Nyt hacker-trick snød NemID: Sådan gjorde de

"Version2 arbejder på at få oplyst nærmere detaljer om fremgangsmåden ved indbruddet fra Danske Bank og DanID."

Så er det jo godt at DanID plejer at være meget meddelsomme om hvordan den slags er sket..

Eller .... øøøh...

Henrik Madsen

Kære debattører

Jeg har fjernet et indlæg, der ikke var andet end et personangreb. Hold debatten til bolden tak.

God weekend

Mvh
Julian Henlov, Community Builder, debatredakør, Version2

Det lyder jo ummiddelbart som en automatisering af det allerede kendte MITM angreb.
Det var ellers det som NETS dengang påstod ikke kunne lade sig gøre.

det er jo helt sikkert, intet kan gå galt...

Sagen er jo at intet system er helt sikkert og slet ikke når det foregår via internettet. Det kedelige er så at vi snart kun har et system i Danmark og bliver dette lagt helt ned vil intet kunne fungere mere, alt for sårbart efter min ringe mening.

Ved at bruge papkortet kun til signering, kunne problemet være undgået - altså netop løsning Ingrid Colding Jørgensen fra Dansk IT er så meget imod jf. hendes bloginlæg fra sidste uge.

Den fremgangsmåde hackerne har brugt denne gang, advarede jeg allerede imod tilbage i 2008, og har lige siden brugt den som eksempel hver gang jeg skulle forklare hvorfor nemid er usikker.

Udfra ovenstående, så konkluderer jeg, at Danske Bank's netbank tillader, at den samme kunde kan have to samtidige logins endda fra to forskellige IP addresser... Lidt sanity check burde da have forhindret denne situation. Tror jeg skifter bank i næste uge...

Der er intet der siger at der skal bruges en server baseret løsning. Malwaren kan logge direkte på netbanken fra din computer.

Hvis de er rigtigt avancerede, jamen så bruger de tilmed den samme session som du har etableret med banken.

Forestil dig følgende. Du er logget på din netbank og du er i gang med at overføre nogle penge eller betale en regning. Du klikker "send". På dette tidspunkt er den lidt længere om at hente næste side, men det sker jo jævnligt så du tænker ikke nærmere over det.

I virkligheden har malwaren et kort overblik overtaget kontrollen med din browser. Den ekstra ventetid blev brugt til at gennemføre en overførsel til bagmændenes konti. For ikke at du skal blive mistænksom blankede de skærmen imens og simulerede lidt langsom respons fra banken.

Jeg ser dette som 2 fejl:
Banken tillader 2 parallelle sessioner og at kunden af malwaren forledes til en unormal autentificering med både password og nøgle fra kort, hvor kun password er det normale.
At forhindre 2 parallelle sessioner skulle vel ikke have nogen sideeffekt.
At kunden ikke studser over den unormale sekvens er sværere forhindre og skaden opstår vel først efter denne 'fejl', da resultatet deraf er hvad hackeren skal bruge for at logge ind, og der skulle så dobbeltsessionen opdages og afbrydes.

Hvis jeg laver en støre transaktion med en ukendt, dvs. en jeg ikke har overført store beløb til før, over 10.000, skal jeg bekræfte det med SMS til banken / deres system, virker også sent aften.
Troede det var obligatorisk i alle banker?

Så sikkerheden er baseret på at tyvene ikke bestiller et nyt SIM-kort til dit nummer - kan man det med NemID? ...

Desuden kan Du som bruger, i de fleste netbanker, oprette SMS notifikationer når der sker ændringer på dine konti. Så en ting er, at hackerne kan overføre beløb til en fremmed konto - men Du vil automatisk blive notificeret og kan altså nå at gribe ind.

...at designe et sikkert system? -- I gamle dage fik Jyske Bank jo ros for papkortene, men det viser sig at det jo (selvfølgelig) kan fixes via MITM-angreb.

