22 584 läst ·
207 svar
23k läst
207 svar
Mäklarfirma inför krav om bank-ID på budgivare
Diversearbetare
· Göteborg
· 11 227 inlägg
OT, men du har rätt i att auktionsteori är ett mycket intressant ämne. Grottade mig ner i detta under en längre ledig stund och man fastnar direkt.lars_stefan_axelsson skrev:
Alla de stora systemen för elektroniskt ID är hackade.Dan_Johansson skrev:
Visst, någon kan förfalska mitt körkort, men det är en del jobb, och de måste ta risken att vara där på plats fysiskt för att använda kopian, och det är en risk. Det är inte en metod som kan användas på massiv skala.
En enda 0-day exploit som upptäcks i elektroniska ID så kan någon sätta helt säkert i tex Kina, Nigeria eller Grönland och automatisera en exploit som på sekunder exempelvis tömmer miljontals bankkonton. Datorer är effektiva, även när de gör fel saker.
Det finns också proof of concept där man från webläsare lyckats locka ur datorer en e-legitimering utan användarens vetskap, vilket naturligtvis är ett enormt problem i alla sammanhang där anonymitet är önskat (eller om man bara inte vill vara en marknadsföringsvara).
E-legitimiering är ungefär som att alla dörrar hade ett lös med samma huvudnyckel så att brandkåren skulle komma in lättare, men man publicerade specifikationerna på nyckeln. Det verkar säkrare på ytan, men egentligen är det en massiv riskökning.
Lägg till det att EU-regler gör att man inte kan neka en giltig e-legitimiering, samtidigt som det inte finns några kvalitetskrav. Så, om jag tex skulle skapa en e-legitimeringsstjänst som går ut på att du kommer till en websida och där måste klicka "ja" på frågan "Lovar du att du verkligen är X?", så är det tveksamt som man kan vägra det som en giltig legitimering.
Att mäklaren kräver legitimiation av de som budar är inte konstigt (rimligtvis har mäklaren redan träffat alla budgivarna i förväg, man budar väl inte blint), men jag ser ingen anledning till att den ska vara elektronisk så länge som det är omogen och osäker teknik.
Besserwisser
· Västra Götalands
· 11 229 inlägg
Har du några referenser till de här påståendena? Jag är intresserad av sådana.T Troberg skrev:Alla de stora systemen för elektroniskt ID är hackade.
Visst, någon kan förfalska mitt körkort, men det är en del jobb, och de måste ta risken att vara där på plats fysiskt för att använda kopian, och det är en risk. Det är inte en metod som kan användas på massiv skala.
En enda 0-day exploit som upptäcks i elektroniska ID så kan någon sätta helt säkert i tex Kina, Nigeria eller Grönland och automatisera en exploit som på sekunder exempelvis tömmer miljontals bankkonton. Datorer är effektiva, även när de gör fel saker.
Det finns också proof of concept där man från webläsare lyckats locka ur datorer en e-legitimering utan användarens vetskap, vilket naturligtvis är ett enormt problem i alla sammanhang där anonymitet är önskat (eller om man bara inte vill vara en marknadsföringsvara).
E-legitimiering är ungefär som att alla dörrar hade ett lös med samma huvudnyckel så att brandkåren skulle komma in lättare, men man publicerade specifikationerna på nyckeln. Det verkar säkrare på ytan, men egentligen är det en massiv riskökning.
Lägg till det att EU-regler gör att man inte kan neka en giltig e-legitimiering, samtidigt som det inte finns några kvalitetskrav. Så, om jag tex skulle skapa en e-legitimeringsstjänst som går ut på att du kommer till en websida och där måste klicka "ja" på frågan "Lovar du att du verkligen är X?", så är det tveksamt som man kan vägra det som en giltig legitimering.
Att mäklaren kräver legitimiation av de som budar är inte konstigt (rimligtvis har mäklaren redan träffat alla budgivarna i förväg, man budar väl inte blint), men jag ser ingen anledning till att den ska vara elektronisk så länge som det är omogen och osäker teknik.
