen selvrisiko. De erhversdrivende skal selv dække tbaet som udgangspunkt.
Hvorfor ikke lave det om så det var nemid der skulle dække hele tabet, så har de da så absolut et incitament for at få deres login til at virke sikkert, da de så selv har risikoen for den vare de sælger. for som det er lige nu virker det ikke til at de har ret godt styr på tingene. Så vidt jeg husker blev de jo bedt om at lave en login løsning for ukyndige som stadig var sikker.

Martin Frandsen

Nemlig. En lejesvend fra tyvenes lejr.
"Kristoffer Brammer" mener at kritikken er ubegrundet.
Han mener at man skal sætte sig ind i forsikringsbetingelserne. Man skal vide noget om kvalitet og integritet hos udbyderen før man sviner ham til.

Kristoffer leverer en bydende udtalelse uden argumentation. Han overser, at betingelserne, prisen, og kvaliteten er underordnet fordi argumentet handler om at forbyde markedsføring af den type forsikring.

Branchen brander en forsikringspakke som "nemID-forsikring," for at spille på den frygt der er opstået. Bankerne har leveret en teknisk dårlig løsning og politikerne har givet fordelagtige driftsbetingelser - man SKAL have et nemID for at eksistere.

Forbrugerne fortjener bedre og bør ikke terroriseres til, at betale i frygt.

nemID er et resultat af et politisk ønske om at samle alle logins i ét. Det er en fantastisk tåbelig idé at have én nøgle til alt hvad man er og ejer. Udbuddet af nemID er i øvrigt suspekt, og netop derfor foretrak bankerne det tidligere danID som leverandør.
danID var i en tid ejet af TDC under Henning Dyremose. Dyremose er tidligere finansminister. danID er senere "solgt fra" TDC siges det...

Det er sørme ærgerligt, at kommunikationen mellem det offentlige og et A/S ikke er omfattet af loven om aktindsigt når det gælder "interne arbejdsprocesser" (møder, planer, emails.) Sjovt nok er aktindsigt også indskrænket så journalister ikke længere kan gå politikernes mødeplaner igennem. Ej heller forlange kopier af mødereferater der dækker de dele af mødet hvor der tales om "interne arbejdsprocesser." Det er altså ikke muligt at bevise at en folkevalgt var til stede til et givet møde, ej heller hvad der blev talt om. Det er kun kontrakten - produktet - som er omfattet af aktindsigt.

"Kristoffer Brammer" føler sig måske personligt angrebet fordi han føler at hans branche tilsvines. Han overser, at branchen måske fortjener det.

Thomas Hansen

Det er til at overskue, når Finansrådet mener at virksomheder skal have mulighed for at beskytte sig.

Her virker en forsikringssum på 2,5 millioner, dog ikke som noget voldsomt, og egentlig er det vel bare at betragte som et udtryk for, hvad man mener man vil dække, inden for egne rækker. Så fik man tørret det ansvar af sig.....

Men det er jo ikke anderledes for alle NemID brugerne, som tilsvarende udsættes for kriminalitet.
http://www.dr.dk/DR1/kontant/2012/01/31114145.htm

Skal alle Danskere nu også til at tegne en forsikring mod den slags.
Det lyder som et Statsstøttet Scam, hvor først virksomhederne skal til at bidrage til Finansrådets kreds af økonomiske interesser. Senere alle andre brugere....

Kenneth Rasmussen

Hvis man ikke stoler på det, så skal man blot huske på hvem der får problemer, de penge man mister burde man nu gerne få igen fra Nets DanID eller ens bank.. er faktisk i tvivl om hvem det rammer, men følgende er jo blot ligesom en af de andre mange unødvendige forsikringer....

Kristoffer Brammer

skulle nok have ladet være med at stikke næsen frem, for reaktionen var vel forventelig. Fordomme er der jo nok af i denne verden...
Synes nu måske alligevel at vi på Ingeniøren og Version2 skulle holde os til at diskutere teknik. Det er vel trods alt fora for ingeniører og teknikere, der forhåbentligt har den tilgang til verdenen, at man baserer sig på viden snarere end dogmer. Så fortsat god fornøjelse med jeres begavede debat.

