Den beryktede Chaos Computer Club har vist på TV hvordan de kunne bruke Intuits program for økonomistyring til automatisk å overføre penger til egne konti.
Ordre om å overføre penger ble lagt inn slik at brukeren ikke visste om overførselen av penger. Intuit legger nå skylden for at dette er mulig på ActiveX – og ber usikre brukere om å slå av ActiveX-kontrollene på sine maskiner, eller å bruke Netscapes nettlos i stedet.Datanarkister Fraråder
I en melding fra den tyske Chaos Computer Club heter det at brukerne må rådes fra å bruke Active-X, og i alle tilfelle må programmene stille klare spørsmål før brukeren gir fra seg kontrollen over maskine.
Annonse
Den gruppe av tyske hackere – kjent som Chaos Computer Club – viste på fjernsynet hvor lett det var å stjele penger fra en konto og overføre den til en annen konto – uten å oppgi det personlige identifikasjonsnummeret.Den amerikanske versjonen av Intuit tillatter barer overførsel mellom konti som på forhånd er godkjent.Intuit varslet mandag at de vil lansere en ny tysk versjon av programmet, som krypterer programmets datafiler og gjør det vanskligere å hacke.
Men hendelsen demonstrerer at ActiveX er en usikker teknologi, melder amerikanske Cnet. Java applets er forhindret fra å utføre visse kommandoer, som for eksempel å slette brukerens harddisk. ActiveX har ikke begrensninger på samme måte. Men det er større mulighet for spore programbitene. Digitale signaturer
Ved hjelp av «Authenticode» – et sikkerhetssystem – kan programselskap utstyre sine program – eller deler av program – med elektroniske signaturer. På den måten skal det bli lett å spore opphavet til koden, men det beskytter ikke mot at uønskete kommandoer utføres. Problemet er at «signaturen» kan fjernes uten store problemer.Ignorerer advarsler
Microsofts nettlos Explorer vil advare brukere mot usignerte programbiter. Chaos clubs er ikke. Men hackerne regner med at brukere etterhvert blir sløve av for mange advarsler, og godtar at programbiten startes. Den kan da sende et beløp til en konto som hackerne mener trenger en ekstra forsyning, neste gang programmet starter.Strenge forholdsregler
– Intuit vil ta strenge forhåndsregler for å unngå sikkerhetsproblemer, sier senior visepresident Eric Dunn.
– Men det er viktig at brukere tar forhåndsregler og bruker vanlig sunn fornuft når det gjelder å bruke ukjente ActiveX-kontroller, eller andre program som er hentet på Internett for å ta vare på sikkerheten, sier Dunn.Annonse