Fairlane
Medlem
· Stockholms Län
· 17 921 inlägg
Fairlane
Medlem
- Stockholms Län
- 17 921 inlägg
E-legitimation där man har sin privata nyckel sparat på datorn är ett potentiellt problem. BankId där man har sin privata nyckel på ett kort kan man nog glömma den storskaliga attacken.
Vad gäller EU-krav att acceptera alla certifikat oavsett säkerhet är något som jag aldrig hört talas om och då har jag över 25 års erfarenhet inom IT-säkerhet.
Vad gäller EU-krav att acceptera alla certifikat oavsett säkerhet är något som jag aldrig hört talas om och då har jag över 25 års erfarenhet inom IT-säkerhet.
Misstänker att @Troberg tänker på eIDAS, se t.ex.: https://www.elegnamnden.se/eidas/omeidasforordningen.4.4498694515fe27cdbcf240.htmlFairlane skrev:
E-legitimation där man har sin privata nyckel sparat på datorn är ett potentiellt problem. BankId där man har sin privata nyckel på ett kort kan man nog glömma den storskaliga attacken.
Vad gäller EU-krav att acceptera alla certifikat oavsett säkerhet är något som jag aldrig hört talas om och då har jag över 25 års erfarenhet inom IT-säkerhet.
Men dels gäller det så vitt jag vet endast offentliga tjänster, och dels är det inte alls så öppet som det framställs.
Svenska myndigheter har idag en knapp där det står typ "logga in med utländsk e-legitimation" och när man trycker på den så får man upp en sida att det för närvarande inte finns några utländska e-legitimationer som accepteras, och det är tillräckligt för att nå upp till direktivets krav om jag förstått det rätt.
Hur som helst så tror jag en hacker som knäckt någons BankID knappast har något större intresse av att lägga falska bud på något hus.
Jag är fortfarande nyfiken på hur en mäklare som ställer upp krav för att få lämna bud får ihop det med skyldigheten att vidarebefordra samtliga bud till säljaren.
Fairlane
Medlem
· Stockholms Län
· 17 921 inlägg
Fairlane
Medlem
- Stockholms Län
- 17 921 inlägg
Ja, eIDAS känner jag väl till, men att det skulle räcka för någon att sätta upp en egen webbsida och låta folk klicka "ja, jag lovar" är väldigt långt ifrån sanningen.
Som länken du angav säger:
Ja, det är rätt märkligt faktiskt att inte alla bud behöver framföras.
Som länken du angav säger:
vilket ju är väldigt långt ifrån egenintyg.
Ja, det är rätt märkligt faktiskt att inte alla bud behöver framföras.
Googla det. Det finns massor av forskningsartiklar och föredrag om det.lars_stefan_axelsson skrev:
EU-kraven är att en E-legitimering ska ha samma status som en fysisk legitimering. Sedan säger kraven inget om säkerhet/kvalitet. Glappet mellan de två bitarna är risken.Fairlane skrev:
Nej, men jag kanske har intresset. Så fort jag skaffat en e-legitomation, så har jag skaffat en nyckel till mitt privatliv, mina affärer, som vem som helst kan använda. Så, kravet exponerar resten av mitt stuff.C cpalm skrev:
Fairlane
Medlem
· Stockholms Län
· 17 921 inlägg
Fairlane
Medlem
- Stockholms Län
- 17 921 inlägg
Jo, det finns visst krav på säkerhet och kvalitet. Vi ska inte blanda ihop en godkänd e-legitimation med exempelvis Google Authenticator. Det finns inte heller något krav att en privat aktör som en mäklare måste godkänna alla e-legitimationer.T Troberg skrev:
Ja och nej. Du har en privat nyckel, men inte som vem som helst kan använda om den skyddas korrekt. Din privata nyckel ska du aldrig lämna ifrån dig. Om du gör det så går det såklart att använda av vem som helst, ungefär på samma sätt som jag kan använda ditt kreditkort och du ger det till mig en stund. Liksom kreditkort går det också att spärra e-legitimationen.T Troberg skrev:
Sen finns det tekniska möjligheter att få information om den privata nyckeln på ett kort, även om det "ska vara omöjligt", det är riktigt. Man har kunnat visa att man kan dra slutsatser av att med hjälp av en speciell kortläsare kunna läsa ut enkilda bitar genom att spänningsätta benen olika etc. Det kräver dock dels, special kompetens/hårdvara, dels mycket tid (man kan inte få ut hela neckeln, men väl försvaga den) och framförallt krävs det fysiskt tillgång till kortet under lång tid. Under den tiden hinner användaren spärra sitt kort.
