Video: Så let kan kriminelle franarre dig dit NemID

Danske Banks Internetbank på PC-niveau kræver NemID allerede ved log on, og her kan systemet i videoen bruges.
Gør man imidlertid som i deres smartphone løsning og taster kun ind, når man fx skal flytte penge eller andre kritiske handlinger, får man en bekræftelse på, at man er på sin egen konto, ved at se dennes indhold (som man jo tildels kender), inden man bruger NemID koden, og dermed kan det ikke gøres med den i videoen viste metode - medmindre hackeren naturoligvis kan få overført fx alle kontodata fra banken til sin host hurtigt nok.

Video-afspilning virker ikke særligt godt på htc desire. Man kan høre stemmen, men billedet er statisk. Problemet optræder dog kun når man ser videoen i fuld skærm.

Den løsning virker for os der er paranoide nok til netop at acceptere NemID som en erstatning for bankens tidligere login-løsning, men aldrig anvender NemID andre steder.

Poiten med angrebet er netop at du som bruger af et websted der udgiver sig som Herlev-Bibliotekerne netop ikke kan være sikker på at den token du afleverer netop bliver anvendt på Herlev-Bibliotekernes websted.

Havde proceduren nu været en digital token hvorpå man indtastede domænet man forventede at man forsøgte at logge ind på, så kunne man i et vist omfang dæmme op for netop dette angreb.

Basalt set at den token der forlader ens computer består af noget så simpelt som SHA1("www.herlev-bibliotek.dk|<nem-id kodeord>|<papnøgle>"), hvor papnøglen enten er kortet som vi kender det idag eller en indbygget generator.

Og så er jeg såmend elitær nok til at afvise folk der ikke lige kan lave en simpel SHA1 sum i hovedet.

Det er rigtigt, at det ikke er en løsning alle steder, men på nogle steder som banker og måske sundhed kan det hjælpe, og det er bedre en ingenting indtil der kommer en bedre totalløsning.

Nej, problemet der er illustreret er netop uafhængigt af hvornår brugeren afkræves kodeord. Det eneste krav er at mit fake websted afkræver koder med cirka samme frekvens som den service jeg vil angribe.

Det kan kun løses ved at den kode jeg taster ind, bliver bundet til det websted jeg tror jeg taster det ind på. For eksempel ved metoden beskrevet overnfor eller ved at jeg har seperarte NemID credentials til brug for forskellige roller (netbank, sundhed, tinglysning, diverse)

Eksempel netbanken dnaskebank.dk, som er en fake. Her kan brugeren naturligvis ikke se sine kontooplysninger, og når derfor ikke frem til, hvor der skal flyttes penge og dermed bruge NemID. Andre steder er det bedre, at man først ser sine personlige data efter tradionelt logon, og kun bruger NemID ved de kritiske transaktioner efter at personlige data er verificeret. Bare en side med 'Velkommen Peter Makholm' kan hackeren ikke lave, for han ved ikke, hvad du hedder, hvis du 'bare' logger på med fx et tal som logon ID. Logger du ind med en mailadresse kan han søge sig frem i de lister, der cirkulerer på nettet. Er logon ID personnummeret, skal han have adgang til en personnummerliste database, eller kan han ikke gøre det. Altså 2 trin:
1. Log på normalt og få bekræftet din identitet, fx ved navn eller andre personlige data.
2. NemID procedure.
Evt. kan ID bekræftelsen stå på NemID indtastningsbilledet.

Stadig bare en forbedring af sikkerheden.

Lad mig gentage min pointe fra min første kommentar: Det vil løse problemet for os der kun bruger NemID på vores netbank.

Det vil ikke løse problemet der velvilligt bruger deres NemID på mere end en service. Hvis bare én af de services jeg bruger NemID på er kompromiteret, så kan en token misbruges på alle services der bruger NemID. Selv på services jeg end ikke vidste eksisterede.

Hvis du kan finde på at indtaste din NemID kode på http://www.herlev-bibliotek.dk/ så kan jeg bruge den til at forsøge at logge på danskebank.dk. Det kræver ikke at jeg kan fake de personoplysninger som Danske Bank kunen finde på at vise om dig, kun de oplysninger som Herlev Bibliotekerne viser om dig før login.

Hvis angriberen (eller hans robot) sidder klar mens angrebet foregår, kan han bruge de fiskede NemID-oplysningerne til at logge ind på netbanken samtidig og vise offeret de samme oplysninger som den rigtige netbank ville have vist.

Hvorfor ikke sende en kontrakoden via en sekundær kanal, fx ens mobiltelefon via en sms? Det er hvis noget af det første vi opdager, hvis andre har beriget sig vores mobiltelefon – og den skal vi nok få blokeret???
Lars Hallum

Hvorfor ikke bare lave den rigtige løsning første gang i stedet for dette lappe-værk af noget gedigent klyt?

I den aktuelle papirudgave af ingeniøren er det tydeligt, at DanID er meget motiveret af brugervenligheden - i forhold til sikkerheden. Hvis min bankkonto lænses af kriminelle og jeg har handlet i nogenlunde god tro, holdes jeg personligt/direkte skadesløs. Banken erstatter det tabte. Hvad gør banken/bankerne så? Sender de ikke bare regningen videre til os kunder i form af gebyr, højere renter på lån, og lignende? Og har de så nogen som helst motivation for at gøre mere for sikkerheden end, hvad der netop skal til for at forhindre f.eks. en debat om, hvem der i virkeligheden betaler for vores/deres tab ved den kritisable sikkerhed? Altså en debat om bankernes moral/dobbeltmoral!

