tommyb Skrevet 11. januar 2013 Del Skrevet 11. januar 2013 Ikke heeeelt relevant siden dette handler om trojanere og ikke virus men... Lenke til kommentar
_dundun_ Skrevet 11. januar 2013 Del Skrevet 11. januar 2013 (endret) BankID på mobil er en fantstisk dårlig idé til å begynne med. Når programvare på mobilen skal brukes til å generere engangskoder til nettbaken så har du åpnet portalen til en ny verden av problemer. Spar oss for disse lettvinte, usikre løsningene. Det virker ikke som du er klar over hvordan dette virker. BankID på mobil bruker en nøkkel på simkortet og er antakeligvis den sikreste autentiseringsløsningen man har i Norge pr. i dag. BankID med java er dessverre noe drit, men i og med at hele løsningen er basert på cross site scripting er det vanskelig å fjerne java uten å redesigne hele greia (noe jeg tipper det jobbes hardt med). Endret 11. januar 2013 av kvasbo 1 Lenke til kommentar
zulo Skrevet 11. januar 2013 Del Skrevet 11. januar 2013 Å skru av java vil ikke ha noenting å si for om nettbanken skal bli hacket eller ikke. Det er ikke Java som opptrer som en trojan, men java er 1 måte av mange å være uheldig på og få en trojan på maskinen. Denne trojanen er neppe java i seg selv men native kode. M.a.o, deaktiver gjerne java for å minske sjansen for å få en trojan men ikke tro at nettbanken ikke kan bli hacket av en trojan av den grunn. Det eneste dette hjelper for er å ikke få en trojan VIA JAVA. Du kan jo fortsatt få trojan via andre sikkerhetshull eller andre måter og da kan den fortsatt "lure deg" i nettbanken, selv om du ikke bruker java i browseren. En html basert nettbank må da være mye enklere å utnytte for en trojan enn en java applet med tanke på å endre utseende til det brukeren forventer?= Lenke til kommentar
medlem-156941 Skrevet 11. januar 2013 Del Skrevet 11. januar 2013 Oracel er et av verdens største softwarefirma. Du vennligst komme med en dokumentasjon på at de er arrogante og amatørmessige. Når dei gjentatte gongar får problem med sikkerhetshol, som dei "fiksar", seier det seg sjølv at dei ikkje virker spesielt profesjonelle. Spesielt mtp kor kort tid det har vore mellom kvar gong eit nytt sikkerhetshol har vorte oppdaga... Lenke til kommentar
nebrewfoz Skrevet 11. januar 2013 Del Skrevet 11. januar 2013 Når dei gjentatte gongar får problem med sikkerhetshol, som dei "fiksar", seier det seg sjølv at dei ikkje virker spesielt profesjonelle. Spesielt mtp kor kort tid det har vore mellom kvar gong eit nytt sikkerhetshol har vorte oppdaga... Så et profesjonelt SW-selskap er karakterisert ved at det ikke oppdages sikkerhetshull - som de fikser - i produktene deres med ujevne mellomrom? Kjenner du til noen eksempler på profesjonelle SW-selskap? 1 Lenke til kommentar
zulo Skrevet 11. januar 2013 Del Skrevet 11. januar 2013 Det man egentlig burde gjøre var å forby windows og krev at alle må programmere sine egne operativsystem. Eneste løsningen, windows har alt for mange sikkerhetshull og det ser vi her at kan gi enorme problemer med trojanere som smetter seg inn sikkerhetshull etter sikkerhetshull. Lenke til kommentar
medlem-156941 Skrevet 11. januar 2013 Del Skrevet 11. januar 2013 Så et profesjonelt SW-selskap er karakterisert ved at det ikke oppdages sikkerhetshull - som de fikser - i produktene deres med ujevne mellomrom? Kjenner du til noen eksempler på profesjonelle SW-selskap? Nei, eg ordla meg kanskje feil der. Det eg meinte var at det ikkje virker som Oracle veit kva dei driver med, mtp at det blir funne nye sikkerhetshol så ofte. Lenke til kommentar
nebrewfoz Skrevet 11. januar 2013 Del Skrevet 11. januar 2013 Nei, eg ordla meg kanskje feil der. Det eg meinte var at det ikkje virker som Oracle veit kva dei driver med, mtp at det blir funne nye sikkerhetshol så ofte. Kan du nevne noen komplekse SW-produkter (OS, browsere, kontorstøtte, osv.) der det ikke til stadighet oppdages sikkerhetshull? Lenke til kommentar
