Swedbank Panikändrar Säkerheten! (Vem Bryr Sig? Alla Är Lika Sårbara).

March 22, 2007 at 14:54 2 comments

På IDG kan vi läsa om Swedbanks panikändring av sitt inloggningssystem för att ett par studenter från BTH har hittat en lucka i systemet. All heder till studenterna, det verkar vara en väldigt elegant lösning de har gjort som använder flera angreppsvektorer. Jag gillar tänket, och det är tjusigt att angripa hemma-routrarna. Självklart blir en sådan här grej uppskriven i media, och stackars Swedbank blir utpekade. Fast det är ett problem som i stort sett vilken sida som helst är sårbar för. Det är en Mannen-i-mitten-attack, något som säkerhetsfolk har framhållit som lite av en helig Graal vad gäller säkerhetsproblem länge nu. Låt mig förklara (och skälla än mer på media)…

(Förklaring för den inte så tekniskt insatte)

När du skriver in din adress i webläsaren skickas det en förfrågan till något som kallas DNS. Denna omvandlar adressen till en sifferkod, och via den sifferkoden hittar din förfrågan fram till rätt dator (ja, det ÄR förenklat). Din DNS får du ofta automatiskt från din leverantör, alternativt är en sifferserie du har fyllt i när du installerade nätverksuppkopplingen. Jag vågar gissa att du i allmänhet inte har en aning om vad det är för dator, var den står, eller vad den gör? Nästan ingen har koll på sina DNS’er, så du är sannerligen inte ensam.

Ett mannen-i-mittenangrepp går ut på att antingen angripa den DNS du använder och hacka den, eller helt enkelt ändra vilken DNS du använder. I det här fallet gör studenterna det genom att känna till defaultlösenordet på ett gäng hemmaroutrar, och ändra inställningen på den. Det gör att du surfar mot en router som skickar dig till en falsk sida. Och det är när du kommit till en falsk sida, som du TROR är en äkta, som det börjar bli intressant. Det koder du skriver skickas direkt till den som driver den falska sidan, och, tja, du ligger illa till, lite beroende på hur avancerat upplägget är.

(Slut på förklaring för den inte så tekniskt insatte)

Självklart finns det sätt att skydda sig. Du kan exempelvis hålla noga koll på din DNS, men, det är knappast ett rimligt alternativ. Bättre är att vara noga med att kolla eventuella certifikat (du vet, det lilla hänglåset som visas ibland) och de tekniska lösningarna kan såklart förbättras, bland annat som någon föreslog att ha olika koder för inloggning och för signering av nya konton, att det exempelvis visas i dosan. Swedbanks lösning är rätt smart den också, eftersom en 9 alltid visas vid viss användning så kan ju kunden känna till detta och bli misstänksam (även om det torde vara ovanligt med sådana observanta användare).

Men det är såklart som bäst symptombot. Det finns en väldigt stor grupp användare som inte bryr sig, känner till, eller förstår dessa motmedel, eller ens att hotet finns. Och ska inte heller behöva det. Säkerhet ska inte handla om att du som användare ska behöva förstå den här sortens saker; det är upp till leverantörerna av tjänsterna att göra det transparent. Ingen begärde att du skulle förstå hur en bankvalvsdörr fungerade, bara att den var säker. Det finns en fara här. Det är väldigt poppis att måla upp ett antal områden som “mänskliga sidan av säkerhet” och “det kan vi aldrig komma åt eftersom det är användarnas ansvar”. Den mänskliga sidan av säkerhet råkar vara mitt forskningsområde, så jag har sett argumenten ofta. Men det duger inte. Ja, människor kommer alltid vara en mycket svag länk. Ja, det är oerhört svårt att åtgärda det. Men vi kan inte acceptera att inga försök görs bara för att det är svårt. Mycket kan vi lösa med teknik, mycket kan vi inte lösa med teknik. Dags att kolla på andra lösningar också!

Slutligen till media: Sluta hypa bankernas dåliga säkerhet genom att peka ut enskilda banker. Alla banker har sina respektive sårbarheter och allas lösningar kan utnyttjas på något sätt. Jag vågar nästan lova det. Det relevanta att undra är hur stora förluster vågar banken riskera innan kunderna börjar få ta ansvar själva? Som det är nu är bankerna väldigt välvilliga med att betala ut ersättning till drabbade kunder, eftersom det rör sig om så små pengar. Var är brytpunkten? 100 miljoner? 1 miljard? Det är vad vi läsare som kunder ska vara intresserade av, det är det vi måste vara rädda för… Och som vi inte har en aning om.

Entry filed under: In Swedish, Media, Rants, Security, Technology.

Ett Kärnkraftsverk Bombhotas Och Det Är Effektivt Nog OK, Truly Geeky, But Still Somewhat Tempting

2 Comments Add your own

  • 1. justmy15cents  |  March 22, 2007 at 15:51

    Därför ska man alltid sätta sin Internetleverantörs DNS-servrar direkt i Windows TCP-IP inställningar. Har man det så kan inga “manipulerade” routrar ställa till det. Men givetvis så har tillverkarna av routrarna också ett ansvar. Exempelvis så skulle dom mycket lätt kunna stoppa all trafik utifrån så länge man inte ändrat sin routers standardlösenord.

    Justmy15cents

    Reply
  • 2. nohlberg  |  March 22, 2007 at 16:04

    Yes and no. It depends on the extent the routers are manipulated, of course. And why should you even have to know that DNS-number? It should be plug and play. Besides, you never know if the DNS has been hacked.

    And as far as I know, there have been advances where the users are required to change their passwords on routers. However, this is a question of economy. Say that D-link sells one million units of their router X. If X requires that the users changes a password before it will work, a percentage of the users will think that the router is broken, and return it to the store. As routers are so cheap, they are not checked for errors, but instead thrown away. And the margins are really low. So I’m doubtful that we will see any great extent of forcing the customers to behave “right” in the future.

    Reply

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

Trackback this post  |  Subscribe to the comments via RSS Feed


RSS My twitter updates

  • An error has occurred; the feed is probably down. Try again later.

Subscribe to my blog using RSS

Categories

RSS Things I recommend reading now

  • An error has occurred; the feed is probably down. Try again later.

Right now:

http://www.google.com/reader/shared/06955654654748484932
March 2007
M T W T F S S
 1234
567891011
12131415161718
19202122232425
262728293031  

%d bloggers like this: