Sikkerhedsekspert: NemID's forspring i våbenkapløbet er indhentet

Nem ID-systemet er bygget op på, at man som bruger med sit lille papkort først pænt skal identificere sig over for "Systemet", som derefter accepterer een, hvis man ellers ikke har været alt for fummelfingeret. Og hvis "Systemet" så viser sig at være falsk på den ene eller anden måde er det bare dyrt og ærgerligt - og anledning til et par kærkomne avisnyheder i agurketiden.
Da talentmassen i kriminelle kredse absolut ikke bør undervurderes, vil en fastholdelse af denne fast etablerede tankegang om brugerens høflige banken på slotsporten i den traditionelle eensidige kommunikationsretning utvivlsomt blive årsag til endnu flere og endny mere raffinerede phishingmetoder - med tilhørende ærgelser og trakasserier om hvis skyld hvad er.
Hvis man nu var parat til at vende tankegangen lidt om, kunne en løsning være, at der suppleres med, at "Sytstemet" i visse situationer også skal identificere sig over for brugeren. Dette kan ske ved at man fra sit papkort, som man må formodes at have i sin varetægt under processen, indtaster en tilfældig af de 4-cifrede koder, hvorefter systemet gerne skulle returnere den korrekte tilsvarende 6-cifrede ditto.
Bøvlet? Ja, selvfølgelig, men hvis det opleves for bøvlet, kunne Tur-Retur Nem-ID muligvis begrænses til kun at blive afviklet ved penge/værdi-overførsler, dog med reduceret sikkerhed til følge. Ved brug af den lille nummerviser, skal der tilsvarende bare dukke en korrekt 6-cifret kode op på skærmen, som svarer til næste tryk på gummiknappen.

Mikael Ibsen

Der er mange sikkerhedsproblemer ved nemid, men i disse phishingsager er problemet decentral login. Hvis login til banker/spilsider/offentlige sider osv. osv. alle foregik via nemid.dk, kunne man nemt uddanne befolkningen til aldrig at indtaste oplysninger, medmindre der står nemid.dk og kun nemid.dk i adresse feltet.

Hvis ens ip, eller lign. bliver logged og "gemt" i en tidsbegrænset periode 5-20min, og derved kun tillades godkendelse fra den ip. Vil det ikke kunne begrænse lige netop denne form for udnyttelse?

Nej hvis der er malware på din computer kan hackeren bare overtage din browser og begå handlingen den vej. Faktisk vil det være trivielt at lade et program gøre det hele automatisk. Hackeren behøver slet ikke have en server stående. Han har bare en konto hvor der en dag dukker nogle penge op...

@Michael Ibsen:
Forklar lige hvorfor din løsning ikke falder til jorden såfremt pap-kortet er stjålet ?

Iøvrigt synes jeg banktyveri er trivielt og ligegyldigt - det er jo KUN penge, OG det er - omsætningen taget i betragtning - meget ringe i omfang.

Langt mere alvorligt er, at den stjålne net-ID giver adgang til alle andre offentlige systemer. Nogle adgange vil være ubehagelige på grund af "hemmeligheder" (men er det nu så slemt), men der er måske andre, mere uoprettelige, muligheder
- eller er der ?
Måske er det mest en følelse af ubehag.

Så måske er løsningen, at diverse myndigheder OG banker åbner mulighed for en "Fort Knox" registrering af borgeren - hvilket betyder, at adgangene KUN kan ske fra særligt sikrede PC'ere. Altså PCer som findes på sikrede lokationer (banklokaler, kommunelokaler). Så kunne den nævnte IP-adresse-løsning få en brugbar udførelse.
Eller hvad ?

Vi kommer ikke udenom en løsning, som indebærer en sikker terminal. Computeren bliver aldrig en sikker terminal i sig selv. Men den kan bruges sammen med en lille håndholdt terminal, således at terminallen bruges til login og underskrift på transaktioner.

Et eksempel på en sådan terminal er det tyske ChipTAN http://www.youtube.com/watch?v=U7PnC1S-j4I

ChipTAN er gammel - det kan naturligvis komme til at se meget mere elegant ud.

DanID vil ikke fordi en terminal er dyrere end et papkort. Men det er eneste vej frem.

Der er en del røster, deriblandt fremtrædende politikkere, der i disse dage siger at NemID er godt og at det alligevel ikke nytter at starte et våbenkapløb. Men det er noget vrøvl. En terminalløsning bliver ikke hacket. Der har man fjernet den primære sårbarhed som er brugerens computer.

