'Anden' giver NemID fingeren

Jeg mener sådan set at hacke dig ind på en persons NemID, ved at skaffe en key gennem nogle programmer som er bygget til det

@Daniele, du svæver da vidst på en lyserød sky, hvis du er så naiv at du tror man kan: "skaffe en key gennem nogle programmer som er bygget til det." - Du kan starte med at forklare os hvordan du vil lave et program som skal:

- Finde ud af hvilket pap-kort jeg har (alle koderne mm.)
- Mit brugernavn
- Mit personlige password.

skriv når du har fundet ud af ovenstående.

#ebb
Det er jo ikke noget jeg kan finde ud af? Det går jeg slet ikke ind for, jeg er imod hacking. Og hvorfor bliver i ved med at træde i det når jeg bare kommer med nogle udtagelser. Det er sgu ligesom på eksperten, man skal være så skide perfekt i alt. Jeg er ikke perfekt, og det er i heller ikke. Folk har lov til at skrive hvad de tror.

Synes også nemID er noget **** og det er indnu værre at man bliver tvunget til at bruge det.

Med venlig hilsen,
Asker

Folk har lov til at skrive hvad de tror.

@Daniele, hvis du skriver hvad du tror fremfor hvad du ved, så synes jeg ikke der nogen grund til at græde over at du bliver kritiseret.

#ebb
Jeg græder da ikke?

Der er to sikkerhedsfaktore ved NemID: Nøglekort og personlig kode. Disse to uforbundne faktore betyder, at selv hvis én bliver kompromitteret/stjålet, så er der tid til at få lukket hullet inden det andet også bliver. Det kan sammenlignes med at have både en nøgle-lås og en kode-lås på sin hoveddør. Hvis nogen regner koden ud skal de også lige have stjålet eller lavet en kopi af din nøgle for at komme ind.

Den simpleste måde at "stjæle" NemID på er at stjæle (eller kopiere) nøglekortet, og afdække den personlige kode via en keylogger eller lignende, nogenlunde simultant. Det betyder at det at bryde ind på en persons konto typisk skal være mere målrettet end IT-kriminalitet normalt er -- typisk vil man sprede en virus der skyder med spredhagl indtil den finder nogen der er sløsede nok med deres sikkerhed til at det virker. En virus/keylogger vil kun kunne stjæle en persons personlige kode, og dermed indtræffer to-faktor sikkerheden ved at have et fysisk nøglekort.

Der hvor fysiske nøglekort bliver en ligegyldig sikkerhed er når folk fx tager et billede af nøglekortet med deres smartphone så de altid har den på sig. Så skal du "bare" sprede en virus der lægger sig på folks smartphones og sender dig billeder der minder om NemID nøglekort, og så handler det bare om at gætte hvilke personlige koder virussen har sendt dig, der passer med hvilke nøglekort.

Så NemID kan hackes, men det er ikke Nemt.

Lad os sige, jeg koder en virus, som har følgende funktioner:
Remote desktop(+ adgang til at styre)
Mulighed for at "låse" ofrets tastatur og mus


Hvis jeg så skulle ind på, lad os sige, din netbank, ville jeg gøre følgende:
Sende dig min virus.
Vente til du loggede ind på din netbank.
Fryse dit tastatur, mus,
Overfører penge til mig selv.


For mig lyder/er, overstående ret nemt
Det handler også om at tænke alternativt

#ebb
Det er jo ikke noget jeg kan finde ud af? Det går jeg slet ikke ind for, jeg er imod hacking. Og hvorfor bliver i ved med at træde i det når jeg bare kommer med nogle udtagelser. Det er sgu ligesom på eksperten, man skal være så skide perfekt i alt. Jeg er ikke perfekt, og det er i heller ikke. Folk har lov til at skrive hvad de tror.

Bliver ved med, at træde i det ?
Du kommer med en udtagelse som er dybt, fejlagtig, og vi retter dig blot?
- Er det noget, at whine over ?

Og mht til det med, at du er imod hacking.
- Hvordan tror du man sikrer et system?, Først og fremmest ville jeg da bruge hacking til at finde hullerne ?

Synes også nemID er noget **** og det er indnu værre at man bliver tvunget til at bruge det.

Med venlig hilsen,
Asker

Jeg synes nemID er et genialt udført produkt, der er med til at give nogle gode muligheder for borgerne i det nuværende og fremtidige eDanmark.

