Skjult kryptering hos bankerne forvirrer it-kyndige

8 kommentarer.  Hop til debatten
Send ikke personlige oplysninger ukrypteret på nettet. Den tommelfingerregel gør bankerne det svært at holde styr på, for det er meget svært at se, om transaktionen er krypteret eller ej.
6. januar 2010 kl. 10:33
errorÆldre end 30 dage

Er man en forsigtig og teknisk kyndig bankbruger, kan en transaktion gennem bankernes websider være dårlig for nerverne.

Det er i hvert fald ikke altid nemt at se, om de følsomme oplysninger, man sender, bliver krypteret på vejen, og hos Danske Bank er det ved første øjekast slet ikke muligt.

Ønsker man for eksempel et nyt kreditkort, skal man sende CPR-nummer, kontonummer og en række andre personlige oplysninger af sted over nettet, men ingen steder er de magiske bogstaver 'https' eller det kendte hængelås-ikon at se.

Alt bliver dog krypteret, beroliger bankens koncernsikkerhedschef, Poul Otto Schousboe, selvom det ikke umiddelbart er til at få øje på.

Artiklen fortsætter efter annoncen

»De oplysninger, der sendes, bliver sendt krypteret. Det skriver vi også i vilkårene for websiden. Ellers ville vi jo være i strid med persondataloven,« lyder det fra sikkerhedschefen.

Et grundigt kig i kildekoden viser da også, at den formular, som oplysningerne skal tastes ind i, bruger serveren https://www.fokus.no. Fokus en norsk bank i Danske Bank-koncernen, og løsningen er valgt, fordi hele koncernen kører på samme platform.

En Version2-læser mener, at når brugen af kryptering ikke er synlig, vil bankkunderne aldrig lære at være forsigtige med at sende deres data over nettet. Det gør det nemmere for it-kriminelle at få succes med phishing-angreb, lyder tesen.

»SSL-certifikatet er ingen garanti mod et phishing-site. Det gør kun adressen. Hvis nogen laver et phishing-site på adressen dansebank.dk, kan de sagtens købe et SSL-certifikat og få en hængelås på. Så der er ingen teknisk kobling. Det er dog de færreste phishings-sites, der bruger SSL,« siger sikkerhedschefen, der altså ikke mener, at den usynlige kryptering på danskebank.dk er en gave til phishing-folkene.

Artiklen fortsætter efter annoncen

På mange andre websider end Danske Banks ser det også på overfladen ud til, at oplysningerne sendes ukrypteret. Men ofte er siden inddelt i frames, hvor en del af siden vises fra en https-webside. Det kan man se ved at højreklikke og se egenskaber for de forskellige dele af websiden.

8 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
1
6. januar 2010 kl. 11:48

Det har vel alle dage været uhensigtsmæssigt, at hængelåsen i din browser angiver "det du lige har gjort, var sikkert", ikke "det du er ved at gøre nu, er sikkert"

3
6. januar 2010 kl. 12:02

Jeg foretrækker altid at kunne se hængelåsen FØR jeg indtaster mine info.

Hvis jeg eksempelvis er på en webshop og IKKE kan se en hængelås når de beder mig om mine oplysninger (adresse, dankort osv) så køber jeg ikke noget.

Jeg har dog et problem ved SponsorCar, for de beder mig indtaste mit CPR-nummer sammen med alle mine personoplysninger (adresse, kontonummer, bank, email, mobilnummer osv.) i en ukrypteret form, der sendes til en ukrypteret modtager. Det er totalt guf for en hacker...http://www.sponsorcar.dk/default.asp?Action=members_account_payout_form

Jeg har fortalt dem om problemet, men deres løsning var at printe formen ud, udfylde den i hånden, og poste den afsted til dem... Ikke tilfredsstillende!

4
6. januar 2010 kl. 12:33

Det er 100% usikkert at submitte data fra en http side til https, netop fordi brugeren ikke kan se om data bliver opsnappet, selv hvis man er en kyndig bruger der checker at der står https på output siden, for den kan lige så godt være opstået ved:

  1. Angriberen modificerer form'en så target for formen er sat til http://angriber.ru/form

  2. Brugeren har ingen mulighed for at kontrollere at siden ikke er pillet ved eller at formen ikke submitter det forkerte sted hen, med mindre han læser sourcen, så han udfylder formen og submitter sine data til angriberen.

  3. Angriberen opsnapper data fra browseren.

  4. Angriberen laver en 302-redirect til https siden med data'ene url-encodet.

  5. Brugeren får den side han forventede og aner ikke at han er blevet narret.

#0 kan virke svær lige ind til man indser at det kan gøres som man-in-the-middle og at det angreb faktisk kun kræver at man får kørt sin kode på en eller anden tilfældig maskine på offerets netværk, for så kan man både dns og arp spoofe sig vej ind mellem brugeren og nettet.

Selv https hele vejen er ikke sikkert, med mindre brugeren er meget opmærksom jf.:http://www.blackhat.com/presentations/bh-usa-09/MARLINSPIKE/BHUSA09-Marlinspike-DefeatSSL-PAPER1.pdf

http://www.blackhat.com/presentations/bh-usa-09/MARLINSPIKE/BHUSA09-Marlinspike-DefeatOCSP-PAPER2.pdf

https://media.blackhat.com/bh-usa-09/video/MARLINSPIKE/BHUSA09-Marlinspike-DefeatSSL-VIDEO.mov

http://www.blackhat.com/presentations/bh-usa-09/MARLINSPIKE/BHUSA09-Marlinspike-DefeatSSL-SLIDES.pdf

http://www.youtube.com/watch?v=Rvp0oPluuLEhttp://www.youtube.com/watch?v=xWBeQ0cR0WY

Den eneste måde at sørge for en 100% sikker https forbindelse er ved at nægte adgang for brugeren hvis han ikke har et klient certifikat man stoler på, kun på den måde kan man slippe for at stole på brugerens sans for sikkerhed.

6
6. januar 2010 kl. 12:50

Den eneste måde at sørge for en 100% sikker https forbindelse er ved at nægte adgang for brugeren hvis han ikke har et klient certifikat man stoler på, kun på den måde kan man slippe for at stole på brugerens sans for sikkerhed.

Det minder om den måde man tilgår Nordeas netbank. Altså at du bliver afvist hvis ikke dit certifikat med tilhørende kode verificeres korrekt. At man så kan gemme certifikatet direkte på harddisken og vist ikke bliver blacklistet ved 3 ugyldige adgangskoder, er en anden sag. Ligesom det heller ikke hjælper at den oprindelige kode stadig skulle virke til netbanken. (Kan ikke huske alle detaljer, men mener den blev omtalt både her og på flere andre medier).

Convenience fører desværre meget ofte til ødelagt sikkerhed, fordi personerne bag, ikke gennemtænker sikkerhedsproblematikkerne før de kommer med eyecandy og single-signon m.m. Det ene behøver ikke udelukke det andet, men det er desværre nærmere undtagelsen end reglen at det forholder sig sådan.