T Troberg skrev:
Hur funkar det för oss som väntar med elektroniskt ID tills det är rimligt säkert, vilket ingen av dagens lösningar är?
I princip håller jag fullständigt med men jag ser det lite som exempelvis att åka bil. Man utsätter sig för risker men alternativen är så pass besvärliga/kostsamma att jag är "tvungen" att ta risken.

Hur hanterar du exempelvis en som sak som internetbank utan "elektroniskt ID" eller gör du inte det?
 
BirgitS
T Troberg skrev:
Mer praktiskt exempel på hur det kan gå till: Får många år sedan så bodde jag på hotell där nyckeln var ett hålkort i plast som man stoppade i en läsare i dörren. Jag hade tråkigt och tittade på nyckeln. Mittspåret med hål vara fyllt med hål hela vägen, så uppenbart bara en timing-remsa. Men, de andra raderna innehåll helt enkelt rumsnumret i binär kod. Så, hade jag velat, efter att ha listat ut deras system, så hade det varit trivialt att göra nycklar till vilket rum som helst.

Ett liknande exempel var när någon listade ut hur SMS-koderna för betalning på bussen var konstruerade (om jag minns rätt, baserade på datum, tid, busslinje och en checksumma), så han kunde åka buss genom att ange ett nummer som han själv genererat utan att betala.

Nu är det lite krångligare här, men samma princip gäller. Brister i hur systemet är uppbyggt skapar exploaterbara luckor.
Dina exempel är ju mycket långt från hur Bank-ID fungerar. Vad finns det för exploaterbara luckor i Bank-ID som utnyttjas?

Det var inte beskrivningar av spoofing eller MiM vi efterfrågade, eftersom det är välkänt, utan bevis för att Bank-ID har hackats.
 
  • Gilla
Benighted och 4 till
  • Laddar…
Alfredo Alfredo skrev:
Hur hanterar du exempelvis en som sak som internetbank utan "elektroniskt ID" eller gör du inte det?
Inloggning med bankdosa, men utan att ha tjänsten elektroniskt ID.

BirgitS BirgitS skrev:
Det var inte beskrivningar av spoofing eller MiM vi efterfrågade, eftersom det är välkänt, utan bevis för att Bank-ID har hackats.
Spoofing och Man in the Middle är en kategori av hacks. För övriga varianter så finns det lite DefCon-föredrag om ämnet, som jag inte vill söka på den här datorn.
 
  • Gilla
civilingenjören
  • Laddar…
BirgitS
T Troberg skrev:
Inloggning med bankdosa, men utan att ha tjänsten elektroniskt ID.
Enligt artikeln https://www.dn.se/ekonomi/polisen-bedragerier-med-bank-id-ett-systemhotande-problem/ (beklagar att det är en betalsida) så gjordes 18 % av de då aktuella bedrägerierna med Bank-id och 82 % med bankdosa. Tillvägagångssättet som beskrivs är att bedragarna ringer upp personer och uppger att de är från banken, polisen etc. och får personerna att godkänna överföringar. Det är alltså i huvudsak social ingenjörskonst det handlar om och inte hacking i vanlig betydelse. Det var också ineffektivt eftersom varje samtal tog kring 20 minuter och det behövdes kring 200 samtal innan bedragarna hittade en person som gick på deras bedrägeri. Är man skeptisk och följer bankernas råd om att aldrig logga in på någon annans uppmaning är det alltså inte ett problem.
 
  • Gilla
Benighted och 1 till
  • Laddar…
F
Foliehatten sitter fint ser jag.

Allas våra pengar, pensioner och fonder är bara ettor och nollor i databaser. Varav BankID är en av väldigt många attackvektorer. Så att nojja över BankID är ungefär som att vara fanatisk med bilbältet men skita i däcken.

Och, hehe, köra rootad nalle och anse sig ha någorlunda koll på vad som händer, men samtidigt vara rädd för zero-day exploits. Det är ju bara att erkänna att du har ingen aning om vad som körs på din telefon, för du vet inte. Lixom poängen med zero-day.

