Emulera Mobilt Bank-ID

Jo det är dumt att stänga ned saker när de fortfarande har vissa viktiga fördelar över det nyare alternativet. Som kopparnätet i glesbygden eller NMT-nätet för de som är ute till sjöss. Samtidigt drivs ju dessa saker av företag utan något större samhällsansvar så det är klart att de så fort som möjligt vill få bort saker som inte är lönsamma. Det är ju sorgligt att vinstintresset gör exempelvis att många inte har tillgång till SOS-alarm efter ett strömavbrott eller är hänvisade till mobilt bredband som knappt fungerar ens med takmonterade antenner eller så. Men det är uppenbarligen folkets vilja eftersom vi gång på gång röstar på politiker som genomför dessa utförsäljningar.

Det är inte beställningen som kräver BankID utan betalningen. Sannolikt hade man sluppit identifiera sig närmare om man hade köpt för en lägre summa (vilket man normalt gör på en pizzeria), men i allmänhet gör man kanske inte hembeställningar från Ica under några hundralappar. Jag handlar på Hemköp online en del och kommer man inte upp i 700 där så blir fraktkostnaden mycket högre exempelvis. Sen är det inte upp till butiken utan det är betallösningen och i förlängningen banken som sätter upp kraven. Det verkar också finnas någon form av "intelligens" där för handlar man ofta på samma ställe så brukar man inte behöva identifiera sig heller. Men allt detta är ganska tydligt, när man betalar omdirigeras man till någon sida som drivs av en bank, på Hemköp är det Swedbank exempelvis, så den står och "snurrar" lite med deras logga, sen omdirigeras man till någon Mastercard Secure-grej eller Verified by Visa elelr vad de nu heter, det är där BankID kommer in om det gör det, annars skickas man bara tillbaka med en godkänd betalning liksom.

Nja, en "dum telefon" är inte helt säker men många av säkerhetsriskerna som finns i en smartphone slipper man ju. Om någon med stora kunskaper inom området och/eller stora resurser vill komma åt en så kan de det nästan oavsett vad man har för tekniska prylar, på ett eller annat sätt. Men det är liksom inte där problemet ligger för de allra flesta av oss. Jag är inte orolig för att exempelvis en granne som jag kanske har en konflikt med skulle hacka mina enheter utan jag är rädd för att en mer professionell hackare exempelvis hittar eller köper ett säkerhetshål i min routers mjukvara och installerar bakdörrar på tusentals av dem som sen kanske omdirigerar användarna på något sätt, kanske installerar en hackad version av Chrome maskerad som en uppdatering på datorer eller telefoner eller liknande.

Nja, filmen är ganska tydlig med flera saker som gör detta mindre illa än vad du framhåller. Dels handlar det om ett sniffa wifi-trafik så det krävs att "hackaren" befinner sig fysiskt tillräckligt nära för att lyssna på mitt trådlösa nät. Vilket för mig betyder att de skulle behöva sitta antingen i trapphuset utanför min dörr eller möjligtvis hemma hos grannen ovanför. Sen handlar det om ett dåligt standardlösenord för nätverket som TP-link har på sina konsumentroutrar vilket gör att det går såpass fort att knäcka. Så ändrar man standardlösenordet till något mer avancerat än 8 siffror så kommer det att ta längre tid, eller om man väljer en annan router med bättre default-lösenord (men det är förstås att rekommendera att byta det oavsett).

Jo man bör (om man får) byta ut eller brygga den router man får från sin internetleverantör speciellt om man har en som tillhandahåller rätt kassa enheter som Comhem eller Telia. Däremot tycker jag att de flesta konsumenter borde ha en konsumentrouter av något slag. Här på forumet känns det ibland som att Ubiquity eller liknande "pro-sumer"-produkter är ett måste men det är relativt dyrt och krångligt utan att ge så mycket fördelar för de flesta.

