Saker som vi glömt bort att de har funnits

[Testarn]

Dåså. I korthet platformen. BankID på dator eller telefon körs på en mycket komplicerad plattform med påföljande relativt stor angreppsyta (attack surface).

Bankdosans motsvarande attack surface är i det närmaste trivial. Apparaten gör en, och endast en sak, och själva kryptosignering osv. görs inte ens på den utan på ett smartkort som är ännu enklare och med (vid det här laget) ganska välkänd attack surface. (Detta särskilt om man använder den utan USB-kabel.)

Därmed inte sagt att varken dosan eller, särskilt, smartkortet är perfekta. Långtifrån. Men för de typer av attacker som är allvarliga här (remote exploitation) så är dessa betydligt mindre exponerade. Och motsvarande, telefoner är idag långtifrån någon katastrof med bla ett aktivt arbete att öka säkerheten mha olika funktioner. Men, trenden är trist. Komplexiteten och därmed angreppsytan ser ut att öka snabbare än vad de förbättrade säkerhetsfunktionerna kan täcka upp för. (En av mina tidigare doktorander fick en stor påse pengar från Samsung pga att han knäckte den starkt förbättrade säkerhetsfunktionen. Den visade sig vara sämre än funktionen den ersatte. Trots att den på pappret så ut som en stor förbättring.)

Så skall man göra en riskbedömning så ligger dosa+kort betydligt bättre till. Telefoner ligger efter redan ifrån starten i det att man "multiplies the security target" mao, att de innehåller många olika mål för en angripare i samma förpackning. Det tillsammans med komplexiteten samt uppkopplingen gör de mera riskabla.

Tack för att du tog dig tid att svara. Jag inser att det finns större risker med anslutna enheter och allt vad det för med sig.
Sen misstog jag mig på vad som avsågs med "bankdosa" och tänkte på de "digipass" man använde för att generera en kod som skulle anges tillsammans med lösenord. Rätt intressant hur man använde 2FA redan då och att många är tveksamma till att använda det idag för säkerhet.

Mitt andra misstag var att jag tänkte att det är ungefär lika svårt att vara säker på att det är rätt användare som använder en digipass eller bankdosa som har tillgång till en mobil med BankID men då handlar det ju mer om den fysiska säkerheten. Om någon tilltvingar sig en mobil och lösenordet eller om den tilltvingar sig en digipass med lösenord gör ju ingen större skillnad...
Jag vill dessutom minnas att det var en del bedrägerier även när det var digipass där folk ringde upp och utgav sig för att vara från banken precis som idag...

Nåja, nu ska vi inte ta det här vidare utan återgå till ämnet.

 

[videopac]

Vad programmerade man i på zx???
Minns att Activision hade MSXBasic, hur många minns Activision MSX datorerna med inbyggd floppy och trackball i tangentbordet som även hade processor och minne, " allt- i- ett". Sedan tog ju Commodore ( Vic & Amiga) och senare Atari (ST) över innan PC explosionen kom

BASIC

 

[Alfredo]

Om någon tilltvingar sig en mobil och lösenordet eller om den tilltvingar sig en digipass med lösenord gör ju ingen större skillnad...

Skillnaden är möjligen att de flesta har oftast mobilen med sig medan "bankdosan" oftast antagligen ligger hemma i "skrivbordslådan". Det borde därför vara större risk att bli "rånad via BankID" än att bli "rånad via bankdosa".

 

[lars_stefan_axelsson]

Ett tillägg är att dessa lösningar i praktiken är säkra nog. Mig veterligen har ingen i stor omfattning lyckats utnyttja tekniska säkerhetsbrister...

Nej, det är antagligen sant. Men eftersom vi har banker inblandade så vet vi inte med säkerhet. Banker är notoriskt tystlåtna vad gäller lyckade angrepp. Så "i stor omfattning" är antagligen sant. Men bara antagligen.

Det finns forskning som visar på att banker, i runda slängar, förlorar tio gånger så mycket på tappade affärer (reputation loss) som de gör pga själva stölden/bedrägeriet. Ross Anderson har t ex siffror som visar att på nittiotalet i Storbritannien så sparkades 1% av alla anställda per år pga oegentligheter. Så vi kan vara ganska säkra på att det finns ett stort mörkertal.

Jag oroar mig dock inte särdeles för det. Den stora risken är som du säger att folk blir lurade av bedragare som kontaktar dem på något sätt. Den tekniska risken drunknar med stor sannolikhet i pölen av mänsklig faktor.

 

[lars_stefan_axelsson]

BASIC

Japp! Syns ju tom på tangentbordet om man zoomar in i bilden ovan. Tangenterna är märkta med basic instruktioner för att det skulle gå snabbare att skriva dem. (Och den var väl en tokenised basic av något slag, så jag vet inte om det ens sparades någon textversion. Tror inte det, minnet var snålt tilltaget.)

