Så let kan hackere omgå NemID's hemmelige GIF-filer og tømme din netbank
LONDON: It-kriminelle skal blot betale 495 dollars for et plug-in til en populær trojaner som eksempelvis Citadel, og så kan de omgå én af de sikkerhedsforanstaltninger, som blandt andet bruges i den danske log-in-løsning NemID.
»Hvis du køber VNC-plug-in'et, så kan du få fuld kontrol over brugerens desktop og interagere med hans netbank fra hans egen pc,« fortalte sikkerhedsekspert Uri Rivner fra sikkerhedsfirmaet Biocatch i en demonstration af et moderne netbankangreb på sikkerhedskonferencen RSA Conference Europe 2012.
I forvejen skal en nystartet it-kriminel blot betale 2.399 dollars for grundpakken til Citadel-trojaneren og de tilhørende værktøjer, som gør det muligt at udføre et angreb mod eksempelvis de fleste danske netbanker.
Selve trojaneren kan spredes via drive-by-downloads, hvor brugeren blot skal besøge et inficeret websted for selv at blive inficeret gennem sikkerhedshuller i browseren, Flash eller Java. Den proces kan endda være selvforstærkende, for ofte finder de kriminelle, at der er FTP-adgang fra en inficeret pc til en webserver, som derefter kan udnyttes til at inficere endnu en hjemmeside.
Det specielle ved VNC-plug-in'et er, at det gør det muligt at udføre et man-in-the-browser-angreb fra brugerens egen pc. Det vil sige, at det fra bankens side vil se ud, som om alle transaktioner i netbanken sker fra brugerens pc.
Det undergraver én af de sikkerhedsforanstaltninger, som ellers skulle hjælpe med efterforskningen af misbrug af den danske NemID-løsning.
NemID benytter sig af en Java-applet, som Version2 tidligere har vist indeholder programfiler, der var skjult som umiddelbart harmløse GIF-billedfiler. Programfilerne bliver brugt til at lave en særlig checksum ud fra hardwaren i brugerens pc.
Nets DanID, der står bag NemID-løsningen, har ikke villet afsløre, præcis hvad oplysningerne bruges til, ud over at det skal hjælpe med at identificere, hvorfra en transaktion er blevet udført.
Version2 har tidligere dokumenteret, hvordan det er muligt at omgå to-faktorsikkerheden i NemID ved at udføre et såkaldt man-in-the-middle-angreb, hvor en hacker narrer brugeren til at forsøge at logge på sin netbank.
Hackeren opsnapper log-in-oplysningerne og viser brugeren en falsk udgave af bankens hjemmeside.
»Jeg får en besked om, at banken er ved at tjekke sine sikkerhedsindstillinger, og det kan tage lidt længere end normalt at logge på,« forklarer Uri Rivner.
I virkeligheden er hackeren i færd med at logge ind på netbanken med brugerens egne oplysninger. I det scenarie, Version2 skitserede, brugte hackeren en anden pc til angrebet, men med et plug-in som det til Citadel kan det gøres fra brugerens egen pc, uden brugeren opdager det.
»Banker, der forlader sig på at kunne genkende en bestemt enhed, står over for en ny trussel med denne type angreb,« siger Uri Rivner.
Brugeren kan snydes til at udlevere flere koder fra sin kodegenerator eller fra NemID-kortet, eller hackeren kan give brugeren en fejlmeddelelse om, at bankens hjemmeside er nede, når brugeren har udleveret sin kode.
På den måde køber hackeren sig også tid, før brugeren selv opdager, at der er flyttet penge fra kontoen.
Denne type angreb er imidlertid afhængig af, at hackeren kan ændre den hjemmeside, som brugeren får vist i browseren. Det er i dag forholdsvis trivielt for de fleste netbanker, men det er muligt at højne sikkerheden.
»En god løsning er at bruge randomization og kryptere hele netbanken. Svindlerne er afhængige af at bruge ting, der er konstante, så hvis man kan lægge noget tilfældighed ind bag kulisserne, kan man forhindre dem i at ændre siderne,« siger sikkerhedsekspert Uri Fleyder fra RSA.
Version2's rejse og deltagelse i RSA Conference Europe 2012 er betalt af RSA.
Kommentarer (26)
Det kommer vel ikke som en overraskelse for nogen. Jeg er ret sikker på at det har været oppe at vende her på version2.dk at man kunne bruge offerets egen pc til angrebet.
-
14 -
1
error.gif er en 32 bit elf fil og kan ikke indlæses af min 64 bit Linux maskine...der er ikke en 64 bit variant, så dette hardware tjek findes ikke til 64 bit Linux brugere.
-
6
-
0
... at Bjarne Corydon har besluttet sig til at NemID alligevel er tvang for alle på trods af de højtidelige løfter dengang det var nødvendigt at affeje kritik:
http://www.ft.dk/samling/20111/lovforslag/l159/spm/8/svar/883850/1119943...
-
10
-
1
error.gif er en 32 bit elf fil og kan ikke indlæses af min 64 bit Linux maskine
...medmindre du har de rette 32-bit libraries. Det er der desværre mange der har for overhovedet at kunne køre Java.
Der er iøvrigt mig bekendt heller ikke en ARM-.gif. Er der nogen, der har erfaringer med NemID på en ARM-arkitektur (eller andre, hvor gifferne med garanti ikke kan køre)?
-
0
-
0
Vil brugeren ikke kunne se, når angriberen fjernbetjener pc'en med vnc? Eller kan det ske uden at det kan ses på skærmen?