Hvis både din bruger-id og din adgangskode stjæles med phishing, og dit papkort så derefter stjæles fysisk, vil der være et fatalt problem, idet tyven jo dermed har overtaget hele din Nem-ID-identitet, og så er vi overe i en helt anden boldgade. Det vil derfor nok være en god ide at lukke for festen med det samme, hvis man opdager at papkortet er væk...

Men hvis dit "bare" pap-kort er væk, vil du jo under ingen omstændigheder begynde at logge ind, og dermed er der ikke så noget at phishe. Der skal phishes først - og stjæles papkort bagefter, i nævnte rækkefølge, hvilket selvfølgelig ikke kan udelukkes at blive en etableret rutine i den fremtidige kriminelle verden, om end lidt mere mere ulejlighedskrævende og fysisk udfordrende for de involverede skarnspersoner. Men pas under alle omstændigheder godt på pap-kortet eller nummerviseren.

Mikael Ibsen

Ser smart ud, men måske også lidt svært at få alle til at bruge.

Husk denne del af pressemedelelsen...

" Sagerne er overdraget til politiet, og kunderne holdes i alle tilfælde skadesløse."

Så politiet vil gennem inter eller europol spore overførselerne via IBAN systemet og kunderne har fået pengene tilbage...

Så de eneste "ofre" her er et par forsikringsselskaber der har skulle udbetale lidt præmie.

Så længe overførslerne er sporbare og Nets/bankerne holder kunderne skadesløse så er det ret svært at retfærdigøre at gendesigne det hele, når det er et fåtal der er blevet kompromiteret.

Man kan jo også bare bryde in i et hus og sætte en usb nøgle i pcen indstalere en keylogger, finde nøglekortet og ta et billede af det. Det er der mange der ville gøre for 100.000 kr.

Er der nogen der går ud og installere en topmoderne lås, skifter alle yderdøre med indbrudssikrede døre, instalere videoovervågning og et vagtselskab til at overvåge det hele med udrykningstjeneste 24/7 fordi den risiko eksistere ?

Nope for det er for dyrt og vil med stor sandsynelighed aldrig kunne betale sig for langt de fleste...

og hvis det var nemt og til at automatisere så ville tyvene aldrig ha støvsuget kontoerne. De ville ha taget 200 kr per konto om måneden og kaldt det noget som folk aldrig havde bidt mærke i, det var aldrig blevet opdaget og anmeldt og hvis man gør det ved en 100.000 kontoer i et år så har man 240.000.000 kr. om året og det er slet ikke at kimse ad.

Et tiltag som ville gøre den nuværende sårbarhed meget nemmere er at kunne kræve at bankløsninger bekræfter overførsler og handlinger med en nemID kode (fx som det svenske system hvor man laver en betalingskø og når man så vil sætte den igang så skal man taste en kode igen).

Sådan var det i det gamle jyskebank system (kode ved login og kode ved handling) der mig bekendt "led" af samme sårbarhed overfor man in the middle realtime spearphishing angreb som NemID men der var bare aldrig nogen sager om at det blev kompromitteret...

Det er en praktisk gennemførbar løsning der vil forbedre sikkerheden markant, med relativt begrænset krav om at lære folk at benytte et nyt system.

Sikkerhed er stort set altid bøvlet, men når ens surt fortjente midler er i farezonen, er de fleste dog almindeligvis ret motiverede...

En moderne chiptan vil nok bruge de velkendte 2D-stregkoder. Zap koden på skærmen, læs hvad der står på terminalen og indtast koden.

Alternativt sæt den i USB-porten.

Simpelt hackerfrit system. Det er ikke meget sværere end et papkort og det løber ikke tør for koder.

Ser også fint ud - essensen i det hele er, at kommunikationen skal gå begge veje, og at bruger skal modtage kontrollerbare oplysninger fra "systemet", som en hacker ikke kan fremstille.

Da jeg forleden overførte et lidt større beløb til en konto i anden bank, fik jeg en SMS med en 4-cifret kode, som skulle indtastes udover pin koden fra papkortet m.v. Virker ret sikkert på mig og ret enkelt.

Her er det en netbank, så her er det nemt at holde folk skades fri - Men NemID kan brugs til andet en Netbank... Hvordan vil du holde nogen skades fri for identitets tyveri? Hvordan vil du hold folk skades løses for læk af personlige oplysninger?