Som sagt, jag är inte för den lösning som mäklaren valt här, och det står var och en fritt fram att välja om man vill använda viss teknik eller inte. Alla val har fördelar och nackdelar och många gånger är man mycket mer kritisk till nackdelarna med nya grejer än med nackdelarna med det man har. Ett passande exempel är oron att tillåta digitala signaturer för att det finns en chans på 1273874687638123421734 (påhittat stort tal) att någon kan förfalska den. Således föredrar man att skriva under manuellt, för där är det så mycket enklare att förfalska en underskrift.
Du missar poängen, Har jag en e-legitimation så kan den användas i alla sammanhang, även av illbattingar.Fairlane skrev:
Du missar poängen. Alla de stora systemen för elektroniskt ID har hackats. Jag behöver inte lämna ifrån mig informationen, den kan hackas genom diverse klassiska tekniker, som reverse engineering av tekniken, man-in-the-middle attacker, spoofing osv. Men, det kan bara göras om jag faktiskt har en E-legitimation.Fairlane skrev:
Ja och nej. Du har en privat nyckel, men inte som vem som helst kan använda om den skyddas korrekt. Din privata nyckel ska du aldrig lämna ifrån dig. Om du gör det så går det såklart att använda av vem som helst, ungefär på samma sätt som jag kan använda ditt kreditkort och du ger det till mig en stund.
Chansen är mycket större än så, alla de stora systemen för elektronsikt ID har hackats. Grejen är att man inte bara chansar slumpmässigt, man angriper direkt den underliggande teknologin, algoritmerna och datatransporterna. Vi har dessutom kvantdatorer i drift nu, och de är eminent lämpade att brute force-knäcka sånt här.Fairlane skrev:
En annan viktig skillnad är att en underskrift inte kan förfalskas på industriell skala. Den kräver att någon är på plats och gör det. Med elektroniskt ID så räcker det att någon upptäcker en exploit, så kan han sitta helt säker i ett land på andra sidan jorden, utan utlämningsavtal, och automatiserat skinna miljontals personer på sekunder.
Ytterligare en viktig aspekt är rätten till anonymitet. Om elektroniskt ID blir vanligt nog, så kommer det snart lagkrav på identifiering vid tex internetanvändning. Säkert till att börja med med argument som "Vi måste se till så att 17-åringar inte kan titta på porr så att de får reda på att sex finns!" eller "Vi måste jaga terrorister!" osv, och snart är allt du gör på nätet kopplat till dig. Ungefär som hur de vill spåra vad du köper genom att gradvis ta bort kontanter.
BirgitS
Medlem
· Stockholms län
· 48 219 inlägg
BirgitS
Medlem
- Stockholms län
- 48 219 inlägg
Det är skillnad på att något har hackats och att något kan hackas. Upp till bevis att Bank-ID har hackats.T Troberg skrev:
Allvetare
· Västra götaland
· 10 936 inlägg
Den logiken kan man ju applicera på mycket, frågan är om du undviker andra saker som kan hackas?T Troberg skrev:
Banken? Du har väl inga "elektroniska" pengar?
Bilen? Du har väl inte trådlöst centrallås?
"Smartphones" går ju att hacka.
Du använder väl inte dator, antar jag?
Fairlane
Medlem
· Stockholms Län
· 17 921 inlägg
Fairlane
Medlem
- Stockholms Län
- 17 921 inlägg
Menar du på fullt allvar att man kan plocka ut min privata nyckel från mitt kort?T Troberg skrev:
Kanske även från HSMer?
MIM är inget hack av e-legitimationen, inte spoofing heller. Så den privata nyckeln inte lämnar kortet så kommer ingen annan åt den.Du missar poängen. Alla de stora systemen för elektroniskt ID har hackats. Jag behöver inte lämna ifrån mig informationen, den kan hackas genom diverse klassiska tekniker, som reverse engineering av tekniken, man-in-the-middle attacker, spoofing osv. Men, det kan bara göras om jag faktiskt har en E-legitimation.