Inden man går i mainstream-had-nemid-mode burde man stille spørgsmålet: Hvordan kan nemId gøres bedre uden, at gå på kompromis med sikkerhed og funktionalitet. NemId er bedre end ingen idé.

Der er to sikkerhedsfaktore ved NemID: Nøglekort og personlig kode. Disse to uforbundne faktore betyder, at selv hvis én bliver kompromitteret/stjålet, så er der tid til at få lukket hullet inden det andet også bliver. Det kan sammenlignes med at have både en nøgle-lås og en kode-lås på sin hoveddør. Hvis nogen regner koden ud skal de også lige have stjålet eller lavet en kopi af din nøgle for at komme ind.

Den simpleste måde at "stjæle" NemID på er at stjæle (eller kopiere) nøglekortet, og afdække den personlige kode via en keylogger eller lignende, nogenlunde simultant. Det betyder at det at bryde ind på en persons konto typisk skal være mere målrettet end IT-kriminalitet normalt er -- typisk vil man sprede en virus der skyder med spredhagl indtil den finder nogen der er sløsede nok med deres sikkerhed til at det virker. En virus/keylogger vil kun kunne stjæle en persons personlige kode, og dermed indtræffer to-faktor sikkerheden ved at have et fysisk nøglekort.

Der hvor fysiske nøglekort bliver en ligegyldig sikkerhed er når folk fx tager et billede af nøglekortet med deres smartphone så de altid har den på sig. Så skal du "bare" sprede en virus der lægger sig på folks smartphones og sender dig billeder der minder om NemID nøglekort, og så handler det bare om at gætte hvilke personlige koder virussen har sendt dig, der passer med hvilke nøglekort.

Så NemID kan hackes, men det er ikke Nemt.

Lad os sige, jeg koder en virus, som har følgende funktioner:
Remote desktop(+ adgang til at styre)
Mulighed for at "låse" ofrets tastatur og mus


Hvis jeg så skulle ind på, lad os sige, din netbank, ville jeg gøre følgende:
Sende dig min virus.
Vente til du loggede ind på din netbank.
Fryse dit tastatur, mus,
Overfører penge til mig selv.


For mig lyder/er, overstående ret nemt
Det handler også om at tænke alternativt

Du skulle ikke tilfældigvis hedde Mitnick til efternavn?

Men ja, det er et meget realistisk scenarie. Men det er så.. blatant og åbenlyst, at det meget hurtigt bliver opdaget. Tricket er at stjæle fra folk uden at de opdager det før om mindst et par uger. Her ville folk med det samme vide at der er noget i røre.

Hvis jeg så skulle ind på, lad os sige, din netbank, ville jeg gøre følgende:
Sende dig min virus.
Vente til du loggede ind på din netbank.
Fryse dit tastatur, mus,
Overfører penge til mig selv.

Hmm...så gør du det også mens jeg sidder og kigger på, og mon du kan nå det, inden jeg lugter lunten og trækker stikket ?

Den med at hakke Nets og hente alle deres oplysninger er nok ikke hverken urealistisk eller umuligt. De har sikkert ganske god sikkerhed, men Daniele har ret i at alt kan hackes (selvom han vist ikke helt ved, hvad han snakker om). Der findes huller konstant, og selvom Nets sandsynligvis opdaterer deres systemer så snart, det er muligt, så kan de ikke væbne sig imod 0day sårbarheder.

Så hvis jeg finder så'n en hos et åbent system hos Nets, så kan jeg komme ind den vej og arbejde mig videre.

Synes også nemID er noget **** og det er indnu værre at man bliver tvunget til at bruge det.

Med venlig hilsen,
Asker

Jeg synes nemID er et genialt udført produkt, der er med til at give nogle gode muligheder for borgerne i det nuværende og fremtidige eDanmark.

Inden man går i mainstream-had-nemid-mode burde man stille spørgsmålet: Hvordan kan nemId gøres bedre uden, at gå på kompromis med sikkerhed og funktionalitet. NemId er bedre end ingen idé.

Synes alle skal have lov til at have et valg om de vil bruge det.
Det kan godt være nogen synes det er genialt.
Men jeg synes sku ikke det er besværet værd at bruge NemID.
Brugeroplevelsen opvejer ikke sikkerheden.

Med venlig hilsen
Asker