Hvis man skal være lidt avanceret, kan man jo samtidig rette lidt i hosts-filen hos offeret, så han/hun aldrig opdager problemet, og samtidig sørge for at SSL-certifikatstien for ens hjemmelavede certifikat er gyldigt.

2-faktor login (f.eks. ved at få tilsendt en kode via mobiltelefon) er jo ikke løsningen, da det jo er det samme som papkortet.

Man kan jo altid sige, at det gælder om at holde sin computer opdateret og tænke sig om, men metoderne bliver jo fortsat mere og mere sofistikerede, så selv den bedste kan vel blive hacket?

Det vil jo hjælpe gevaldigt hvis SMS-en ud over koden, også indeholdt en beskrivelse af hvad man var ved at autorisere.

Hvis du ikke også har malware på din telefon, selvfølgelig.

"Malwaren har ligget skjult på pc'en og ventet på, at brugeren loggede på sin netbank".

Det kunne være interessant at se på timingen i angrebene.

Man kunne forestille sig at malwaren har kompromitteret et større antal kunder
(der skal f.eks. nok være nogle ambitiøse kriminelle, der forsøger at kompromittere en del af DanID, så malwaren kan komme ud til samtlige NemID-brugere med den kode DanID lader installere på kunde-PCerne).

Hvis malwaren er i stand til at rapportere en kundes saldo tilbage til bagmændenes server, så kunne bagmændene slå til på et tidspunkt hvor summen af saldi oversteg en given tærskelværdi.

En yderligere, simpel betingelse for at lade angrebet gå i gang kunne være at tidspunktet skulle være udenfor bankrådgivernes almindelige kontortid, så kunderne ville få sværere ved at undersøge og anmelde de uforståelige transaktioner.

Ifølge den trinvise forklaring i artiklen, skal papkortet vel i sving 2 gange. En gang for at skabe brugerens egen session, og en gang for at skabe "hackernes" session, eller ?

/Henrik

Ja, det er derfor Danske Bank skriver i andet afsnit (se screemdump længere oppe), at nøglekortet KUN skal bruges en gang og det er ved log ind. Ved autentificering ved transaktioner i sessionen skal kun adgangskode (password) bruges.

Hvis man deler forbryderne op i dem som har fysisk adgang til Danmark og dem som sidder i "Nigeria", er det lettere at tage fat på! At et dansk teleselskab skal sende et simkort langt bort bør være forbundet med røde advarselslamper.

Dem der operere her i landet er ikke lette at stoppe. De kan i sidste instans dirke din dør op og installere skjulte overvågningskameraer over din pc eller fiske din pung op af tasken når du er ude at handle, hvis de vil til dine penge. Tilgengæld er de tilgængelige for dansk Politi....

Jeg får det indtryk af at læse indlægget og kommentarerne, at alle øjne er vendt mod en diskussion om tekniske detaljer. Måske overser vi det åbenlyse?

"Brugeren fik malware på sin pc ved enten at besøge en inficeret hjemmeside eller ved at åbne en fil, han har modtaget via mail."

Jeg er en elitær og usympatisk person og får derfor ofte den tanke, at nogle mennesker ikke bør have adgang til computere. Man kan naturligvis blive snydt og der kan være huller i ens sikkerhed som man ikke er herre over, men det er ikke helt forkert at sige, at mange brugere har meget dårlige vaner.

Brugere køber dårlig hardware, dårlig software og betjener den forkert. Brancherne som sælger disse ting har også et ansvar. I årevis havde 'default' brugeren på en windows-installation Administrator-rettigheder, såkaldte smart phones vist stadig sælges helt uden basal firewall og anti-virus. Min pointe er, at det er svært at forsvare brugerne og producenterne når skaber den slags usikkerhed med deres adfærd.

Vi har siden '90erne opdrættet en forbruger som ikke kan betjene sine maskiner sikkert. Vi har bygget løsninger til 'dilettant-ingeniørerne og it-hobby-folket,' og måske overset at de fleste brugere ikke har lyst eller tid til at sætte sig ind i hvordan vores løsninger betjenes sikkert.