Du måste ju vara lite konsekvent. Annars tangerar det ju fobi. Jag kan hålla med om att ju mer vi bygger vår värld på att sönderstressade vinstmaximerade konsulter inte ska göra misstag, så ökar risken att shit hits the fan. Men om det händer på den skala du är nojjig över, att någon ska tömma miljoner bankkonton, manipulera börsrobotar eller knäcka SSL, det är så samhällsomstörtande att det spelar ingen roll hur mycket du begränsar ditt liv idag för att skydda dig, du dras med i fallet ändå. Passa på och njut av teknikens guldålder innan det blir försent. Swish och BankID är skit-smidigt.
 
  • Haha
  • Gilla
Enolf och 1 till
  • Laddar…
Fairlane
Den definitionen av hack överens med medias när de påstår att BankID blivit hackat (ofast då mobilt BankID). Någon ringer offret och utger sig för att ringa från banken och så knappar kunden glatt in sin kod. Om det är samma sak som att BankID är hackat så är även banker och kontanter hackade. Kanske är du på väg till banken för att sätta in lite kontanter. Utanför står en trevlig kille och utger sig för att vara från banken och att han kommer ordna detta åt dig så slipper du gå in och stå i kö. Glatt lämnar du över pengarna och blir sen överraskad att de är borta. Är banksystemet knäckt? Är kontanta medel knäckt pga detta?

Algoritmen som normalt används är RSA-algoritmen. Mig veterligen är den inte knäckt än. Man har hittat några metoder som gör att det kan gå lite snabbare att hitta den publika nyckeln, men det är ändå försumbart. Den dagen man verkligen knäcker RSA-krypteringen så har vi större problem än en förfalskad e-legitimation. Varenda banktransaktion kan ifrågasättas. Varenda server kan ifrågasättas etc.
 
  • Gilla
civilingenjören och 1 till
  • Laddar…
T Troberg skrev:
Googla det. Det finns massor av forskningsartiklar och föredrag om det.
Jag vet inte ens vilka system du avser med "Alla de stora systemen för elektroniskt ID är hackade."

Vilka system är det? Och vad specifikt är svagheterna? Dina jämförelser med hotellrumsnycklar m.m. och Bank-ID övertygar inte. Det är helt andra algoritmer, med helt annan kontroll av korrektheten vi talar om här. Och att det fortfarande finns systemsvagheter, av typen "social engineering" det hör egentligen inte heller hit.

För du tror väl inte att ditt ID-kort fungerar så mycket bättre? (Det gör det inte...)


(Antag att jag vet åtminstone något om vilka forskningsartiklar som är publicerade eftersom jag skrivit åtminstone någon av dem... ;))
 
  • Gilla
Benighted och 4 till
  • Laddar…
lars_stefan_axelsson lars_stefan_axelsson skrev:
För du tror väl inte att ditt ID-kort fungerar så mycket bättre? (Det gör det inte...)
Ur åtminstone en aspekt gör det faktiskt det!

Om någon använder ett falskt ID-kort för att utföra handlingar i mitt namn har jag ofta en rimlig möjlighet att bevisa att det inte var jag. Jag kanske kan bevisa att jag var på annan plats, kanske kan övertyga rätten om att det inte kan vara jag på filmen, kanske kan få en analys från SKL/NFC att det troligen inte är min namnteckning och så vidare.

Påstår däremot en "teknisk expert" i rätten att det måste ha varit jag som använt mitt Bank-ID är man nog i praktiken ganska rättslös.
 