Kan du nämna vilka stora system för elektronisk ID som hackats?
En viktig tanke helt klart, men inte något som har att göra med hackade eID.Ytterligare en viktig aspekt är rätten till anonymitet. Om elektroniskt ID blir vanligt nog, så kommer det snart lagkrav på identifiering vid tex internetanvändning. Säkert till att börja med med argument som "Vi måste se till så att 17-åringar inte kan titta på porr så att de får reda på att sex finns!" eller "Vi måste jaga terrorister!" osv, och snart är allt du gör på nätet kopplat till dig. Ungefär som hur de vill spåra vad du köper genom att gradvis ta bort kontanter.
Bank: Jag måste tyvärr ha kort, men jag har ingen kredit på det, och har merparten av pengarna på annat konto. Jag handlar kontant när det går.Dan_Johansson skrev:
Bil: Nej.
Lur: Jag har rootat den, och har skaplig koll på vad som körs på den.
Dator: Använder Linux till typ allt utom spel och viss utveckling.
Nej, jag menar att man genom brister i algoritmen kan räkna ut din nyckel.Fairlane skrev:
Mer praktiskt exempel på hur det kan gå till: Får många år sedan så bodde jag på hotell där nyckeln var ett hålkort i plast som man stoppade i en läsare i dörren. Jag hade tråkigt och tittade på nyckeln. Mittspåret med hål vara fyllt med hål hela vägen, så uppenbart bara en timing-remsa. Men, de andra raderna innehåll helt enkelt rumsnumret i binär kod. Så, hade jag velat, efter att ha listat ut deras system, så hade det varit trivialt att göra nycklar till vilket rum som helst.
Ett liknande exempel var när någon listade ut hur SMS-koderna för betalning på bussen var konstruerade (om jag minns rätt, baserade på datum, tid, busslinje och en checksumma), så han kunde åka buss genom att ange ett nummer som han själv genererat utan att betala.
Nu är det lite krångligare här, men samma princip gäller. Brister i hur systemet är uppbyggt skapar exploaterbara luckor.
Visst är det ett hack av e-legitimationen. Spoofing är lättast att förklara:Dan_Johansson skrev:
Vad användaren ser:
* Han kommer till en legitimeringssida och går genom stegen för legitimering.
* Sidan svarar "Ogiltig kod" eller liknande, och användaren kommer tillbaka till legitimeringssidan.
* Han knappar in igen. Nu godkänns den, och han kommer vidare till sin destination.
Hur många reagerar på det? Man tänker "Jag knappade väl fel, hicka i överföringen eller nåt. Skit samma, nu funkar det.".
Vad som egentligen hände:
* Användaren kommer till en falsk sida (tex genom en DNS-spoof).
* Han knappar i sina uppgifter.
* Bedragarens program för en giltig identifiering som han använder för elakheter.
* Bedragaren rapporterar misslyckat, och skickar användaren till rätt sida.
* Användaren gör en identifiering till, och kommer dit han skulle.
(Sidonotis: En väldigt snarlik metod används för att låsa upp bilar, garagedörrar osv med fjärrkontroll. Skillnaden är att man där använder första koden för att låsa upp när andra har skickats, så att man har kvar nästa kod i serien för att öppna vid senare tidpunkt.)
Man in the middle är lite klurigare, men den hänger på att trafik över internet går över ett publikt nät, så man kan avlyssna (och påverka) en kommunikation, och därmed snyta en giltig identifiering enligt liknande metodik som ovan.
Dessa två är dock bara måttligt riskabla, då de är svåra att göra på massiv skala. Buggar, algoritmosäkerheter, bakdörrar, exploits av brister, krypton som inte pallar framtidens krav osv, däremot, är farliga på allvar, eftersom de kan utnyttjas på massiv skala. Om du kan sitta vid din dator och generera giltiga identifieringar för vem som helst med ett enkelt program (ungefär som man kan göra med kreditkortsnummer, vilket är anledningen till att man numera kräver namn, datum och koden på baksidan också), då har du makt.