Vi lader til at være domineret af snak om flere sikkerhedslag, mere kontrol, og mere software. I bund og grund er disse "man-in-the-middle" angreb slet ikke et IT-fænomen. Bedragere og fupmagere lyver sig til hvad som helst. Stein Bagger løj muligvis om ægtheden underskrifter, Riskjaer Pedersen er dømt for bedrag og falske (udklædte) betjente røver bordeller.

Dette problem er ikke et isoleret IT-problem. Det er et problem som starter og slutter ved brugeren, mennesket bag musen. Jeg kunne godt tænke mig at vi fik ingeniørernes syn på om man ikke kan stille flere krav til brugerne.
Spilder vi mon tiden på at "børnesikre" vores maskiner til "laveste fællesnævner"?

sry. for wall-o-text

edit: ville have rettet gramma, spelling, men shitty website lader mig ikke redigere mere end 300 sekunder. Fail software er fail.

Flere af de ting du skriver kan overføres til mange andre ting - fx biler. Hvis folk ikke køber noget ordentligt, og betjener det 100% efter reglerne burde de ikke have lov til at køre bil. Nøj hvor ville vejene blive tomme!

Intet bliver perfekt så længe den menneskelige faktor er indblandet. Den kloge narre den mindre kloge, og sådan vil det altid være.

Hvis endelig man skal klandre nogen for noget er det da de brodne kar der sidder rundt omkring og lave ulovlig aktivitet. Uden dem behøvede vi jo slet ikke bruge tid og ressourcer på sikkerhed.

Nu håber jeg lidt dit indlæg var en provokation, men du rammer måske indirekte en pointe, nemlig det at computere er slet ikke så simple som man prøver at foregøgle folk - men så skal vi starte debatten der.

Et rigtig stor problem er jo det at man med "NemID" har bildt både befolkning og magthaverne ind at dette var den ultimative sikkerhed (fordi brugerne jo er åh-så-inkompetente), og at "NemID" kan bruges hvor som helst, når som helst.

Desværre (eller måske nærmere heldigvis) har virkeligheden nu vist sit grimme ansigt, og pludselig så skal brugerne tage hensyn til både det ene og det andet, samt sørge for at være opdateret osv - det er hvad jeg vil kalde en Epic Fail.

Især virker det jo ikke rigtig smart at man også siger at de computerløse, eller dem der har behov for hjælp skal benytte computere på biblioteket eller på borgerservice - det virker ikke specielt tillidsvækkende når man på den anden side prøver at tørre ansvaret for maskinens sikkerhed af på brugeren, og på den anden side ikke kan tilbyde et alternativ.

Og hvis vi så endelig vender tilbage til det at computere slet ikke er så simple som det postuleres, og at der er mange der har problemer med at betjene dem på sikker måde, så skriger det til himlen at man samtidig er ved at ommøblere kommunikationen med det offentlige så der ikke er anden vej.

Den er helt, helt gal.

Nem ID-systemet er bygget op på, at man som bruger med sit lille papkort først pænt skal identificere sig over for "Systemet", som derefter accepterer een, hvis man ellers ikke har været alt for fummelfingeret. Og hvis "Systemet" så viser sig at være falsk på den ene eller anden måde er det bare dyrt og ærgerligt - og anledning til et par kærkomne avisnyheder i agurketiden.
Da talentmassen i kriminelle kredse absolut ikke bør undervurderes, vil en fastholdelse af denne fast etablerede tankegang om brugerens høflige banken på slotsporten i den traditionelle eensidige kommunikationsretning utvivlsomt blive årsag til endnu flere og endny mere raffinerede phishingmetoder - med tilhørende ærgelser og trakasserier om hvis skyld hvad er.
Hvis man nu var parat til at vende tankegangen lidt om, kunne en løsning være, at der suppleres med, at "Sytstemet" i visse situationer også skal identificere sig over for brugeren. Dette kan ske ved at man fra sit papkort, som man må formode at have i sin varetægt under processen, indtaster en tilfældig af de 4-cifrede koder, hvorefter systemet gerne skulle returnere den korrekte tilsvarende 6-cifrede ditto.
Bøvlet? Ja, selvfølgelig, men hvis det opleves for bøvlet, kunne Tur-Retur Nem-ID muligvis begrænses til kun at blive afviklet ved penge/værdi-overførsler, dog med reduceret sikkerhed til følge. Ved brug af den lille nummerviser, skal der tilsvarende bare dukke en korrekt 6-cifret kode op på skærmen, som svarer til næste tryk på gummiknappaen.