Steffen Schultz

Tjaa den holdning kan du jo godt vælge at tage, men hvis du vender tilbage til dit første indlæg, og nærlæser det en lille smule, så kan du måske finde grunden til hetzen, for jeg må tilkende give at jeg for så vidt er enig med dig omkring forsikringsselskabernes rolle vedr. nemid frygten, og kan ikke se de har et problem. problemet ligger hos nemid, og bankerne.
At forsikringsselskaberne forsøger at tjene penge på folks frygt er der ikke noget nyt i, og at vilkårene for menig mand kan være hård kost, tjaa sådan tror jeg altid det har været.
Problemet er nemid og vil blive ved med at være nemid til løsningen rent faktisk bliver sikker. Jeg syntes måske bare at politikere, og hvem der nu ellers forsøger på at trække denne universalløsning ned over hovedet på folk burde stoppe op og se på virkeligheden.

Lars Tørnes Hansen
Rasmus Arndal

Det største problem ved disse forsikringer er kravet om antivirus.
Der findes operativsystemer, for hvilke der ikke findes antivirus programmer.
Så vidt jeg er orienteret er en erhverskunde på et tidspunkt af et forsikringsselskab blevet anbefalet at købe og installere, vidst nok, f-secure for GNU/linux. Skønt dette produkt kun kunne scanne for windows viruser, og at forsikringsselskabet ikke kunne garantere at dette opfyldte kravet om at have et opdateret antivirus program.

Kunne det ikke være et interresant emne at undersøge for et IT-teknisk medie som version 2 vel er?

Lars Tørnes Hansen

Var jeg ejer af en virksomhed ville jeg stærkt overveje at droppe bankforretninger med danske banker, sålænge NemID eksisterer i sin nuværende usikre form.
Jeg er sikker på af et tilstrækkeligt stort ryk-ud af erhverskunder nok skal få gjort noget ved NemId - i ved når det begynder at gå ondt på indtjeningen så ...

Sverige, og Norge er oplagte andre lande at have sin bank i.

Med 700 kr i forsikring ville der måske endda da være penge i at flere ikke konkurrerende virksomheder går sammen om et administrationsselskab i udlandet. Altså at deres administration i praksis flytter til udlandet. De deler naturligvis ikke samme bankkonto, men ejer hver deres egen bankkonto, der bliver administreret af et personle i et selskab i udlandet. Pengeoverførsler styres suverænt fra virksomheden i Danmark - altså at administrationsselskabet kun er papirarbejdet ved at drive en virksomhed.

Jesper Lund

En ting er Bank NemID, hvor man nu kan forsikre sig mod tab, hvilket er særdeles positivt.

Men hvad med OCES NemID som vi alle sammen inden længe vil blive tvunget til at bruge? (pga. tvangstilslutning til offentlig digital post, der kun kan læses/skrives med OCES NemID). Hvad koster det at blive forsikret mod tab fra f.eks. identitetstyveri som følge af en af de mange sikkerhedsbrister i OCES NemID eller det offentlige NemLogin?

Forhåbentlig kommer dette forsikringsprodukt snart på banen. Så kan vi se hvad OCES NemID egentlig koster borgerne. Måske er det mere end hvad staten og kommunerne mener at de sparer på offentlig digital post..

Allan Høiberg

Journalisten gør fin reklame

Fik lige en idé:

1) Køb et "troværdigt" domænenavn såsom erhvervsnetbankforsikringen2012.dk

2) Skriv en seriøst klingende artikel som ovenstående med link til domænet som naturlig del af teksten og et par velplacerede citater fra store banker.

3) Send artiklen til en række medier og kryds fingre for at mindst ét af dem bringer artiklen uden at tjekke fakta (syg mistanke, men...)

4) Læn dig tilbage og vent på at uskyldige læser artiklen, følger linket og indtaster alle deres bankoplysninger på siden i den tro at det selvfølgelig er nødvendigt for at kunne forsikre kontoen med tilhørende kort.

5) et eller andet med profit og tropeøer.

Det har selvfølgelig ikke noget med emnet at gøre, og jeg forstår mig hverken på ironi eller sarkasme. Godt det ikke kan ske i virkeligheden!

Morten Jensen

@Rasmus Arndal

Der findes operativsystemer, for hvilke der ikke findes antivirus programmer.