Kazuo Skrevet 11. januar 2013 Del Skrevet 11. januar 2013 gjelder dette mac, aldri hatt noe virus ikke etter sist java krise og ikke nå. Lenke til kommentar
_dundun_ Skrevet 11. januar 2013 Del Skrevet 11. januar 2013 (endret) Kan du nevne noen komplekse SW-produkter (OS, browsere, kontorstøtte, osv.) der det ikke til stadighet oppdages sikkerhetshull? Windows har vært veldig bra lenge, OSX også. Svært få alvorlige sikkerhetshull i begge disse. Office har også blitt bra de siste årene. Både Android og iOs har også styrt klar av større problemer. Blant browsere er de fleste gode nå, men Chrome er vel i en særstilling pga at den er designet med sandboxing fra dag 0. På motsatt side finner du Java, Adobe Reader og Flash, alle disse er verstinger som stadig har "arbitrary code"-exploits ute i det fri. Egentlig er det ikke så farlig hvor mange hull det er, det viktige er at de patches før de blir kjent. Google betaler f.eks svært gode penger for å være de første som får beskjed om 0-day exploits i Chrome. Endret 11. januar 2013 av kvasbo 2 Lenke til kommentar
medlem-156941 Skrevet 11. januar 2013 Del Skrevet 11. januar 2013 Kan du nevne noen komplekse SW-produkter (OS, browsere, kontorstøtte, osv.) der det ikke til stadighet oppdages sikkerhetshull? Nei, men det er bra kritisk når sikkerhetshola er så store når det omhandlar noko så kritisk som nettbankar osv. Er likevel usikker på kor "blåst opp" dette er i media, og om det er andre land som bruker java til nettbankløysingar. Lenke til kommentar
Løve Skrevet 11. januar 2013 Del Skrevet 11. januar 2013 Det virker ikke som du er klar over hvordan dette virker. BankID på mobil bruker en nøkkel på simkortet og er antakeligvis den sikreste autentiseringsløsningen man har i Norge pr. i dag. Det er jo helt uviktig hvor appen henter nøkler til kryptoen fra. Poenget er at siden appen kjører på mobilen min så kan den observeres av andre apper som også er der. En smarttelefon er ikke et lurt sted å plassere sikre funksjoner av denne typen, og det burde være ganske åpenlyst. En kodebrikke derimot har bare en funksjon, generere en engangskode, og dermed er den mye sikrere. Lenke til kommentar
nebrewfoz Skrevet 11. januar 2013 Del Skrevet 11. januar 2013 Windows har vært veldig bra lenge, <snip> Jeg registrerer til stadighet oppdateringer av både Windows, OS X, iOS, Office 2010, iTunes, Firefox, Chrome og IE der det har blitt plugget igjen muligheter for "remote code execution" og denslags herligheter, så jeg vet ikke hvor "bra" man da kan si at disse produktene er. Men produktenes sårbarhet er en ting, brukerens (risiko-)adferd er en annen. Det jeg ikke helt forstår er hvorfor Java blir singlet ut og hengt ut slik det blir. Er det en eller annen kobling til Trond Giske her som jeg ikke har fått med meg? 1 Lenke til kommentar
_dundun_ Skrevet 11. januar 2013 Del Skrevet 11. januar 2013 (endret) Det er jo helt uviktig hvor appen henter nøkler til kryptoen fra. Poenget er at siden appen kjører på mobilen min så kan den observeres av andre apper som også er der. En smarttelefon er ikke et lurt sted å plassere sikre funksjoner av denne typen, og det burde være ganske åpenlyst. En kodebrikke derimot har bare en funksjon, generere en engangskode, og dermed er den mye sikrere. Det er ikke snakk om ren nøkkelgenerering, men om direktekommunikasjon sim->mobiloperatør. Dette kjører som Sim-applikasjon i et annet lag av telefonen enn userspace-apps, og er en sikker løsning. Det er på grunn av denne funksjonaliteten bankid på mobil kun er tilgjengelig hos telenor pr. i dag - det kreves installasjon av infrastruktur i operatørens nett. Jeg mistenker at du blander sammen Bankid på mobil med bankid-appen som også er ute nå, og som kjører som app. Jeg er imidlertid ikke spesielt bekymret for app-løsnigen heller da sikkerheten dekkes ved å bruke tofaktor-identifikasjon. Får man et sikkerhetsbrudd som får tak i både passord og engangskode har det ingenting å si hvor engangskoden kom fra, da er slaget tapt uansett. Det jeg ikke helt forstår er hvorfor Java blir singlet ut og hengt ut slik det blir. Er det en eller annen kobling til Trond Giske her som jeg ikke har fått med meg? Nei, det er fordi hullene i Java stadig vekk er ute i det fri før det finnes en patch, samt at de er store (tillater tilfeldig kode). Endret 11. januar 2013 av kvasbo 1 Lenke til kommentar