Mikael Ibsen

Ja - Svenskerne og tyskerne har noget der er væsentligt tættere på et sådant - hvor netop de angreb vi ser her, ihvertfald ikke ville være mulige:
http://www.version2.dk/blog/problemet-med-nemids-generelle-sikkerhed-43480

Og bemærk lige at selvom bankerne så sætter en SMS bekræftigelse på bankoverførsler - så hjælper det mig fandme ikke meget, når nogen beslutter sig for at overdrage mit hus til en anden, flytte min adresse eller noget af alt det andet som NemID kan bruges til hvis man har slået "signatur"-delen til (hvilket jeg absolut IKKE har).

Istedet for et chipkort, foretrækker jeg dog en løsning a la pico idéen : http://www.version2.dk/blog/hvis-danmark-var-it-foregangsland-18609

Jeg bor i Norge, og her har man et tilsvarende system med en gratis kodebrikke i stedet for det danske papkort. Inde i netbanken skal man bruge en ny kode, for hver enkelt transaktion, og ikke som i DK kun ved login. Derfor er det norske system mere sikkert end det danske.

@Flemming Hansen: Jeg køber altså ikke den med bilerne. Jeg syntes ikke at den holder. En bil er (ikke endnu) koblet på et net hvor den kan gøre ting som føreren/ejeren ikke vil have. En bil er ikke propfyldt med teknologi der tilalder den at udføre sin primære opgave uden opsyn.

'den kloge narrer den mindre kloge,' Ja, i det lange løb tror jeg at folk kun kan lære når de får en dårlig oplevelse. Men de skal først opleve et tyveri af deres netbankmidler eller et identitetstyveri før de ændrer adfærd.

Min pointe er, at jeg hvis vi skal have en snak om hvad der er 'sikkert' eller 'godt' design, hvorfor lader det så til at vi bevidst overvurderer brugerenes evner?

@Christian Nobel: Det er ét af problemerne. Vi har 'solgt' almindelige brugere på at det er nemt og sikkert, men realiteten er, at det er brugeren selv der sætter niveauet.

Jeg har f.eks undret mig over at man overhovedet har overvejet ét log in til samtlige væsentlige data - bank og offentlige sider. Det er hele konceptet i nemID ja, men alligevel... Én nøgle til alt virker som et meget fristende mål for en nysgerrig og/eller tyvagtig teknisk dygtig person.

Plejer det ikke at være sådan at på computere der har behov for antivirus programmer og den slags, så fungerer disse programmer ud fra en viden om kendte trusler?

Hvis der skal reageres mod malwaren kræver det vel at den er kendt - og i så fald må der vel være tale om en offentlig kendt variant.

Spørgsmålet er hvilken?

Nu har jeg læst alle jeres dejlige kommentarer, og jeg forstår stadigvæk ikke en lille detalje:

Hvis hackerne havde en sideløbende (anden) session end brugeren, hvordan kunne de så arbejde med samme usr + pwd + nøgle?

Er det fordi de, efter brugeren har logget ind i Danske Netbank, har haft hans usr + pwd og så har etableret deres egen nemid session, og herefter vist et falsk popupvindue til brugeren med den nøgle, de faktisk blev afkrævet af nemid. For man kan vel ikke bruge samme nøgle to gange, eller for den sags skyld vide hvilken nøgle nemid vil afkræve næste gang.