FYI: Der findes også fine antivirus-programmer til linux/*nix. Jeg har selv brugt ClamAV. ClamAV understøtter windows, linux, mac os, *bsd og solaris 1, så det skal være et noget obskurt OS før man ikke kan få antivirus-programmer :)

Christian Nobel

FYI: Der findes også fine antivirus-programmer til linux/*nix. Jeg har selv brugt ClamAV. ClamAV understøtter windows, linux, mac os, *bsd og solaris [1], så det skal være et noget obskurt OS før man ikke kan få antivirus-programmer :)

Og helt præcist, hvad betydning har ClamAV for Linux (ud over at suge ressourcer ud af maskinen) - er det ikke stort set det samme som en jeg-er-bange forsikring uden reel substans.

Lidt ala:
http://xkcd.com/463/

Jesper Lund

Og helt præcist, hvad betydning har ClamAV for Linux (ud over at suge ressourcer ud af maskinen) - er det ikke stort set det samme som en jeg-er-bange forsikring uden reel substans.

Hvor mange AV programmer (til Windows) var det egentlig som opdagede den seneste NemID netbank trojaner?

Så vidt jeg ved er det kun DanIDs binær-kode-i-GIF-filer fusk, som er blevet opdaget af AV programmer.

Rasmus Arndal

Okay, undskyld, jeg fik vidst formuleret mig forkert. Jeg er klar over at der findes antivirus programmer til de fleste operativsystemer, men, så vidst jeg ved, er langt størstedelen af dem designet til og bliver brugt til at filtrere viruser som egentligt er rettet mod et enkelt specifikt os.
Derudover, så vidt jeg ved, er ClamAV ikke godt nok til forsikringsselskaberne, da ClamAV ikke kører "konstant", men, kun kører en scanning når det bliver bedt om det.

Undskyld min forkerte formulering, og undskyld hvis min viden om antivirus og virus er lidt rustent, det er ved at være mange år siden jeg for alvor behøvede at koncentrere mig om det.

jesper madsen

Nu er det så man kan undre sig over ingen indser det her er ikke kun på nemid logon det gælder. Dette er for erhverv og har som sådan altid været sådan i Danmark. Ergo dette er på ingen måde nyt.

Desuden kunne man jo også vælge at se på det som en positiv ting at folk rent faktisk kan forsikre sig fremfor at skulle sluge tabet hvis uheldet var ude? Eller man kan vælge at bruge endnu en tråd på at lege tinfoil hat med nemid.

Thomas Hansen

Der er der kun NemID at lege tinfoil hat med. Det er fejlen.
Finansrådet har et krav liggende om, at løse NemID problemet.
Det eneste de kunne komme op med, er at erhvervskunder skal forsikre sig.
Det er bare ikke godt nok.

Ikke nok med, at de indledningsvis har haft rigelig med tid til at få NemID til at virke, men de har nu også fået lov til at trække tiden i flere år ekstra. Det skulle have været færdigt i 2009, og det er stadigvæk ikke færdigt.
Hvis løsningen er, at brugerne bare kan tegne sig en forsikring, så afspejler det, at man ikke har nogen fungerende løsning på hånden, og derfor er tvunget til at komme med den udmelding.

Der kommer ikke noget andet end det nuværende NemID, for de har ikke nogen løsning at diske op med.

Vi er andre, der kan komme med andre løsninger, og vi skal jages rundt i manegen, til vi er kvalt.

Hvis Finansrådet mener løsningen ligger i, at der er behov for at man forsikrer sig, så skal de bare tegne forsikring, vederlagsfrit, for alle NemID brugere.
Det er ikke noget der skal trækkes ned over nogen brugere, det er ikke brugernes ansvar, at NemID ikke er skruet rigtigt sammen.
Så enkelt er det.

Dennis Thrysøe

Desuden kunne man jo også vælge at se på det som en positiv ting at folk rent faktisk kan forsikre sig fremfor at skulle sluge tabet hvis uheldet var ude? Eller man kan vælge at bruge endnu en tråd på at lege tinfoil hat med nemid.

Hvilke andre af bankens systemer skal vi glæde os over at kunne forsikre os imod? Måske skulle jeg se om jeg kan forsikre mig imod vand i bankens kælder, hvor mainframen garanteret står...

-dennis

Thomas Hansen

Tyskland, er et oplagt emne, i forbindelse med bank i udlandet.
Det giver også nogen alternativer, i forbindelse med forretningsdriften.