TheKims Skrevet 11. januar 2013 Del Skrevet 11. januar 2013 Hvor ofte har det ikke vært oppe at Java, Adobe og Flash har alvorlige sikkerhetshull? Jeg har ikke blitt berørt tidligere å tror ikke jeg blir berørt denne gangen heller. Kan jo kanskje være at kontoen min er tom meste parten av tia Lenke til kommentar
Løve Skrevet 11. januar 2013 Del Skrevet 11. januar 2013 Det er ikke snakk om ren nøkkelgenerering, men om direktekommunikasjon sim->mobiloperatør. Dette kjører som Sim-applikasjon i et annet lag av telefonen enn userspace-apps, og er en sikker løsning. Det er på grunn av denne funksjonaliteten bankid på mobil kun er tilgjengelig hos telenor pr. i dag - det kreves installasjon av infrastruktur i operatørens nett. Jeg mistenker at du blander sammen Bankid på mobil med bankid-appen som også er ute nå, og som kjører som app. Jeg er imidlertid ikke spesielt bekymret for app-løsnigen heller da sikkerheten dekkes ved å bruke tofaktor-identifikasjon. Får man et sikkerhetsbrudd som får tak i både passord og engangskode har det ingenting å si hvor engangskoden kom fra, da er slaget tapt uansett. Det var BankID-appen jeg siktet til ja, beklager sammenblandingen. Men poenget mitt gjelder fortsatt, siden denne appen gjør det betydelig enklere å få tak i engangskoden til nettbanken. Men tilgjengelighet vinner jo gjerne over sikkerhet, så for de som vil ta risikoen så blir nettbanken enklere tilgjengelig. Lenke til kommentar
guttorm Skrevet 11. januar 2013 Del Skrevet 11. januar 2013 Så hva er egentlig greia nå? Kan vi ikke gå i nettbanken eller? Kommer de med noen oppdatering? Lenke til kommentar
zulo Skrevet 11. januar 2013 Del Skrevet 11. januar 2013 Jeg registrerer til stadighet oppdateringer av både Windows, OS X, iOS, Office 2010, iTunes, Firefox, Chrome og IE der det har blitt plugget igjen muligheter for "remote code execution" og denslags herligheter, så jeg vet ikke hvor "bra" man da kan si at disse produktene er. Men produktenes sårbarhet er en ting, brukerens (risiko-)adferd er en annen. Det jeg ikke helt forstår er hvorfor Java blir singlet ut og hengt ut slik det blir. Er det en eller annen kobling til Trond Giske her som jeg ikke har fått med meg? Kunne nesten tro at noen hadde en anti-Java agenda. Istedenfor å fokusere på java java java har et sikkerhetshull burde man kjøre jevne kampanjer som utdanner befolkningen innen sikkerhet på datamaskiner, da spesielt trojanere og hvordan de funker, og da uten å nevne java fordi dette er bare 1 måte å få trojaneren på. Trojanere kan folk få uansett. Lenke til kommentar
Patrick123 Skrevet 11. januar 2013 Del Skrevet 11. januar 2013 Etter å ha lest denne nyheten har jeg brent dataen min, fylt opp med hermetikk, hermelin og hermegåser og selv er jeg barikadert i bomberommet. Fra spøk til alvor; hvor alvorlig er nå dette? Enkelt og greit; får jeg virus gjennom DB, VG og Facebook? Nettbanken er jeg inne på 5 ganger i året. Lenke til kommentar
_dundun_ Skrevet 11. januar 2013 Del Skrevet 11. januar 2013 Fra spøk til alvor; hvor alvorlig er nå dette? Enkelt og greit; får jeg virus gjennom DB, VG og Facebook? Nettbanken er jeg inne på 5 ganger i året. Det kan faktisk skje. Det har vært eksempler på at kriminelle har klart å komme seg inn på serverne som sender ut reklame til disse nettstedene og lagt inn ondsinnet kode på disse. Da kan man bli smittet selv på "uskyldige" sider. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå