Archive for December, 2008

My Thesis has been sent to the Printers (Happy, happy, joy, joy).

After a lot of work, my thesis has finally been sent to the printers. The defence will be on January the 15th 2009 at DSV in Kista. You are all welcome!

You can read a lot more about it on www.safe.st, where you also can find the thesis and the invitation to the defense.

Advertisements

December 11, 2008 at 10:25 Leave a comment

Swedbanks kunder drabbas av Social Engineering-attacker.

För ett par år sedan satt jag och skrev ett förslag till ett forskningsprojekt som gick ut på att påvisa att dos-säkerheten i banktjänster inte är särskilt säker, eftersom dosans ägare inte riktigt förstår att hålla dess koder hemliga. Min teori var att det skulle gå enkelt att använda lite social engineering för att få människor att lämna ifrån sig sina bankkoder. Självklart fick jag inte göra den studien, eftersom det skulle vara väldigt oetiskt (och hopplöst att få tillåtelse från den aktuella banken för att göra det etiskt). Nu, några år senare, har andra gjort ungefär som jag tänkt. Eftersom de är kriminella är inte etiska problem hinder för dem, utan de har bara kört på. Och tydligen varit rätt framgångsrika.

I sig inte förvånande, såklart. Vad som är lite intressant är att se bankernas tvekan att betala ersättning i det fall kunden luras, till skillnad mot det ganska frikostiga systemet med ersättningar när bankens teknik manipuleras. Alltså tar banken väldigt lite ansvar för att kunden förstår hur systemen fungerar, eller för att kunden har ett grundläggande säkerhetstänk. Anledningen till detta är såklart att banken inte har något fungerande motmedel mot dessa social engineeringangrepp. I takt med att fler angripare inser att dessa angrepp är både billiga och effektiva, kommer de öka. Och bankerna har inget att sätta emot med nuvarande infrastruktur.

Det finns ju dock ett antal enkla tekniska lösningar man kan genomföra som teoretiskt kan hjälpa. Bankerna kan exempelvis lägga in en av kunden valbar väntetid på överföringar till nya konton, under vilken tid man kan avbryta överföringen. En liten “ångerbuffert” kunderna kan välja själva att ha. Det är ju för de allra flesta troligen en tämligen ovanlig aktivitet att föra över pengar till nya konton. En annan lösning kan ju vara att man som kund får ställa in vilka tider man vill kunna använda sin bank. De flesta vill kanske inte någonsin använda den mitt i natten, utan skulle tycka att det var helt ok att ha någon timme per dag för det. Det är klart att det vore mindre intressant att manipulera folk att föra över pengar om de kan ångra sig dagen efter.

En annan väldigt bra lösning vore om bankerna spenderade lite resurser på att etablera ett dygnet-runt-nummer dit kunderna kan ringa vid eventuella tveksamheter om säkerhet relaterad till banken. Det enda kunderna då behöver känna till är att om de någonsin blir uppringda av någon som säger att den är från banken, så ska de bara ringa till det aktuella säkerhetsnumret, genom vilket alla relevanta säkerhetspersoner ska kunna nås. (Callbacks by policy, för den som gillar sina mer tekniska termer).

Nej, detta är inte en total lösning på något vis, men det är gratis tips för bankerna! :-)

Att försöka utbilda användarna att stå emot angrepp är ett hopplöst projekt som inte kommer funka. Alltså ligger det på bankerna att hitta på finurliga lösningar som gör det svårt för angripare att utnyttja användarna. Som det är i dag är det trivialt att göra det, och det oroar mig att inte bankerna tar mer ansvar.

December 5, 2008 at 11:20 Leave a comment


RSS My twitter updates

  • An error has occurred; the feed is probably down. Try again later.

Subscribe to my blog using RSS

Categories

RSS Things I recommend reading now

  • An error has occurred; the feed is probably down. Try again later.

Right now:

http://www.google.com/reader/shared/06955654654748484932
December 2008
M T W T F S S
« Oct   Jan »
1234567
891011121314
15161718192021
22232425262728
293031