  • Gilla
civilingenjören
  • Laddar…
BirgitS BirgitS skrev:
Enligt artikeln [länk] (beklagar att det är en betalsida) så gjordes 18 % av de då aktuella bedrägerierna med Bank-id och 82 % med bankdosa. Tillvägagångssättet som beskrivs är att bedragarna ringer upp personer och uppger att de är från banken, polisen etc. och får personerna att godkänna överföringar. Det är alltså i huvudsak social ingenjörskonst det handlar om och inte hacking i vanlig betydelse. Det var också ineffektivt eftersom varje samtal tog kring 20 minuter och det behövdes kring 200 samtal innan bedragarna hittade en person som gick på deras bedrägeri. Är man skeptisk och följer bankernas råd om att aldrig logga in på någon annans uppmaning är det alltså inte ett problem.
Bedrägerier är ett litet problem. De kräver en rejäl insats per offer. De stora riskerna är tekniska brister. De kan massexploateras, från ett annat land, på sekunder.

F Freddedan skrev:
Foliehatten sitter fint ser jag.
Ingen anledning att vara otrevlig bara för att du inte är lika insatt i ämnet.

F Freddedan skrev:
Allas våra pengar, pensioner och fonder är bara ettor och nollor i databaser. Varav BankID är en av väldigt många attackvektorer. Så att nojja över BankID är ungefär som att vara fanatisk med bilbältet men skita i däcken.
Grejen är att elektroniskt ID är större än bara pengar. Det är stora delar av ditt liv. Det är sjukvård, recept, försäkringar, näthandel och så vidare. Det är bara en tidsfråga innan det används för att rösta. Allt detta på en teknisk platform som inte är i grunden osäker.

F Freddedan skrev:
Och, hehe, köra rootad nalle och anse sig ha någorlunda koll på vad som händer, men samtidigt vara rädd för zero-day exploits. Det är ju bara att erkänna att du har ingen aning om vad som körs på din telefon, för du vet inte. Lixom poängen med zero-day.
Sant. Men, å andra sidan, jag har inget känsligt på luren, inget som kan skada mig (tex elektroniskt ID...). Upptäcker jag något så blåser jag den till factory default, och det är löst.

F Freddedan skrev:
Du måste ju vara lite konsekvent. Annars tangerar det ju fobi. Jag kan hålla med om att ju mer vi bygger vår värld på att sönderstressade vinstmaximerade konsulter inte ska göra misstag, så ökar risken att shit hits the fan. Men om det händer på den skala du är nojjig över, att någon ska tömma miljoner bankkonton, manipulera börsrobotar eller knäcka SSL, det är så samhällsomstörtande att det spelar ingen roll hur mycket du begränsar ditt liv idag för att skydda dig, du dras med i fallet ändå. Passa på och njut av teknikens guldålder innan det blir försent. Swish och BankID är skit-smidigt.
Du har rätt i en sak: sönderstressade vinstmaximerade utvecklare.

Ta tex Swish, som hade samma problem som Facebook hade ett tag: Du kunde logga in på ditt konto, och i URLen så såg du ditt användarID. Bytte du ut det mot ett annat användarID så var du fortfarande inloggad, men då som den andra användaren. Detta fel tog ungefär tre månader för dem att fixa. Hur mycket kan du ställa till med en sådan bugg?

Jag förnekar inte att det är smidigt, men det är ju alltid så att smidighet och säkerhet står i motsats till varandra. Sedan är det upp till var och en att välja var på skalan man vill lägga sig.

Fairlane Fairlane skrev:
Den definitionen av hack överens med medias när de påstår att BankID blivit hackat (ofast då mobilt BankID). Någon ringer offret och utger sig för att ringa från banken och så knappar kunden glatt in sin kod. Om det är samma sak som att BankID är hackat så är även banker och kontanter hackade. Kanske är du på väg till banken för att sätta in lite kontanter. Utanför står en trevlig kille och utger sig för att vara från banken och att han kommer ordna detta åt dig så slipper du gå in och stå i kö. Glatt lämnar du över pengarna och blir sen överraskad att de är borta. Är banksystemet knäckt? Är kontanta medel knäckt pga detta?
Man brukar skilja social engineering från hacks.

