1 151 557 läst · 11 123 svar
1152k läst
11,1k svar
Saker som vi glömt bort att de har funnits
Tack för att du tog dig tid att svara. Jag inser att det finns större risker med anslutna enheter och allt vad det för med sig.lars_stefan_axelsson skrev:Dåså. I korthet platformen. BankID på dator eller telefon körs på en mycket komplicerad plattform med påföljande relativt stor angreppsyta (attack surface).
Bankdosans motsvarande attack surface är i det närmaste trivial. Apparaten gör en, och endast en sak, och själva kryptosignering osv. görs inte ens på den utan på ett smartkort som är ännu enklare och med (vid det här laget) ganska välkänd attack surface. (Detta särskilt om man använder den utan USB-kabel.)
Därmed inte sagt att varken dosan eller, särskilt, smartkortet är perfekta. Långtifrån. Men för de typer av attacker som är allvarliga här (remote exploitation) så är dessa betydligt mindre exponerade. Och motsvarande, telefoner är idag långtifrån någon katastrof med bla ett aktivt arbete att öka säkerheten mha olika funktioner. Men, trenden är trist. Komplexiteten och därmed angreppsytan ser ut att öka snabbare än vad de förbättrade säkerhetsfunktionerna kan täcka upp för. (En av mina tidigare doktorander fick en stor påse pengar från Samsung pga att han knäckte den starkt förbättrade säkerhetsfunktionen. Den visade sig vara sämre än funktionen den ersatte. Trots att den på pappret så ut som en stor förbättring.)
Så skall man göra en riskbedömning så ligger dosa+kort betydligt bättre till. Telefoner ligger efter redan ifrån starten i det att man "multiplies the security target" mao, att de innehåller många olika mål för en angripare i samma förpackning. Det tillsammans med komplexiteten samt uppkopplingen gör de mera riskabla.
Sen misstog jag mig på vad som avsågs med "bankdosa" och tänkte på de "digipass" man använde för att generera en kod som skulle anges tillsammans med lösenord. Rätt intressant hur man använde 2FA redan då och att många är tveksamma till att använda det idag för säkerhet.
Mitt andra misstag var att jag tänkte att det är ungefär lika svårt att vara säker på att det är rätt användare som använder en digipass eller bankdosa som har tillgång till en mobil med BankID men då handlar det ju mer om den fysiska säkerheten. Om någon tilltvingar sig en mobil och lösenordet eller om den tilltvingar sig en digipass med lösenord gör ju ingen större skillnad...
Jag vill dessutom minnas att det var en del bedrägerier även när det var digipass där folk ringde upp och utgav sig för att vara från banken precis som idag...
Nåja, nu ska vi inte ta det här vidare utan återgå till ämnet.
BASICS Sona2012 skrev:Vad programmerade man i på zx???
Minns att Activision hade MSXBasic, hur många minns Activision MSX datorerna med inbyggd floppy och trackball i tangentbordet som även hade processor och minne, " allt- i- ett". Sedan tog ju Commodore ( Vic & Amiga) och senare Atari (ST) över innan PC explosionen kom
Skillnaden är möjligen att de flesta har oftast mobilen med sig medan "bankdosan" oftast antagligen ligger hemma i "skrivbordslådan". Det borde därför vara större risk att bli "rånad via BankID" än att bli "rånad via bankdosa".T Testarn skrev:
Besserwisser
· Västra Götalands
· 9 945 inlägg
Nej, det är antagligen sant. Men eftersom vi har banker inblandade så vet vi inte med säkerhet. Banker är notoriskt tystlåtna vad gäller lyckade angrepp. Så "i stor omfattning" är antagligen sant. Men bara antagligen.Jonas Persson skrev:
Det finns forskning som visar på att banker, i runda slängar, förlorar tio gånger så mycket på tappade affärer (reputation loss) som de gör pga själva stölden/bedrägeriet. Ross Anderson har t ex siffror som visar att på nittiotalet i Storbritannien så sparkades 1% av alla anställda per år pga oegentligheter. Så vi kan vara ganska säkra på att det finns ett stort mörkertal.