Har man en virksomhed, som primært har indkomst fra Licensindtægter, er Holland et oplagt emne, for Holland beskatter ikke den slags indkomst, som man gør i Danmark.

Ofte er det nødvendigt at oprette et kontor, eller skuffeselskab, men har man alligevel forretninger med det pågældende land, er det ofte en fordel.

jesper madsen

Hvis Finansrådet mener løsningen ligger i, at der er behov for at man forsikrer sig, så skal de bare tegne forsikring, vederlagsfrit, for alle NemID brugere.
Det er ikke noget der skal trækkes ned over nogen brugere, det er ikke brugernes ansvar, at NemID ikke er skruet rigtigt sammen.
Så enkelt er det.


Jeg tror du missede hvad jeg mente, det her er en generel betingelse der altid har eksisteret for erhverv for netbanker. Logon løsningen er ikke relevant.

Man kan da sagtens skifte til banker i andre lande, det ændrer bare ikke ved at betingelserne er de samme der. Jeg kender i alle tilfælde ikke til nogen lande hvor bankerne dækker tab for erhvervskunder pr standard. Men prove me wrong.

Og Dennis du mener så også det er dybt urimelig du skal betale for indbo forsikring, for det burde politiet da når de nu ikke forhindrede det indbrud.
Eller hvad med ansvars forsikring til bilen, den dumme fodgænger kunne jo bare lade være med at gå ud foran dig.

Thomas Hansen

Re: Forsikring

Hvis Finansrådet mener løsningen ligger i, at der er behov for at man forsikrer sig, så skal de bare tegne forsikring, vederlagsfrit, for alle NemID brugere. Det er ikke noget der skal trækkes ned over nogen brugere, det er ikke brugernes ansvar, at NemID ikke er skruet rigtigt sammen. Så enkelt er det.

Jeg tror du missede hvad jeg mente, det her er en generel betingelse der altid har eksisteret for erhverv for netbanker. Logon løsningen er ikke relevant.

Man kan da sagtens skifte til banker i andre lande, det ændrer bare ikke ved at betingelserne er de samme der. Jeg kender i alle tilfælde ikke til nogen lande hvor bankerne dækker tab for erhvervskunder pr standard. Men prove me wrong.

Nej, jeg missede ikke at man altid har været ansvarlig i forbindelse med erhverv.
Men du forholder dig ikke til kravene til NemID, at man skal levere en sikker løsning.
Teknisk er det muligt, at levere en helt anden og langt mere sikker løsning, end der pt. eksisterer.
Men NemID handler ikke om at levere en sikker løsning, det handler bl.a. om at levere en, for finanssektoren, omkostningsfri indtægtskilde.
Derfor vil man her fremhæve muligheden for at forsikre sig, frem for at tilbyde en langt mere sikker løsning.

Det ER teknisk muligt at levere en løsning, der sikkerhedsteknisk langt overstiger hvad man tilbyder under NemID.
Men det vil man ikke betale for, og derfor kommer Finansrådet med en løsning, der er omkostningsneutral for Finanssektoren og Staten.

Betingelserne er måske de samme i udlandet, men muligheden for at blive misbrugt gennem NemID's fælles løsning, findes ikke i andre lande.
Vil man uden om NemID's fælles løsning, og dermed sprede den risiko der ligger, så er oprettelse af konto i udlandet, en meget nærliggende, hvis ikke eneste, mulighed.
Jeg ser også, at man benytter helt andre politikker, foruden langt sikrere tekniske løsninger i andre lande.

Ud over den almindelige risikospredning, så er der bl.a. helt andre regler for datasamkøring, og andre lignende tiltag, i næsten alle andre lande.
(Bare endnu et eksempel på, at der kan være yderligere fordele ved at kigge på finansmarkedet i andre lande.)

Og nej, jeg skal ikke bevise at du tager fejl, og dermed beskrive hvordan du skal gøre det rigtigt, det må du selv finde frem til.

Dennis Thrysøe

Og Dennis du mener så også det er dybt urimelig du skal betale for indbo forsikring, for det burde politiet da når de nu ikke forhindrede det indbrud.
Eller hvad med ansvars forsikring til bilen, den dumme fodgænger kunne jo bare lade være med at gå ud foran dig.

