DanID afviser kritikken: »Et teoretisk scenarie«

"Nu er dette jo ikke meget anderledes end hvad man kan med et cpr-nummer og en forfalsket underskrift i den analoge verden."

Der skal man dog ofte møde personligt op. Det gør det ikke umuligt, men dog væsentligt mere besværligt.

"Men man er nødt til at sætte dette misbrug i forhold til hvad det koster at udvikle en mere sikker løsning, som almindelige folk er i stand til at anvende."

En mere sikker løsning findes allerede. Hvad der evt. skal ske med den for at man kan opnå at "almindelige folk" kan bruge den, kan selvfølgelig have en pris.

Det er dog sandsynligt at det vil være billigere for samfundet.

For DanID er det en helt anden sag. Den monopolstilling som man har opnået med NemID har jo enorm værdi for DanID. En pris som samfundet - du og jeg - kommer til at betale.

Hvem husker ikke manden som blev dømt for bedrageri fordi hans bil var stjålet men han havde begge nøgler til den.

Forhandleren afviste kategorisk at bilen kunne startes uden nøgle og det var først da et forbrugerprogram besøgte ham den fedladne låsesmed at han viste dem hvor let det var at snyde startspærren at sagen faldt.

Hvordan kompenserer man forresten en mand for at han har fået franarret en kode som tyven har brugt til at ændre hans postadresse og bestille et nyt NemID kort til den nye adresse.

Når tyven så har kortet så kan han bestille nyt pas, nyt kørekort osv osv i den persons navn, gå ind og læse alle hans lægejournaler osv.

Nå ja og før en eller anden nød siger "Så lader man da bare være med at aktivere sit OCES certifikat så husk lige at det aktiverer man ved at besøge en hjemmeside og taste en NEMID KODE !!

Ergo kan man som NemID bruger aldrig beskytte sig mod at folk får fat i ALT information om en hvis de får tiltusket sig dine NemID koder for de kan selv aktivere det og du kan ikke få din mulighed for OCES permanent disabled hos DanID.

Latterligt er hvad det er...

De kunne jo bare kigge på source ip og se om den kommer derfra hvor de forventer, kommer den så fra en ikke normal ip fx udenlandsk eller ny udbyder smider man en advarsel til brugeren eller kræver mere verifikation.

Det er egenligt sjovt at online spil firmaerne er langt foran bankerne på dette punkt.

De har i forvejen tilføjet et tjek som giver fejl hvis http og https ikke kommer fra samme ip.

ville være hvis man skulle taste en OTP chalenge ind for at endeligt overføre penge eller ændre addressen... for yes det her kan lykkes en gang at få et OTP til login...

Men hvad videoen IKKE forklare er hvordan man får den samme person til at gå i fælden IGEN for at få det handligs bekræftende OTP... og helst indenfor tidsrammen før man bliver automat loget ud af banksystemet...

Så kan man lave en kø af bankoverførsler (månedens girokort) og derefter fyre dem af med et OTP til sidst.

At fange et nr er ikke så svært men for at fange 2 OTP chalenges fra samme nøglekort indenfor auto udlognings tidgrænsen er meget mere svært...

Er det bare mig der syntes at det virker underligt at sige at et angreb der har været udført i praksis er et teoretisk angreb.

Retorikken fra DanId viser med al tydelighed, at har man som udviklingsvirksomhed vundet en opgave med meget stor politisk vægt/prestige og hvor en nedlæggelse af projektet kan betyde kritik af opgavestillerne fra Rigsrevision og Folketing - så sidder man ganske sikkert i sadlen - uanset kvaliteten af det udførte arbejde.

Se blot på Rejsekortet eller måske IC4!

Den politiske beskyttelse af de tre ovennævnte projekter er desværre også et stærkt symptom, på en af de væsentligste årsager til at det går så helt usandsynlig dårligt for dansk økonomi og vækst.

Der er INGEN af de folkevalgte med indflydelse, der i de sidste 10-15 år har taget reelt ansvar - en kartoffelkur eller vi skal bare arbejde 12 minutter til - eller betale lidt mere i grønne afgifter, så bliver alting godt!

Mvh Lars plbrake.dk

Hvis man er kriminel automatisere man vel processen og får den til at logge ind på nemid.nu og sende et nyt nøglekort til en eller anden postbox.... Når man så har et nøgle kort er der en manuel process med at man i ro og mad logge ind på https://www.nemkonto.dk og finde ud af brugerens nem konto nummer og reg nummer... derefter finder man den den korrekte bank ud fra reg nummeret og tømmer så brugerens konto via netbank.

Jeg begriber simpelthen ikke hvordan man/vi kan acceptere den arrogance DanID ligger for dagen hver ENESTE gang de bliver mødt med kritik - Uanset om det drejer sig om overskridelse af budgettet og tidsplan, dårlig sikkerhed eller noget andet. Det må simpelthen til at stoppe NU!

DanID, i er lallende inkompetente og det er på tide i tager jeres job seriøst - Lige nu udviser i en kompetence på niveau med en fireårig der sidder og spiser bussemænd!