Fairlane Fairlane skrev:
Algoritmen som normalt används är RSA-algoritmen. Mig veterligen är den inte knäckt än. Man har hittat några metoder som gör att det kan gå lite snabbare att hitta den publika nyckeln, men det är ändå försumbart. Den dagen man verkligen knäcker RSA-krypteringen så har vi större problem än en förfalskad e-legitimation. Varenda banktransaktion kan ifrågasättas. Varenda server kan ifrågasättas etc.
RSA har flera säkerhetsproblem, och jag tror att de flesta kritiska system övergett den idag. Andra, tex PGP är mycket starkare.

https://en.wikipedia.org/wiki/RSA_(cryptosystem)

Dessutom, som alla public key-krypteringar så är den vidöppen när kvantdatorerna sätter tänderna i den. Det gäller iofs även PGP. För att komma runt det så måste man köra kryptering utan publik nyckel, vilket skapar ett nyckelhanteringsproblem. Men, kan man hantera nyckeln, så är tex en så simpel algoritm som XOR med en slumpad nyckel längre än datat inte bara praktiskt oknäckbar, den är teoretiskt oknäckbar.
 
  • Gilla
civilingenjören
  • Laddar…
BirgitS
T Troberg skrev:
Bedrägerier är ett litet problem. De kräver en rejäl insats per offer. De stora riskerna är tekniska brister. De kan massexploateras, från ett annat land, på sekunder.
Ja, och var är bevisen för att det har gjorts? Det var du som påstod att t.ex. Bank-id har hackats men du har inte tagit fram ett enda underlag för ditt påstående.

T Troberg skrev:
Allt detta på en teknisk platform som inte är i grunden osäker.
Hmm, menar du det eller blev det fel?
Var är i så fall bevisen för att grunden till Bank-id är osäker?

T Troberg skrev:
Ta tex Swish, som hade samma problem som Facebook hade ett tag: Du kunde logga in på ditt konto, och i URLen så såg du ditt användarID. Bytte du ut det mot ett annat användarID så var du fortfarande inloggad, men då som den andra användaren. Detta fel tog ungefär tre månader för dem att fixa. Hur mycket kan du ställa till med en sådan bugg?
Men frågan är i så fall hur mycket problem orsakade den buggen?
Om det var lätt att utnyttja och väldigt synligt så borde den ju ha utnyttjats i stor skala.
 
Har inte tråden spårat lite :D?
 
  • Gilla
cpalm och 1 till
  • Laddar…
T Troberg skrev:
Dessutom, som alla public key-krypteringar så är den vidöppen när kvantdatorerna sätter tänderna i den.
Ja ... men om vi nu ska ha lite verklighetsförankring iaf så kan vi nog hoppa över kvantdatorer i en diskussion om BankID vid budgivning. Eller menar du att den handfull kvantdatorer som Google, IBM och Intel har byggt för miljarder dollar inom bara några år har blivit inte bara flera magnituder mer komplexa utan även billiga och enkla nog att en random kinesisk hackare ska logga in på ditt konto?
 
  • Gilla
BirgitS
  • Laddar…
BirgitS BirgitS skrev:
Ja, och var är bevisen för att det har gjorts? Det var du som påstod att t.ex. Bank-id har hackats men du har inte tagit fram ett enda underlag för ditt påstående.
Forskare har gjort det. Det har hittills inte använts illvilligt, men det spelar ingen roll. Är det möjligt så kommer det att ske.

BirgitS BirgitS skrev:
Hmm, menar du det eller blev det fel?
Det blev en "inte" för mycket.

BirgitS BirgitS skrev:
Var är i så fall bevisen för att grunden till Bank-id är osäker?
Den har hackats, alltså är den osäker.

BirgitS BirgitS skrev:
Men frågan är i så fall hur mycket problem orsakade den buggen?
Om det var lätt att utnyttja och väldigt synligt så borde den ju ha utnyttjats i stor skala.
På ren tur så kom avslöjandet om FaceBooks bug i samma veva, så det var deras egna utvecklare (som jag jobbat med) som testade och upptäckte den. Så, på ren tur så kunde de fixa den innan den blev allmänt känd.