...og vil ende ved en tom konto ejet af en John Doe boende på en ikke eksisterende adresse i ydre Mongoliet.
Det er ikke alle steder i verden der er krav om at komme med noget som helst ID når man opretter en konto, til gengæld bruger næsten alle banker IBAN (International Bank Account Number) som giver mulighed for overførsel af penge på få sekunder gennem f.eks. SWIFT.

Fejlen ved nemid sidder halv meter fra skærmen,løsning fjern brugeren fra computeren

En moderne chiptan vil nok bruge de velkendte 2D-stregkoder. Zap koden på skærmen, læs hvad der står på terminalen og indtast koden. Alternativt sæt den i USB-porten. Simpelt hackerfrit system. Det er ikke meget sværere end et papkort og det løber ikke tør for koder.

Hvad er det der gør den hackerfri?

Du har selv sagt at forbryderen kan præsentere og proxy hvad som helst igennem brugerens PC. Så hvorfor skulle de ikke bare kunne præsentere 2D stregkoden for brugeren som så zapper den og taster koden.
Forskellen er jo den samme?

kommer ind i billedet. Så længe der ikke er nogen, som har hugget dem, sidder man på en unik oplysning, som kun kendes af dig og Nem-ID. Hvis du modtager den rigtige returoplysning, kan den kun komme fra/via det rigtige "System" - og du er dermed på den rigtige hjemmeside. Det kan godt være du bliver aflyttet, men da koderne er eengangskoderne, og du stadig sidder på pap-kortet eller nummerviseren, hjælper det ikke hackeren i næste forsøg.

2D-barkoden indeholder en kryptografisk besked som hackeren ikke har mulighed for at forfalske. Hvis han ændrer i beskeden vil den blive afvist af terminalen.

Men hvorfor skal de forfalske den?

Pointen er vel netop her at det eneste der er falsk her er selve overførslen, resten foregår real time imens brugeren sidder med netbanken.
Så crackeren viser jo bare den 2D barkode, som de bliver spurgt om, til kunden som så taster bekræftelseskoden ind.

Den store fordel ved Chiptan er, at den viser hvad det er, du bekræfter. Selv om en person ændrer i hvad, du ser på skærmen vil du stadig se "10,000kr -- Ukendt kontonr." når du bliver bedt om at bekræfte det. (Hvis de altså ikke finder en måde at angribe Chiptan'en på gennem billedkoden.)

Ja, det ser fornuftigt ud. Havde ikke set filmen til ende og havde ikke fået den del med.

Desværre er den lidt mere omstændig at slæbe rundt på end papkortet :-)

Nej, det gør den ikke. Fejlen sidder i hovedet hos de folk hos Nets som har udtænkt NemID, flere here på Version2 havde påpeget lige præcis dette problem inden NemID gik i luften og alle blev fejet af bordet med "det sker jo ikke" og selv da Version2 demonstrerede problemet blev det fejet af bordet med "det kræver jo at hackeren sidder ved sin computer på samme tid som offret"... nu har man så automatiseret processen (og det var selvklart at det ville ske).
Vi kan dårligt klandre politikerne for deres manglende indsigt for de er ikke eksperter i IT sikkerhed...

Er det ikke en lille pris at betale for at få en væsentlig højere sikkerhed - og uagtet hvad, så vidner de seneste hændelser jo om at man under alle omstændigheder skal benytte en computer man har 100% magt over, og som man er 100% sikker er opdateret inden for den sidste time, ellers er det jo selvforskyldt og dumhed i følge nogen.

Og så er det vist så som så med at slæbe rundt på ret meget.

Det burde være muligt at produktudvikle en udgave, som ikke fylder mere end et tykt kreditkort. Jeg mindes en historie her på v2 om et dansk firma, som netop har lavet et sådant intelligent kort.

Er det ikke ITST som kan tage "æren" for det sjusk vi sidder med?

Jeg kan ikke lade være med igen at nævne den svenske løsning, som jeg er ret begejstret for.

Når jeg logger på min svenske netbank, udleverer browseren straks (inden jeg har indtastet personnummer eller brugernavn) en challenge code.

Den kode taster jeg ind i min lille kortlæser, hvori jeg først har anbragt mit VISA-kort. Derefter skal jeg indtaste min pinkode til kortet. Så får jeg en svarkode, som jeg logger ind med, sammen med mit personnummer.