-
2
-
0
Jeg kan ikke se det her har det mindste med GIF-filerne at gøre. Det er vel ikke overraskende kode der kører på eller er forbundet til en PC der er overtaget, ikke kan skelne mellem brugerens handlinger, og et program der kører som brugeren (eller bedre).
Det er på ingen måde unikt til NemID. Meen det er naturligvis længe siden vi har tændt faklerne og samlet høtyvene sammen her på version2.
-
12
-
1
Vil brugeren ikke kunne se, når angriberen fjernbetjener pc'en med vnc? Eller kan det ske uden at det kan ses på skærmen?
Det var også min tanke - sidst jeg anvendte VNC (nogle år siden!), var det i hvert fald en "shared desktop experience". Er der kommet versioner der kan lave en ny Windowstation/session, uden den primære brugere der er logget ind opdager det?
Ellers vil det ikke være ret anvendeligt til netbank angreb, IMHO :)
-
0
-
0
Man kunne vel også reverse engineere protokollen, og så lave en modificeret applet som 100% automatiseret talte direkte med nets' servers. Så når brugeren tastede sin engangskode ind for at overføre 100kr til sin ven, eller for at logge på et spillesite, så blev der i virkeligheden overført 6000kr til en anden bankkonto. Uden at den IT-kriminelle behøvede at sidde online og lave MitM-angrebet manuelt.
Ja, java-appletten og gif-filerne er obfuskeret, men man kan ikke obfuskere appletten godt nok til at gøre det umuligt for en motiveret angriber. Der er lige så nytteløst som DRM - hvis brugeren kan se filmen på sin computer, så må han også kunne dekryptere den. Og NemID er en svag form for DRM, da den kun er baseret på software.
-
10
-
1
..men det har vel aldrig (før) været god praksis, at basere et så centralt sikkerhedssystem som nemid på et tolket programmeringssprog. Det skal sgu da skrives i RIGTIG kode, f.eks. c eller assembler. Eller jeg bare blevet for gammel?
Man kan sgu da ikke uddelegere sikkerheden til en eller anden tilfældig fortolker, lavet af et eller andet tilfældigt firma.
c eller assembler, til nød pascal, og så en app på klienten. Bøvlet? ja! sikkert? næsten!
-
0
-
10
..men det har vel aldrig (før) været god praksis, at basere et så centralt sikkerhedssystem som nemid på et tolket programmeringssprog.
Det er nu ikke noget problem, når sproget er en standard. Det virker både med Oracle's og Apache's implementering.
Der hvor det går galt er, når man baserer sådanne systemer på hjemmedesignede løsninger og ikke de åbne standarder der allerede findes. Og dernæst anvender hardware til authentication.
-
3
-
0
c eller assembler, til nød pascal, og så en app på klienten. Bøvlet? ja! sikkert? næsten!
For der har aldrig været buffer overflows, double-frees, heap corruption angreb på grund af pointer-fejl (og så videre) i nogle af de benævnte sprog, vel?
Mit favoritsprog er stadig C++ på grund af performance og fleksibilitet, men at påstå at nogle af de sprog ville have ført til en mere sikker løsning en NemID er decideret latterligt, og rammer fuldstændig ved siden af problemstillingen - at NemID er implementeret i Java har [b]intet[/b] med dets MITM-sårbarhed at gøre.
-
5
-
0
For der har aldrig været buffer overflows, double-frees, heap corruption angreb på grund af pointer-fejl (og så videre) i nogle af de benævnte sprog, vel?
Hvorfor diskuterer I det?
Måler må da for pokker være at få et offentlig signatur-system baseret på en åben standard og ikke konkret priviligeret kode leveret af et privat firma - hvad enten det så er Java, C++ eller noget andet.
-
7
-
0
Måler må da for pokker være at få et offentlig signatur-system baseret på en åben standard og ikke konkret priviligeret kode leveret af et privat firma - hvad enten det så er Java, C++ eller noget andet.
100% enig med at en åben standard (og åben kode, til national infratruktur duer security through obscurity bare ikke) er det vigtigste.
Vil dog stadig mene at native kode ikke er vejen frem... men sådan set heller ikke Java eller andet (pga. smartphones, tablets og så videre).
-
1
-
0
It-kriminelle skal blot betale 495 dollars for et plug-in til en populær trojaner som eksempelvis Citadel
IT-kriminelle betaler vel ikke for deres software...
-
1
-
1
Jeg tror desværre ikke, at Hr. og Fru Jensen læser Version 2.
Og hvis de gør det, så er det ikke sikkert, at de forstår indholdet :-(
-
0
-
1
IT-kriminelle betaler vel ikke for deres software...
Jo da, hvis de vil have supporten og opdateringer ... Jeg tror mange softwarefirmaer kunne lære af deres effektivitet indenfor malwareudvikling. Der er både pakkeløsninger, køb 3 exploits og få 2 gratis, support 24/7 på email og IRC, opdateringer i et år osv.
Hvorfor? fordi god support og kvalitet giver glade kunder som køber igen og køber mere, skræmmende enkelt og ligetil.
Gad vidst hvornår non-malware virksomheder indser dette?
-
6
-
0
eg tror desværre ikke, at Hr. og Fru Jensen læser Version 2. Og hvis de gør det, så er det ikke sikkert, at de forstår indholdet :-(
Ligemeget.
(Andre) medier og politiske dagsordner er drevet af overskrifter.
Derfor mangler der i alvorlig grad overskrifter af denne art, for at opveje den enorme mængde af pseudo-positive ditto.
Der er for mange overskrifter á lá "Success:95% vælger nemID som identifikationsform"
K
-
0
-
0
Tilføj kommentar
