Danske Bank og NemID

Det er jo nærmest BREAKING NEWS i dag, om bristen i sikkerheden hos Danske Bank og NemID, som har forårsaget tab på omkinrg 700.000,-
Der tales om det, som om det er verdens undergang, og hvis det ikke er så dramatisk så fokusere de så meget på NemID som den svage link i sagen.

Men, alle har åbenbart glemt eller med vilje ignorere det faktum, at alle de brugere, med 99% er, Windows brugere. Det er altså Windows som stadig har huller og som stadig gør det muligt for malware at komme ind på brugernes maskiner.
Folk rådes at opdatere deres anti-virus programmer, og der vil nok også komme nogle som skal påpege fejl og mangler i NemID’s login processer. Men, igen, man kan ikke designe sig ud af sikkerhedshuller i NemID eller NetBank på Windows, uden at Windows er lappet til eller udskiftet med noget andet.

NemID, uanset hvor godt lavet, kræver stadig input fra brugeren, og så længe én kan se hvad brugeren taster ind, ved hjælp af trojaner/keyloggers, så kan NemID eller andre sikerhedsløsninger ikke gøres ansvarlig for bristen. For i principet, er det ikke dér, man har bristen, men på det platform som benyttes — altså Windows.

Lær det dog allerede!

Windows = sikkerhedshul, færdig slut.

Addendum (1) (http://epn.dk/teknologi2/computer/sikkerhed/article2691925.ece)

Så er der kommet første ekspert (fra Secunia) på banen, som mener at hackere skal have det sværrer at stjæle penge. Med det mener han, at der skal flere trin for at logge på eller foretage betalinger. Jeg er sådan set enig med ham at det skal gøres sværrer for hackere. Hans tilgang var at inkludere mobil telefoner i løsning. Så man får en SMS med en kode … Og hvordan er dette så lige anderledes end den løsning vi har i dag, i form af NemID? Hvordan vil det forhindre hackere i at stjæle penge, når netbanken bede om koden fra SMS … Eller at man få en SMS når der foregår noget mistænkligt. Hvordan ved systemet om noget er mistænkligt? Man kan allerede nu, få en SMS med besked, når der er aktivitet på ens konto. Det er der ingeting nyt i. Det forhindre dog ikke noget som helst. Det giver dig bare en info, at der er sket noget. 

Han nævner også at det er dårlig valg af software. Det er jeg selvfølgelig også enig i. Men igen, ikke det han menner. Han mener at der skal være flerre forskellige software løsninger som vil sprede risikoen og forhåbentlig gøre det uatraktivt for hackere at hacke sig på de danske kunder. Wow!!! Og han kalder sig ekspert? Det som skal til er, folk skal bruge et operativ system som ikke tillader uautoriseret software at blive installeret eller at køre. Dvs. de skal væk fra Windows. Men, det gider han jo ikke sige, for så vil hans ekspert stilling være nedlagt. Der er ingeting ekspertagtigt ved de ting han kommer med. Det er lappe løsninger og rene teorier. Folk skal have operative systemer som ikke er fulde af huler og kratere som vores måne!