Det her angreb er uhyr nemt og det er irellevant at det ikke kan automatiseres - Når det angreb vil give direkte adgang til folks konti så vil der være MEGET gode penge i det ved at have en kriminel til at sidde og håndtere de angreb live. I øvrigt er det noget forbandet ævl at arbejdet er spildt hvis en side lukkes - Det tager ikke mange sekunder for "hackeren" at købe et nyt domæne og uploade hjemmesiden dertil.

Nu må den lallende inkompetence sku ophøre hvis DanID fortsat skal have en så central rolle i login til banker og offentlige myndigheder. Alene det faktum at de ikke formår at stille en elektronisk nøgle app til rådighed uden omkostninger og at det hele er baseret på noget så resourcekrævende som tryk og udsendelse af papkort er jo idioti af værste skuffe!

Kan vi ikke bare én gang for alle konkludere at de har været inkompente fra dag ét og at de bør smides på porten så hurtigt som muligt og så få erstattet dem med en RIGTIG signatur løsning der ikke bestyrres af et statsfinansieret monopol som ikke kan skelne et sikkerhedsproblem fra en pressemeddelelse!

'Det scenarie, Ingeniøren har konstrueret i videoen, er kendt som 'typosquatting', her kombineret med man-in-the-middle. Det er et teoretisk scenarie, der ikke er ført ud i livet i dag."

Jeg tror kun vi har set toppen af isbjerget, de første spæde testing-the-water probes. Der er proof of concept, så skal der bare udvikles nogle automatiseringsværktøjer til de mest udbredte banker, evt. lidt reverse engineering af nemid appleten hvis det endnu ikke er gjort... Og så skal der forberedes kampagne.

Det sidste bliver at hverve en god samling naive danskere til mulddyr brug, og så er den hjemme.

Jeg tror at hackere er væsentlig smartere end at sidde og lave manuelt lytte arbejde. Nedenstående er et link til en DEFCON video, hvor det vises hvorledes enhver SSL forbindelse og ethvert certifikat kan fakes uden at den angrebne har en chance - skræmmende, men det viser bare hvor mange muligheder der findes idag, når man bare tænker lidt uden for boksen.

https://www.youtube.com/watch?v=ibF36Yyeehw&sns=em

Om hackere så i stor stil, har lyst, behov for at lave angreb på danske bankkunder, er så noget helt andet. Dog kan man se en trend hvor det ikke nødvendigvis er den gamle definition af hackere, somudfører disse angreb, men at det i høj grad er organiseret krimininalitet, hvor 'anything goes'.

Den typiske it-kriminelle går jo efter en model, hvor deres software laver arbejdet, og det I viser her, kræver ægte menneskelig indsats på dansk, 7/24 overvågning, og dertil en stor portion held for at blive til penge. (...) Lige så snart den it-kriminelles 'look-alike'-hjemmeside bliver opdaget, bliver den desuden lukket, og arbejdet med at bygge den op er spildt.

• At lave en fake-hjemmeside kræver at du kopierer indholdet fra den rigtige side med nogle ændringer for login. Det kan formentlig automatiseres med nogle scripts i høj nok grad til at man løbende kan åbne nye fake-hjemmesider, som de gamle bliver lukket.
• At sende NemID-oplysninger frem og tilbage mellem fake-hjemmesiden og den rigtige side, som den kriminelle prøver at tilgå, kan formentlig også automatiseres med noget screen capture / OCR e.lign. Især fordi NemID-applet'en ser meget ens ud fra gang til gang.

Det som mangler, er at automatisk identificere hvilken service, som skal hackes. Det er den svære del. Forskellige folk har forskellige banker. Der er selvfølgelig services, f.eks. Folkeregisteret, der er ens for alle. Men ellers kan den kriminelle skyde med spredhagl og prøve sig med Danske Bank, Nordea eller noget andet udbredt.

Jeg synes det er lidt skræmmende, men nu har vi jo også hørt skræmmehistorierne i årevis, så det er ikke en stor overraskelse.

Man kan bruge metoden til at ændre folkeregisteradresse og derefter få tilsendt et nyt NemID kort. Der findes forskellige metoder til at modtage post på falske adresse. Jeg ved ikke om man ligefrem vil kunne benytte en udenlandsk adresse.

Herefter har hackeren mulighed for overføre penge som en række mindre transaktioner. Jeg vil tro at han også har mulighed for at omgå de andre checks i netbanken ved at ændre mobil nummer med mere. Han har ubegrænsede logins med NemID.

De gamle filbaserede nøgler til netbankerne var for nemme at stjæle med malware. NemID er næsten ligeså nem. Man behøver ikke noget typosquat domæne eller lignende hvis man er lykkedes med at installere malware på offerets computer. Malwaren skal blot detektere en NemID login og udskifte den med en falsk version.

Det er vel ikke mere "teoretisk" end at det var den måde som bank-hackeren "Arthur" fik fat i de rigtige OTP koder på. Det er standard textbook metoden til at angribe OTP koder.

Hvis de it-kriminelle ville arbejde denne vej, er der muligheder nok allerede.