Hvis jeg betroede politiet at passe på mine værdier, ved at anbringe disse i politiets varetægt, synes jeg måske ikke det var passende at min ansvarsforsikring skulle dække et evt. tyveri?

Egentligt synes jeg det ville være mest passende, om banken hæftede. Jeg har betroet beskyttelsen af nogen penge til en bank. Hvis den login-mekanisme de har valgt bliver brudt, trækker de bare på skuldrene.

Dybest set skulle erhvervskunder vel bare have samme betingelser på dette punkt som private kunder, men det er i sagens natur helt op til banken.

Så er det bare en skam at de alle er gået i kartel og har valgt samme betingelser (ansvar) og login-mekanisme; konkurrence længe leve.

-dennis

Morten Jensen

@Rasmus Amdal

Okay, undskyld, jeg fik vidst formuleret mig forkert. Jeg er klar over at der findes antivirus programmer til de fleste operativsystemer, men, så vidst jeg ved, er langt størstedelen af dem designet til og bliver brugt til at filtrere viruser som egentligt er rettet mod et enkelt specifikt os.
Derudover, så vidt jeg ved, er ClamAV ikke godt nok til forsikringsselskaberne, da ClamAV ikke kører "konstant", men, kun kører en scanning når det bliver bedt om det.

Undskyld min forkerte formulering, og undskyld hvis min viden om antivirus og virus er lidt rustent, det er ved at være mange år siden jeg for alvor behøvede at koncentrere mig om det.

Det var ikke for at få dig til at undskylde, det var sådan set bare for at informere :)

ClamAV kører som en daemon på vores linux-server, så principielt tror jeg da den er godkendt jf. præmisen om at køre som en service. Jeg installerede det første gang på en kompromitteret server jeg sku prøve at redde lidt data ud af, og den fandt en masse ting jeg ikke havde regnet med den ville finde.

Den fandt bl.a. noget malware skrevet i Perl (IRC klient, C&C-server, system()-kald etc) og hvad det havde efterladt sig af snavs i skjulte mapper i den kompromitterede brugers home-dir og på /dev/shm/ osv.

Derudover er jeg enig med dig i, at det er en håbløs lappeløsning med antivirus-programmer.

Morten Jensen

Og helt præcist, hvad betydning har ClamAV for Linux (ud over at suge ressourcer ud af maskinen) - er det ikke stort set det samme som en jeg-er-bange forsikring uden reel substans.

Nu kan jeg ikke nå at redigere mit tidligere indlæg, men min pointe var nu bare at informere. Jeg er enig med dig i, at Antivirusprogrammer kun yder ringe beskyttelse mod malware og er en lappeløsning på et grundliggende sikkerhedsproblem.
I bund og grund handler det vel om leaky abstractions: håndteringen af sikkerhed lækker ud af OS-kernen.

Rasmus Arndal

Som jeg har forstået ClamAV i deamon-mode, så virker den ved at "gå-igang" når den bliver kaldt, og så scanne det den bliver bedt om i kaldet?

Omkring din kompromiterede server, skal jeg forstå det sådan at du havde en indficeret *nix server? Og i så fald, hvordan fik snasket lov til at operere med root rettigheder? (f.eks. at efterlade snavs i /dev/?) Og nu bliver jeg rigtig nysgærig, hvis snasket fik tiltusket sig root rettigheder, hvordan i al verden kom det ind på maskinen og hvad var forløbet?

Situationen omkring forsikringsselskabet var stadig, at de under vejledningen af kunden ikke besad grundlæggende it viden, og enda anerkendte at de ikke besad den viden, ej heller var vidende om om disse tiltag ville gøre kunden i stand til at opfylde kravene til forsikringen.
Et eller andet sted, så uanset hvilket OS, hvilket snask der kommer ind, og hvad det har mulighed for at lave, sætter det kunden i en ganske besværlig situation.

Morten Jensen

Som jeg har forstået ClamAV i deamon-mode, så virker den ved at "gå-igang" når den bliver kaldt, og så scanne det den bliver bedt om i kaldet?

Omkring din kompromiterede server, skal jeg forstå det sådan at du havde en indficeret *nix server? Og i så fald, hvordan fik snasket lov til at operere med root rettigheder? (f.eks. at efterlade snavs i /dev/?) Og nu bliver jeg rigtig nysgærig, hvis snasket fik tiltusket sig root rettigheder, hvordan i al verden kom det ind på maskinen og hvad var forløbet?