(Bankens motivation for at benytte online banking er omkostningsoptimering og besparelser i form af afskediget personale og lukning af fysiske afdelinger, der ikke er behov for, når vi alle benytter online systemerne. Hvilket igen er motiveret af, at investorer/aktieejere - i øvrigt uden nogen som helst personlig eller faglig interesse i bankdrift - skal have/kræver maksimalt afkast af deres investeringer. Og de sidste par års (endnu ikke overståede) finanskrise har jo vist, at man kan skræmme en regering og befolkningen til at synes, at 'de stakkels banker skal da lige have en redningspakke, når de nu ikke selv kan klare konsekvenserne af deres fejlagtige dispositioner'.)

Der er ingen tvivl om, at bankerne er udsat for pres/ønsker om et brugervenligt netbank system. Det er også i Danmark et politisk mål, at gøre 'hvadsomhelt' digitalt. Og masser af it-profesionelle har også denne holdning (i fritiden). Samtidig er rigtig mange (måske de fleste?) it-brugere bare ikke gearede til at skulle håndtere it på en måde, som f.eks. it-professionelle (i arbejdstiden) vil opfatte som sikker. Dansk IT påstod i en undersøgelsesrapport for et par år siden, at 40% af danskerne var, hvad de kaldte "IT-analfabeter". Så hvis f.eks. op mod 40% af alle netbank-brugere er lette ofre for man-in-the-middle angreb, er det faktisk en 'forretningsmodel' med gode afkastmuligheder for den kriminelle verden. Og hvis bankkunderne alligevel i sidste ende betaler gildet, kan bankerne tillade sig at fastholde fokus på brugervenligheden.

Og pludselig kan det være svært at se, at de kriminelle og bankerne skulle have modsatrettede interesser.

Du glemmer at NemID er andet en bare netbank. NemID er hele det digitale Danmark. Og dér fejler konceptet 100%.

Det burde være muligt for en borger at forbyde muligheden for at udtrække personlige oplysninger ved hjælp af NemID. Det er nok ikke alle danskere, der f.eks. kender sundhed.dk!

Nu må det nyvalgte Folketing træde i karakter og ophæve bankernes monopol på login, da det ikke er i borgerens interesse!

NemID artikler, blandt andet her på Version2, giver ofte anledning til en masse kommentarer. Kommentarer som spænder meget vidt. Når man, som jeg synes det er underholdende at følge med i disse kommentarer omkring NemID og en enkelt gang eller to selv kommer med et lille pip, er der et generelt mønster i alle disse kommentarer.

Paletten af kommentarer er spænder ofte alle regnbuens farver, hvor følelser, saglighed, kompetancer og interesser ikke er særlig gennemskuelige.

Dog er tendensen ofte både fra både journalister og de som kommenterer at NemID er en rigtig dårlig løsning for os alle.

Så her er mit lille indspark:

Hvorfor laver man ikke i Version2 et site, hvis formål er at udforme den "bedste sikkerhedsløsning til hele det danske folk".

Site kunne være som et wiki site, hvor alle kunne komme med kommentarer, forslag, forbedringer etc., men at et lille fagligt kompatent redaktør team - valgt at Version2 og bidragsyderne, skulle sørge for at sammenholde alle forslag og holde dokumentationen opdateret. Version2 kunne også invitere danske og udenlandske sikkerhedsguruer til at bidrage.

Efter etc. 6 måneder ville man så have "folkets" sikkerhedsløsning, frit tilgængelig og den bedste i hele verden.

Denne løsning, selvfølgelig holdt opdateret, ville kunne bruges både politisk, men også som en god guideline til virksomheder og ligende, som står for at skal opgradere deres sikkerhedsløsning, eller startups, som måtte ønske at implementere løsningen.

Så ideen er hermed givet frit videre - det kunne være fedt at se hvad resultatet blev...

@Jesper Poulsen
Du har selvfølgelig ret i at det er alt muligt andet også!

Dækker bankerne også dit tab hvis din NemID misbruges til ikke-bank-relaterede formål?

Hvordan er det her forskelligt fra en alm. RSA token? Kan den ikke brydes på samme måde?
Er den eneste forskel ikke at NemID bliver brugt flere steder?
Ved godt at RSA er tidsbaseret men med den hastighed der her vises er det jo ikke noget problem.

En RSA token giver end-to-end-kryptering med en nøgle der ikke kan udlæses af token (det er token der laver krypteringen). NemID er ikke end-to-end-krypteret.

Angrebet der er demonstreret af videoen afhænger ikke af hvilken type enhed brugeren aflæser koden på. Papkortet og RSA SecurID tokens er ens for så vidt dette angreb angår.

Som du selv er inde på er der et timing issue med RSA tokens, men en tilsvarende tidsafhængighed kunne sagtens implementeres rent server-side med papkortet.

En RSA token hvor man aflæser en tilsvarende sekscifret talkode giver ikke end-to-end kryptering. Og iøvrigt indgår koden ikke i en krypterings-kontekst og derfor kan jeg ikke se hvad du mener med 'end-to-end kryptering'.

@ Peter Makholm Det var nemlig det jeg tænkte, den eneste fordel RSA har her er tiden hvori den kriminelle har til at indtaste osv.

Usikkerheden i nemID består så i at den bliver brugt på så mange sites, at det bliver nemmere at narre Hr. Jensen til at det er Sdr. Ydby bibliotek han besøger.

Dette kunne så løses med en fælles login, så man i det mindste blev vandt til den samme URL