I øvrigt er det da MEGA FAIL af Danske Bank, at man kan lave overførsler uden igen at autorisere sig med en nemid nøgle. Havde det gjort en forskel?

Som jeg har opfattet det som "amatør":

Offeret logger ind i netbanken

Snydetampen får besked om det af trojaneren og ved/får oplyst bankens navn/sideadressen samt brugernavn og adgangskode.

Snydetampen kan herefter lave en ny forbindelse til banken og starte login med brugernavn og adgangskode.

Når snydetampen bliver bedt om at indtaste det 6-cifrede nummer sender snydetampen en forespørgsel (falsk NemID-vindue) til offeret og beder om indtastning af det manglende nummer.

Offeret indtster det ønskede nummer i snydetampens falske NemID vindue - husk at banken/NemID ikke kan se at snydetampen er en falsk person da brugernavn og kode ved starten af opkaldet jo er korrekt. Derfor findes det 4-cifrede tal jo på offerets papkort!

Snydtampen modtager offerets seneste indtastede nøgle og indtaster det i snyedetampens dialog med banken og så er snydetampen inde på offerets konti.

Bekræftelse af overførsler sker ved mange (alle?) banker, herunder Sydbank, kun ved brug af adgangskoden som snydetampen jo har.

Offeret kunne have undgået det hvis vedkommende havde studset over det ekstra NemID prompt for nøgle, og undladt at indtaste den anden nøgle. Muligvis ville jeg have studset over det og ikke røget i fælden - men jeg er desværre ikke sikker, for en gang imellem kløjs NemID i det og brager ned, eller får time-out (og nej, jeg har ikke mistet penge endnu bortset fra dem jeg selv ødsler væk).

Tilsyneladende er der ikke en nem måde at tjekke at man kun er logget ind ét sted på én gang med NemID - hvis det var muligt for NemID at se at man er logget ind mere end et sted kunne login afvises eller forbindelsen afbrydes.

Husk en bruger kan være logget på med NemID på både på Skat og Banken for at overføre f.eks en restskat, så 2 sessions er ikke suspekt i sig selv.

Og værre endnu: I stedet for at tømme en konto kunne snydetampen have pantsat hus, stjålet offerets id og lignende - - - eller offeret loggede ind på f.eks. eBoks med NemID og imedens rendte snydetampen med pengene fra netbanken.

Tak for et langt og uddybende svar, Jørgen :)

Angående det om folk kunne være faldet i, har jeg godt nok set mange påstande på det modsatte, som jeg mener, er urealistiske. Selvfølgelig ville de fleste af os kunne falde i, når man sidder med paraderne nede i et miljø, man har tillid til. Ligesom den stakkels IT-fagkyndige, der har været modig nok til at stå frem.

Folk der siger, at det havde været tilstrækkeligt med firewall, A/V, alle installerede opdateringer m.m. glemmer helt klart den væsentlige pointe, at der er tale om skræddersyet software, der har udnyttet et ukendt sikkerhedshul og en kilde der tilsyneladende var tillid til. Det er fuldkommen irrelevant om du kører Windows eller OSX – trojaneren er skrevet helt fra bunden , og da NemID kører på begge platforme, er det blot et spørgsmål om at udvikle to trojanerne, der udnytter hver deres svaghed.

Man kan jo selv prøve at skrive et "skadeligt" program fra bunden på sin computer. Der er jo ikke noget A/V der popper op, for sådan fungerer A/V programmer i sagens natur ikke. Det primære formål med trojaneren er informationsindsamling og snyderi - ikke at skade computeren mest muligt.

Men hos populærmedierne er der jo straks selvudnævnte sikkerhedseksperter (som Kira Eggers?!), der har brugt spaltepladsen til at reklamere for sit videresalg af antivirus med de sædvanlige sikkerhedsråd, der bare ikke slår til i dette tilfælde. Næh, som du selv skriver er det ikke så usædvanligt at skulle indtaste to eller flere nøgler med NemId pga. teknisk palaver, så jeg tror man skal passe på med at sige, at man ikke kunne være faldet i.