Situationen omkring forsikringsselskabet var stadig, at de under vejledningen af kunden ikke besad grundlæggende it viden, og enda anerkendte at de ikke besad den viden, ej heller var vidende om om disse tiltag ville gøre kunden i stand til at opfylde kravene til forsikringen.
Et eller andet sted, så uanset hvilket OS, hvilket snask der kommer ind, og hvad det har mulighed for at lave, sætter det kunden i en ganske besværlig situation.

Efter at have læst lidt mere, tror jeg faktisk du har ret. Jeg troede egentligt at den hookede sig til filsystemet og scannede reaktivt, ligesom man kan sætte den op til sammen med en MTA.

Den kompromitterede konto havde kun brugerrettigheder. /dev/shm er en shared memory implementering beregnet til (usikker) IPC og var, sammen med home-dir, det eneste der var blevet svinet til med skjulte filer, da det var det eneste den bruger har skriveadgang til.
Nu er historien knap så interessant, men siden du spørger, så kan jeg fortælle at kontoen blev dictionary-cracked såvidt jeg kan se ud af auth.log'en :)

Den egentlige årsag var et svagt password og at sshd kørte på port 22 og derfor var mål for en masse random angreb. Jeg er egentligt glad for at det skete, for nogen i firmaet fik øjnene op for at der skulle laves noget om. Endda uden det kostede andet end lidt irritation og røde kinder hos admin'en ;)

Den hurtige løsning var at flytte sshd til en anden port og kun tillade login vha. public key.

jesper madsen

Det ER teknisk muligt at levere en løsning, der sikkerhedsteknisk langt overstiger hvad man tilbyder under NemID.
Men det vil man ikke betale for, og derfor kommer Finansrådet med en løsning, der er omkostningsneutral for Finanssektoren og Staten.

Betingelserne er måske de samme i udlandet, men muligheden for at blive misbrugt gennem NemID's fælles løsning, findes ikke i andre lande.
Vil man uden om NemID's fælles løsning, og dermed sprede den risiko der ligger, så er oprettelse af konto i udlandet, en meget nærliggende, hvis ikke eneste, mulighed.
Jeg ser også, at man benytter helt andre politikker, foruden langt sikrere tekniske løsninger i andre lande.

Ud over den almindelige risikospredning, så er der bl.a. helt andre regler for datasamkøring, og andre lignende tiltag, i næsten alle andre lande.
(Bare endnu et eksempel på, at der kan være yderligere fordele ved at kigge på finansmarkedet i andre lande.)


Samme som til Dennis, du misser fuldstændig at langt de største erhvervsløsninger i Danmark netop ikke bruger nemid. F.eks. danskebank, nordea bruger alternative løsninger til deres erhvervs produkter.

Og du har da ret i regler for data samkøring i andre lande er anderledes men hvordan det har noget med forsikringer at gøre fanger jeg ikke helt?
Desuden er den danske lovgivning på netop dette område noget af det mest restriktive du kan finde.

Det da en fin påstand at andre lande er væsentlig mere sikre i deres bank løsninger. Desværre for dig har du jo så ikke noget statistik eller andet til et underbygge dette :)

Så er det bare en skam at de alle er gået i kartel og har valgt samme betingelser (ansvar) og login-mekanisme; konkurrence længe leve.

-dennis

Ja her er så det sjove vi snakker om erhvervs løsninger der primært ikke bruger nemid. Så du skyder også lidt forbi.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Advanced Windows Store App Development using HTML5 and Javascript [20482]

Hvornår: 2015-10-26 Hvor: Storkøbenhavn Pris: kr. 19500.00

Arbejdspraksis og it

Hvornår: 2016-02-01 Hvor: Østjylland Pris: kr. 15000.00

PRINCE2 afvigelsesstyring

Hvornår: Hvor: Efter aftale Pris: kr. Efter aftale

QMS Auditor/Lead Auditor Training Course (IRCA id-nr A17536)

Hvornår: 2015-11-16 Hvor: Fyn Pris: kr. 25700.00

Mentor i beskæftigelsesindsatsen

Hvornår: 2015-08-31 Hvor: Østjylland Pris: kr. 9800.00