Tja man får ju se till målgruppen, Comhems kunder är till största delen inte så insatta (vilket borde gälla de flesta leverantörer) så att de sätter igång saker automatiskt som i de flesta fall gör saker bättre för användaren är ganska naturligt. Är man inte novis så borde man ändå ha bryggat eller ersatt routern och då hade inte det spelat någon roll.

Vilka brister menar du finns i BankID? Mig veterligen har det aldrig blivit hackat eller så. Däremot har det skett en del bedrägerier där man har lurat någon att auktorisera bedragaren, men det har ju inget att göra med BankID i sig. Alla borde vara tvungna att genomgå en liten utbildning när man aktiverar BankID där man lär sig att aldrig lita på någon som ringer upp och ber en logga in exempelvis, hur förtroendeingivande de än är. Sen hade de absolut kunnat göra det säkrare, med exempelvis krav på att enheten med ID och enheten man försöker logga in ska finnas på samma nätverk eller liknande, men det hade också gjort det krångligare och begränsat en del saker.

Angående mobiltelefoner så tror jag allt de flesta har låsning på dem idag, det ingår liksom i installationen att sätta upp en kod och fingeravtryck och så. Och BankID kräver ju kod oavsett vad man har för säkerhet på själva telefonen.

Jo det vet jag inget om, men att man behöver verifiera sig på något sätt för en del inköp över en viss summa eller som inte hör till ens vanliga rutiner, är väl bra? Sen kan jag tycka att säkerheten ibland går till överdrift absolut, men i allmänhet så är det bra med verifieringar när det handlar om betalningar i mina ögon.

Ett exempel när det går till överdrift är att banken ganska ofta varnar mig för en "ovanligt stor utgift" när pengarna dras för min kreditkortsbetalning, trots att kreditkortet är i samma bank på mig och allting. Däremot är det ju fint att de varnar mig annars, men i det fallet är det ju att ta i. Jag blir ju nervös innan jag kommer på vad det är varje gång liksom.

Men det måste väl gå, eller? Jag har aldrig haft pengar på mitt Ica-kort och således aldrig betalat med det så jag vet inte. Men de vill ju gärna att man ska betala med det i butiken i alla fall.

Nja, något blir inte automatiskt osäkert bara för att det inte får uppdateringar längre utan först när sårbarheter upptäcks. Men absolut är det viktigt att ha en router som uppdateras fortfarande. Olika tillverkare har olika policys, de senaste åren har jag hållit mig till Asus och de håller sina enheter ganska bra uppdaterade, och har i allmänhet stöd för tredjeparts firmware och så, men det är inget jag har brytt mig om. Många av säkerhetsproblemen som tas upp med routrar handlar ju om default config liksom, att WPS är aktiverat som standard med någon gissningsbar nyckel, att remote admin är aktiverat, eller ett dåligt wifi-lösenord. Följer man installationsguiden så brukar dessa problem inte finnas längre dock.

Jo, uppdateringar borde absolut installeras automatiskt på routrar. Min varnar i alla fall för att det finns nyare uppdateringar än den jag har när jag går in på routern, men de flesta går aldrig in där.

Men jag vidhåller att om man stänger av WPS och fjärråtkomst till routern (och UPnP om man inte behöver det) så har man täppt till de flesta säkerhetshål som faktiskt är under aktivt nyttjande. Om någon kan sitta inom trådlös räckvidd och sniffa paket så är det lite värre dock, men ett bra lösenord på det trådlösa nätet hjälper det rätt långt. Separat nätverk för enheter och personer man inte litar på kan också vara bra förstås, om du installerar en konstig WiFi-högtalare och ger den åtkomst till ditt vanliga nät så kan den ju göra vad som helst typ, så gör inte det. Samma om du har en tekniskt kunnig bekant som är lite lurig.

Hur går det till i Sverige? Jag har sett flera sidor där folk skrivit att de fått sina nummer kapade, men alla sidorna verkar ha skrivits av någon med amerikanskt telefonnummer och jag tänker mig att USA har andra säkerhetsrisker än Sverige om man vill stjäla någons telefonnummer och att man därför kapar nummer på olika sätt beroende på i vilket land man kapar det.