Jupiter ACE däremot en variant av Forth-79. Det är väl bara två i tråden som kommer ihåg det.

 

[lars_stefan_axelsson]

En kompis hade en ZX81, eller var det en ZX80?

Ja hade han en ZX80 så är det ju en ännu mera exklusiv klubb. De första levererades som byggsats man lödde ihop själv vilket ju ger extra poäng. Jag hade en kompis på Chalmers som gjort det.

Väldigt primitiv även för tiden i fråga. 1k minne och skärmen blev blank när man körde program.

 

[cpalm]

Och den var väl en tokenised basic av något slag, så jag vet inte om det ens sparades någon textversion. Tror inte det, minnet var snålt tilltaget.

Helt rätt, det sägs att anledningen först och främst var att förenkla tolken och spara minne snarare än att det skulle gå snabbare att skriva. Det blev s.a.s. en potentiell bonus.

 

[cpalm]

Finn och Fiffi, med Lamholt, Ferom, tant Klara och ibland professor Snillén ( dockan Lisa)

Jobbigt att heta Fiffi idag... 😂

 

[tensiden]

Sjukt vad tidig bankid var, långt före det blev standard med authenticators.

Lite roligt är i USA är ditt GitHubkonto mer säkert än accessen till ditt bankkonto

Den som it-konsultade främst i slutet av 00-talet är välbekant med att ha ytterfacket på datorväskan fullt med diverse koddosor till olika kunder. Sjukt trevligt att kunna köra allt sådant i en enhet numera.

 

[cpalm]

Sjukt trevligt att kunna köra allt sådant i en enhet numera.

Fast man missar en stor del av poängen när inte den hemliga nyckeln skyddas av hårdvaran.

 

[AndersMalmgren]

Fast man missar en stor del av poängen när inte den hemliga nyckeln skyddas av hårdvaran.

Samma princip med two fac nycklar

 

[AndersMalmgren]

Den som it-konsultade främst i slutet av 00-talet är välbekant med att ha ytterfacket på datorväskan fullt med diverse koddosor till olika kunder. Sjukt trevligt att kunna köra allt sådant i en enhet numera.

Och idag irreterar jag mig på PIM istället

 

[Jonas Persson]

Nej, det är antagligen sant. Men eftersom vi har banker inblandade så vet vi inte med säkerhet. Banker är notoriskt tystlåtna vad gäller lyckade angrepp. Så "i stor omfattning" är antagligen sant. Men bara antagligen.

Det finns forskning som visar på att banker, i runda slängar, förlorar tio gånger så mycket på tappade affärer (reputation loss) som de gör pga själva stölden/bedrägeriet. Ross Anderson har t ex siffror som visar att på nittiotalet i Storbritannien så sparkades 1% av alla anställda per år pga oegentligheter. Så vi kan vara ganska säkra på att det finns ett stort mörkertal.

Jag oroar mig dock inte särdeles för det. Den stora risken är som du säger att folk blir lurade av bedragare som kontaktar dem på något sätt. Den tekniska risken drunknar med stor sannolikhet i pölen av mänsklig faktor.

Svenska banker var tidiga med digipasser och kort för inloggning. Men än idag finns det många banker som fortfarande använder sms-inloggningar och andra primitiva och osäkra metoder, tom pinkoder. Skälet är inte okunskap, utan att göra det enkelt för kunden samtidigt som man tar risken och kostnaden för de intrång som görs. Skulle inte fungera här i Sverige där synen och toleransen är en annan.

Om vi ska hålla oss till trådens ämne så kanske några kommer ihåg Nordeas skrapkoder som ställde till med mycket elände för 20 år sedan. Minns jag rätt tog det mer än ett år att ersätta lösningen samtidigt som pressen skrev om det och kunder fick konton länsade.

 

[videopac]

Ja hade han en ZX80 så är det ju en ännu mera exklusiv klubb. De första levererades som byggsats man lödde ihop själv vilket ju ger extra poäng. Jag hade en kompis på Chalmers som gjort det.

Väldigt primitiv även för tiden i fråga. 1k minne och skärmen blev blank när man körde program.

Även ZX-81 kom som byggsats om man var modig nog. Jag minns att jag hjälpte en kompis att bygga ihop en sådan, endera ZX-80 eller ZX-81. Den gick, konstigt nog, igång trots min inblandning!

Tokenized BASIC var nog ett måste på de maskinerna, minns att minnet var på 1kB och det delades mellan skärmminne och programminne! Men även andra BASIC-maskiner hade tokenized BASIC, exempelvis Superboard II (som jag hade en) vilken hade en Microsoft 8kB-BASIC-tolk. Mmm.

För ZX-80/81 fanns även en "fast mode" som slog av skärmen när programmet kördes, för att snabba på det hela lite.

 

[JuggeH]

Apropå elektronik i byggsats. Min första miniräknare kom som byggsats, en Sinclair:



Har för mig att den kostade över 200 spänn…