H Hullefar skrev:
Ja ... men om vi nu ska ha lite verklighetsförankring iaf så kan vi nog hoppa över kvantdatorer i en diskussion om BankID vid budgivning. Eller menar du att den handfull kvantdatorer som Google, IBM och Intel har byggt för miljarder dollar inom bara några år har blivit inte bara flera magnituder mer komplexa utan även billiga och enkla nog att en random kinesisk hackare ska logga in på ditt konto?
Tekniken går fort. Titta hur mycket som hänt på det området på bara två år.

Dessutom, de som jättarna byggt är redan kraftfulla nog för att knäcka krypton. Lägg till det att flera krypton har knäckts efter att man upptäckt brister i dem. Titta tex på den äldre generationen av krypto i zip-filer, som iofs var säker, bortsett från att fillistan var separat krypterad med samma nyckel, och så liten och så förutsägbar att man kunde brute-forcea den (been there, done that, tog mig bara några månader på några datorer av sekelskiftesmodell), och på det sättet se hela filen. PDF har liknande brister. Båda ansågs tidigare säkra.
 
  • Gilla
civilingenjören och 1 till
  • Laddar…
BirgitS
T Troberg skrev:
Tekniken går fort. Titta hur mycket som hänt på det området på bara två år.
Eller så är det som en fysikprofessor säger till Ny Teknik:
Men till skillnad från vanliga datorer är kvantdatorer extremt känsliga, varför det lär dröja länge innan de blir var mans egendom.

– Det tog ett bra tag innan transistorn kom att utnyttjas av datorer. Det tar ofta lång tid sånt här, inte sällan decennier, säger Per Delsing.
https://www.nyteknik.se/digitaliser...ar-varlden-med-hapnad-valdigt-viktigt-6976543
På den tiden hinner det utvecklas system för kvantkryptering också, för lite fler än Kinas distribution av kvantnycklar och dt ID Quantic säljer.
 
Fairlane
T Troberg skrev:
Man brukar skilja social engineering från hacks.
Tack det vet jag efter 25 år i branchen. Nu var det ju du som bad oss googla att BankID blivit hackat (något som du ännu inte på något sätt bevisat) och det är den typen av träff man får då.
T Troberg skrev:
RSA har flera säkerhetsproblem, och jag tror att de flesta kritiska system övergett den idag. Andra, tex PGP är mycket starkare.
Tyvärr måste jag säga att du återigen har fel. Majoriteten av systemen använder fortfarande RSA. Det som kommer mer är elliptic curves. När du säger att PGP är mycket starkare blir det ganska klart att du inte vet vaddu talar om. PGP är ett system där man krypterar datamängden symmetriskt och sen krypterar man den symmetriska nyckeln med antingen RSA eller El Gamal. Så när du säger att PGP är mycket säkrare än RSA så säger du i princip att RSA är mycket säkrare än RSA.

T Troberg skrev:
Dessutom, som alla public key-krypteringar så är den vidöppen när kvantdatorerna sätter tänderna i den. Det gäller iofs även PGP. För att komma runt det så måste man köra kryptering utan publik nyckel, vilket skapar ett nyckelhanteringsproblem. Men, kan man hantera nyckeln, så är tex en så simpel algoritm som XOR med en slumpad nyckel längre än datat inte bara praktiskt oknäckbar, den är teoretiskt oknäckbar.
Ja att en oändligt lång nyckel och XOR är oknäckbart är ju känt sedan evigheter. Dock är det mest intressant teoretiskt eftersom det är helt omöjligt praktiskt.

Vi saknar fortfarande information om vilka ID-system som är hackade.
 
  • Gilla
civilingenjören och 4 till
  • Laddar…
Vi vill skicka notiser för ämnen du bevakar och händelser som berör dig.