Idén är att man ska ha bankkortet, kollektivtrafikbiljetten och allt annat i sin mobil och at batteriet ska ta slut medan man är ute på stan så att man får gå hela vägen hem, kanske flera kilometer eller flera mil om man har otur.

Tja, man bör ju göra det svårt att genomföra man in the middle-attacker så att inte folk blir av med pengar i onödan. Folk i allmänhet förstår inte att HTTP-sidor är osignerade medan HTTPS-sidor är signerade och att telefonsamtal är osignerade och så läser man inte texten som visas i bank-id-programmet. Jag undrar om det inte är lättare att patcha bank-id-programmet än att patcha folks hjärnor.

Jag har ingen aning men det kan ju vara så att våra operatörer har bättre koll än de i USA då vi har exempelvis BankID för autentisering. Jag minns att det var hyfsat krångligt att porta mitt telefonnummer från att stå på min farsa till att stå på mig och det var minst tjugo år sedan och det borde väl inte ha blivit mindre kontroller nu liksom.

Kör man på den modellen så får man helt enkelt se till att batteriet är laddat. Jag har varit lite nervös någon gång när batteriet har gått åt mer än beräknat, exempelvis efter en hel dags arbete och sen AW, och jag har behövt köpa biljett till kollektivtrafiken med mobilen, men det har klarat sig hittills. Å andra sidan så skriver de ju av kontrollavgiften om man kan visa att man har betalat, om man skulle ha sån otur att man åker på en kontroll just när batteriet har tagit slut. Alternativt så går man av ifall några biljettkontrollanter kommer, men det brukar sluta i ett olovligt frihetsberövande och kanske misshandel. I allmänhet så kan man ju diskutera med busschaufförer och liknande personer, de skiter oftast i om du betalar eller inte, men det finns undantag. När jag var 13 år exempelvis så trodde en busschaufför inte på att jag var under 17 och lät mig inte komma på bussen då mitt kort bara räckte till en ungdomsbiljett. Min kusin som var med fick däremot komma på trots att han var 17 då han hade skrivit ett felaktigt födelsedatum på sitt skolkort eller liknande, bara för att kunna komma undan med att betala halva priset. Så där stod jag vid en busshållplats ute på landet innan mobiltelefonerna. Nästa busschaufför sa inte ett ord dock så jag slapp undan med en halvtimmes väntan.

Som tur är varnar webbläsarna ganska kraftigt om man inte kör HTTPS idag. BankID har inte utsatts för någon MITM-attack som lyckats i alla fall, däremot skulle det förstås kunna ske om ens webbläsare har fått någon malware eller så och man tror att man är på exempelvis bankens sida men egentligen befinner sig på en bedragares kopia, men det har egentligen inget att göra med BankID. BankID är dock tydlig med vart man autentiserar sig och vad man signerar om det är en signering det handlar om. Att folk inte läser det utan godkänner stora transaktioner utan eftertanke är förstås jobbigt för dom men vi kan inte försämra för alla för att några är så dumma. Eller hur tänker du dig att de ska lösa det om det inte ska drabba andra som inte godkänner godtyckliga överföringar?

Däremot varnar inte teleoperatörerna om att telefonsamtal är okrypterade.

Den vanligaste man in the middle-attacken verkar vara att man inte tittar på hemsidan själv utan pratar i telefon med någon som tittar på hemsidan. Tanken är att man inte ska fatta att det inte går att veta vem man pratar med över telefon.

Var det inte så i början då bank-id var nytt att det bara stod "jag legitimerar mig" utan att tala om vem man legitimerade sig för?

Vet inte. Om man har olika versioner av bank-id-programmet, en för dumma personer och en för smarta personer, kommer dumma personer att bli arga för att de pekas ut som dumma (trots att det är befogat att peka ut dem som dumma). Det är även svårt att veta vem som är dum och vem som är smart och detta kan ändras över tiden.