Hver gang jeg skal foretage mig noget med min konto, overføre penge, ansøge om kredit, eller hvad det nu er, får jeg igen vist en ny challenge code, som jeg svarer på med min kortlæser.

Betingelsen for at jeg kan gøre noget som helst er altså den samme som IRL, jeg skal have mit VISA-kort og min pinkode til kortet, og intet andet.

Den samme løsning bruges til digital identifikation i alle mulige andre sammenhænge, og her kan brugeren som regel selv vælge om han vil have fuld sikkerhed (kortlæseren tilsluttet PC via USB), eller om han vil vælge at generere en digital signatur, som kan vel at mærke til enhver tid selv kan ændre pinkode på.

En lille kortlæser til måske 50 kr ved kvantum, og vi ville have et absolut fool-proof system, og vi ville endda få vores gode gamle signatur igen, i en stærkt forbedret udgave, for det der måtte ønske det.

Er det ikke ITST som kan tage "æren" for det sjusk vi sidder med?

Det er ikke udelukket, men i så fald burde Nets have påpeget problemet ved løsningen.

Gensidig identifikation mellem NemID og bruger hjælper ikke, - det er jo allerede i gang: I det en normal papkortsbruger får et nummer i forbindelse med login kan han chekke om han har forbindelse til NemID. Der er kun vist omkring 1% chance for at angriberen gætter nummeret. De real-time phishing angreb der har været har brugeren haft forbindelse til NemID og de har begge identificerede sig. Brugeren har blot ikke været klar over at der var en man-in-the-middle.

Autorisation af transaktionen med f.eks. mobiltelefon (som andre har foreslået) beskytter ikke mod lækage af information såsom sundhedsoplysninger og skatteoplysninger som også kan være noget værd.

Det er der ikke ret meget der gør. Hvis du selv er logget ind på skat.dk for at læse din forskudsopgørelse, hvordan vil du forhindre at en hacker læser med over skulderen?

Værre er det at SMS baserede løsninger kommer til kort hvis det er mobilbanken som er hacket.

"surt fortjente" har en dansker nok øjet på, men i øjeblikket kan der listes private og følsomme data/oplysninger for vel ca. 3 mio. personer - skat, kommuner, eboks mm. mm.

Der mangler intet på kontoen (tag en kopi), der er intet at afstemme, og du kan ikke se nogen var på besøg. Oplysningerne kan sælges til gode penge i visse skumle kredse.

En dag bliver du kontaktet af nogle, som giver dig et tilbud, som du ikke kan afslå, og så er det for sent ar ændre tumbeID - fuglen er fløjet.

nej alle det ville være ti gange nemmer at login med din en finger eller øje den kan ingen misbruge vh kimfischer

Der er ind til flere eksempler på at snyde fingeraftrykslæsere... Nogle af dem er så enkle som en fotokopi af et fingeraftryk...

Hvad så med identitetstyveri?

Hvordan får du en ny finger eller et nyt øje, hvis nogen 'tager en kopi' - eller tager dem med vold?

Biometri er kun godt hvis dem der laver trusselsvurderingen er med på at ofre en identitet en gang i mellem.

"Desværre, dit fingeraftryk/iris-scan er meldt kopieret, og er ugyldigt. Henvend dig for at få nyt øje/finger."

Kristian, du er godt klar over at det er nemid.nu vi snakker om? nemid.dk er en anden nemid, som har noget at gøre med nempost... vist nok. Det hele er ikke så let som det burde være ;-)

Citat fra NemID's hjemmeside:
"Dit NemID opbevares på en sikker central server hos Nets DanID, som står for udvikling og drift af NemID. Langt de fleste hackere bryder i dag ind på almindelige brugeres computere. Hvis NemID lå på din egen computer, ville NemID kunne kompromitteres af it-kriminelle, som tiltvang sig adgang til din computer."

MEN - det hjalp altså ikke at opbevare signaturen decentralt. Sikkerheden sidder stadigvæk 40-50 cm fra skærmen - og det bliver den ved med, uanset hvilken sikkerhedsmetode man anvender.

Det er langt værre at kommunikationen mellem dig og DanIDs servere ikke kan sikres. Det er ikke nødvendigt med malware på din computer for at angribe NemID. MiTM angrebet kan lige så godt komme på vejen mellem din computer og DanID.