Jag oroar mig dock inte särdeles för det. Den stora risken är som du säger att folk blir lurade av bedragare som kontaktar dem på något sätt. Den tekniska risken drunknar med stor sannolikhet i pölen av mänsklig faktor.
Besserwisser
· Västra Götalands
· 9 945 inlägg
Japp! Syns ju tom på tangentbordet om man zoomar in i bilden ovan. Tangenterna är märkta med basic instruktioner för att det skulle gå snabbare att skriva dem. (Och den var väl en tokenised basic av något slag, så jag vet inte om det ens sparades någon textversion. Tror inte det, minnet var snålt tilltaget.)V videopac skrev:
Jupiter ACE däremot en variant av Forth-79. Det är väl bara två i tråden som kommer ihåg det.
Besserwisser
· Västra Götalands
· 9 945 inlägg
Ja hade han en ZX80 så är det ju en ännu mera exklusiv klubb. De första levererades som byggsats man lödde ihop själv vilket ju ger extra poäng. Jag hade en kompis på Chalmers som gjort det.Jonas Persson skrev:
Väldigt primitiv även för tiden i fråga. 1k minne och skärmen blev blank när man körde program.
Helt rätt, det sägs att anledningen först och främst var att förenkla tolken och spara minne snarare än att det skulle gå snabbare att skriva. Det blev s.a.s. en potentiell bonus.lars_stefan_axelsson skrev:
Den som it-konsultade främst i slutet av 00-talet är välbekant med att ha ytterfacket på datorväskan fullt med diverse koddosor till olika kunder. Sjukt trevligt att kunna köra allt sådant i en enhet numera.AndersMalmgren skrev:
Renoverare
· Stockholm
· 18 400 inlägg
Renoverare
· Stockholm
· 18 400 inlägg
Jonas Persson
Intresserad
· Stockholm
· 2 715 inlägg
Jonas Persson
Intresserad
- Stockholm
- 2 715 inlägg
Svenska banker var tidiga med digipasser och kort för inloggning. Men än idag finns det många banker som fortfarande använder sms-inloggningar och andra primitiva och osäkra metoder, tom pinkoder. Skälet är inte okunskap, utan att göra det enkelt för kunden samtidigt som man tar risken och kostnaden för de intrång som görs. Skulle inte fungera här i Sverige där synen och toleransen är en annan.lars_stefan_axelsson skrev:Nej, det är antagligen sant. Men eftersom vi har banker inblandade så vet vi inte med säkerhet. Banker är notoriskt tystlåtna vad gäller lyckade angrepp. Så "i stor omfattning" är antagligen sant. Men bara antagligen.
Det finns forskning som visar på att banker, i runda slängar, förlorar tio gånger så mycket på tappade affärer (reputation loss) som de gör pga själva stölden/bedrägeriet. Ross Anderson har t ex siffror som visar att på nittiotalet i Storbritannien så sparkades 1% av alla anställda per år pga oegentligheter. Så vi kan vara ganska säkra på att det finns ett stort mörkertal.
Jag oroar mig dock inte särdeles för det. Den stora risken är som du säger att folk blir lurade av bedragare som kontaktar dem på något sätt. Den tekniska risken drunknar med stor sannolikhet i pölen av mänsklig faktor.
Om vi ska hålla oss till trådens ämne så kanske några kommer ihåg Nordeas skrapkoder som ställde till med mycket elände för 20 år sedan. Minns jag rätt tog det mer än ett år att ersätta lösningen samtidigt som pressen skrev om det och kunder fick konton länsade.
Även ZX-81 kom som byggsats om man var modig nog. Jag minns att jag hjälpte en kompis att bygga ihop en sådan, endera ZX-80 eller ZX-81. Den gick, konstigt nog, igång trots min inblandning!lars_stefan_axelsson skrev:
Tokenized BASIC var nog ett måste på de maskinerna, minns att minnet var på 1kB och det delades mellan skärmminne och programminne! Men även andra BASIC-maskiner hade tokenized BASIC, exempelvis Superboard II (som jag hade en) vilken hade en Microsoft 8kB-BASIC-tolk. Mmm.
För ZX-80/81 fanns även en "fast mode" som slog av skärmen när programmet kördes, för att snabba på det hela lite.