Telefonsamtal är inte okrypterade, från GSM och framåt så är alla samtal krypterade vad jag förstår. Däremot har säkerheten inte varit den bästa, så är man orolig så bör man välja en operatör och enhet med stöd för VoLTE eller åtminstone en som kör röstsamtal över 3G. Men GSM/2G är ganska gammalt nu, det är inte så konstigt att krypteringen inte duger längre, men det är förstås dåligt att en del operatörer fortfarande använder det nätet för röstsamtal.

Det är inte en MITM-attack.

Men som sagt så bör man vara väldigt misstänksam mot någon som exempelvis ringer upp en och påstår sig ringa från ens bank och som vill att man ska identifiera sig med BankID. Nu är väl inte det ett superproblem egentligen för en identifiering räcker inte så långt, ska man överföra pengar eller liknande måste man ju ändå signera överföringen också, men oavsett så bör man förstås inte lita på någon som ringer upp en.

Jag har inte koll på hur det såg ut men att det står i klartext vart man identifierar sig har varit så länge. Att man ser beloppen (och mottagare med mera) på en transaktion har också varit så länge. Vad mer ska man göra? Ska appen ställa ytterligare en fråga: "Är du verkligen säker på att du vill föra över 100 000 till Baltic Inkasso?" Att identifiera sig och sköta överföringar är ju liksom vad man har BankID till, någonstans måste ansvaret övergå till personen.

Under mina 21år med samma mobilnummer så har jag aldrig blivit uppringd av en försäljare... ännu.. peppar peppar ta i trä.
Japp jag använder samtalsfilter när jag sover.. så utvalda kan nå mig om det är akut.
Sedan har jag hemtelefon för jobb, företags kontakter osv även det hemligt nummer.. Den stänger jag av ljudet på när jag sover och på helger. Det numret är nixat Men det har ringt försäljare på det numret.. så jag vet inte om oseriösa försäljare använder sig av nix registret för att hitta telefonnummer.

Är du möjligtvis försäljare av telefoner så det är därför du vill övertyga mig att köpa ny telefon

Det är en väldigt stor skillnad mellan en dator med telefonfunktion och en telefon med sms funktion.
Sedan om du tror att du är säker med en modern smartphone med krypterade appar för kommunikation, så lever du i falsk trygghet.
Polisen har speciella verktyg för det.. Många kriminella som använt krypterade tjänster har åkt dit, samt polisen har även nu fått tillstånd att dolt installera kod så de kan avlyssna skärmen osv för att komma runt krypteringen.

Nopp det är sajten som bestämmer om det enbart är mobilt bank-id som gäller eller om det även innefattar bank-id på kort/fil.
Precis.. och då jag inte ser nytta med att ha medlemskap överallt för att få 5% rabatt osv. så slipper jag den riktade reklamen. Ganska skönt.

exakt och du rabblar om att köpa biljetter och logga in på kivra på en smartphone och att teleoperatörerna säljer våra personuppgifter och stulna krypteringsnycklar.. att man måste köpa en smartphone och att gamla telefoner är enkelt hackningsbara o sårbara i jämfört med nya smartphones... och tråden handlar om att emulera bank-id.

allt jag sa från början var..... alla vill inte ha en smartphone av olika skäl exempel integritet då Google och apple står för smartphone marknaden som har som filosofi att samla in all data om alla användare.
Senare framkom det att jag bojkottar de fem stora. Google, Apple, Microsoft, Facebook och Amazon. Vilket då innebär att Smartphones är otänkbart för just min del.

Jag väntar fortfarande på artikeln som bevisar att telefoner före 2005 är lättare att hacka än en modern smartphone.
chansen är större att vinna storvinsten på eurojackpot än att en gammal telefon blir hackad i modern tid.

Det betyder nog att man inte får några uppdateringar av bank-id-programmet, d.v.s. man kan förmodligen fortsätta att använda det så länge det fortfarande går att använda den version som just nu är senaste versionen av bank-id-programmet. När versionen blir för gammal så att den inte längre går att använda får man hitta en ny lösning.