10.3.07

Elendig info om forebyggelse af netbankindbrud

Det er altid rart, når ens bange anelser viser sig at være ubegrundede. Jeg har lige set magasinet DR Penge via nettet, og jeg frygtede, at familien Danmark i bedste sendetid endnu en gang blot skulle gøres bange. Det handlede nemlig om netkriminalitet - denne gang indbrud i netbanker - og den type udsendelser har traditionelt været bragt i medier med 99 procent fokus på at skræmme. Det er jo godt stof, der vel tilmed slår Peter Myginds effekt i hans 117. tv-medvirken.

Men DR Penges udsendelse var faktisk et rigtig godt program, som jeg kun kan anbefale. Du kan se det via denne side. Dog overlader DR Penge en vigtig side for et public service-organ, nemlig oplysning om forebyggelsen, til en offentlig myndighed, der gør det alt for dårligt. Mere om det senere.

Magasinet var også en tand for skråsikker. En af magasinets journalister påstod, at det ville have været let at afsløre den person, der havde nuppet penge fra en dansk Nordea-konto og brugt dem på et britisk pokersted. Havde politiet blot sendt en slags ransagelseskendelse til pokerstedet, havde det da udleveret den såkaldte IP-adresse (Internet Protocol) på den person, der havde brugt pengene på poker og altså stjålet dem fra netbanken. IP-adressen leder godt nok typisk frem til en fysisk adresse, men der er så mange måder at lave kinesiske æske-systemer på med IP-adresse, at sporet kan ende på en blind vej.

At politiet i Nordjylland ikke gjorde forsøget er så en helt anden og kritisabel sag. Et andet offer fortalte samme historie. Heller ikke her var politiet interesseret. Bankerne nøjedes også bare med at tilbagebetale det stjålne og så blev der lagt låg på. PBS påstod, at politiet ikke ønskede direkte anmeldelser til politiet, hvilket blev afvist. Men der kunne måske være tale om indbrud, der gik under bagatelbranchen, sagde politiet.

Magasinet blev afsluttet med, at ville man vide, hvorledes man selv kunne undgå at blive offer for sådanne indbrud, så fandtes der information om det på dr.dk/dr1/penge. Her viderebringes råd fra IT- og Telestyrelsen, men det er råd, der garanteret ikke forstås at dem, der virkelig har brug for det. Råd af karakteren "Du skal bare...." og det er erfaringsmæssigt ret værdiløse råd, når det gælder it. Men du skal altså bare huske at bruge antivirus, firewall, antispyware, lave højeste sikkerhed på dit trådløse net med mere. Den kyndige ved, hvad det gælder, men så enkelt er det altså ikke.

Så HALLO! Kalder Finansrådet. Kalder IT- og Telestyrelsen.
Sørg for f..... for at få lavet noget audivisuelt materiale, der er lige så gedigent, som denne DR-udsendelse, men som udelukkende har fokus på forebyggelsen. At nøjes med sorte bogstaver på hvid baggrund var det bedste, man kunne gøre i 1800-tallet og 1900-tallet, men en grov forsømmelse i disse tider.

Gå sammen om at få det produceret. Læg det op på jeres netsteder. Og sørg for, at alle netbanker i Danmark har en lænke til stedet. De har jo svært ved at forhindre indbrudene, hvilket også fremgår af denne Computerworld-artikel.

3 kommentarer:

Anonym sagde ...

Du havde netbankernes sikkerhed oppe og vende for lidt tid siden, hvor vi debatterede i kommentarerne - og forleden så jeg denne nyhed på dr.dk: http://www.dr.dk/Nyheder/Penge/2007/03/09/073919.htm

Det er vand på min mølle :-) - artiklen fremhæver nemlig at den metode Jyske Netbank bruger er rigtig fiks og betydelig mere sikker end de fleste alternativer.

I DR artiklen siger fyren fra Jyske Bank også at det ikke er noget de vil markedsføre sig på - hans begrundelse fortaber sig i tågerne, men det lugter af at de er bange for at være for hovmodige.

Det er centralt for diskussionen at forstå at hvis alle mekanismerne til brugeridentifikation udelukkende afhænger af PC'en, så kan en hacker som har kontrol over PC'en også bryde systemet. Dette vil også være tilfældet hvis vi tager biometriske metoder i brug.

Så jeg holder fast i at der er en forbedring af sikkerheden i at lade systemet afhænge af noget "out-of-band" kommunikation mellem banken og kunden - i dette tilfælde en lap papir sendt med PostDK. At bryde dette system kræver samarbejde med en "fysisk" Post-medarbejder, hvilket må siges at kræve noget større indsats end blot at skrive et virus-program.

Jeg tror at det her sikkerhedsemne er for kompliceret til at "almindelige" mennesker gider sætte sig ind i det, og derfor bliver det ikke noget bankerne vil bruge markedsføringskroner på.
Så hellere byde på kaffe og kage, og forære legetøj til børnene... :(

I den sammenhæng kan man næsten ønske sig at det går rigtig galt nogle flere gange, for så må det forventes at bankerne tager sig sammen og skaber nogle ordentlige løsninger - om de så vil konkurerre på sikkerheden er ligegyldig, bare den er i orden.

Dette får mig til at tænke på hvornår vi ser de første angreb som udnytter den digitale OCES signatur, som efterhånden må være temmelig udbredt i Danmark. Dette system er akkurat ligeså usikkert som de fleste netbank-løsninger, idet det afhænger af tilstedeværelsen af en fil og indtastningen af et password.

Mvh
Kenneth

Steen sagde ...

Det er spørgmål om teknisk er nok at forhindre den slags angreb. At Jyske Bank har klaret sig fri denne omgang er mere fordi gruppen ikke har interesseret sig for netop den bank. De er lige så sårbare som Nordea i Sverige, som har haft store tab. De har netop samme metode med engangskoder.

Hvis der skal mere teknisk sikkerhed så er det chipkort eller USB-tokens der skal til, hvor den hemmelige nøgle bliver utilgængelig når den er komme der ind. Den teknik kan allerede bruges med digital signatur.

Men der vil stadig være en bedre investering at give en bedre information til almindelige brugere hvad man skal kigge efter. At man ikke skal åbne en fil med navn regning.exe fx. I den første periode, hvor der ikke var en signatur til den orm/virus i de mest gængse virusskannere, er det meget vigtig at give så meget information som mulig - brug medierne så meget som mulig.

Tilsidst - man bør afskrække folk for at nogen kommer i rollen som mulddyr - de får jo ikke noget ud af det. Og de bliver med 100% sikkerhed opdaget og staffet for det.

Mvh
Steen

Dorte Toft sagde ...

Det er kendt stof, at hackerne indledningsvis gik efter de allerstørste banker i en given region. I Norden var det således Nordea, der først blev angrebet.
Næste udvikling er i fuld gang. De store banker er blevet bedre til at forsvare sig, og deres kunder er måske også. Nu går hackerne typisk efter kunder i mindre banker.
Og så hører jeg i øvrigt på vandrørerne, at der snart kommer noget nyt om netbanksikkerhed fra Finansrådet med flere.