DanID afviser kritikken: »Et teoretisk scenarie«

NemID kan hackes med et teknisk ret simpelt angreb. Her bringer vi DanID's kommentar til Ingeniørens videodemonstration og til kritikken fra eksperter.

NemID-leverandøren DanID har efter at have set Ingeniørens videodemonstration og efter at have været i dialog med blandt andet banksektoren og Digitaliseringsstyrelsen valg at afgive et skriftligt svar. Svaret vedrører dels indholdet af videoen og dels kritik fra de to eksperter, som Ingeniøren har talt med.

Se også: Video: Så let kan kriminelle franarre dig dit NemID

Læs også: Pærelet at narre NemID fra dig med klonede hjemmesider

DanID har ønsket, at svaret bringes i sin fulde længde, hvilket vi har valgt at efterkomme.

Det kan lade sig gøre

Svaret, der har kommunikationschef i DanID Jette Knudsen som afsender, lyder som følger:

'Det scenarie, Ingeniøren har konstrueret i videoen, er kendt som 'typosquatting', her kombineret med man-in-the-middle. Det er et teoretisk scenarie, der ikke er ført ud i livet i dag. Denne type angreb kan godt lade sig gøre, men spørgsmålet er, om det er noget, der vil få en reel udbredelse. Den typiske it-kriminelle går jo efter en model, hvor deres software laver arbejdet, og det I viser her, kræver ægte menneskelig indsats på dansk, 7/24 overvågning, og dertil en stor portion held for at blive til penge.

Hvis vi følger banksporet, så skal den it-kriminelle jo have held til at aflure en person, der er kunde i den bank, de har valgt at logge ind hos, og som har penge på kontoen, og desuden skal han kunne omgå de misbrugsmekanismer, der ligger i selve netbanken. Hvis vi følger sporet om afluring af personfølsomme oplysninger, så skal den it-kriminelle have held til at aflure en person med kompromitterende materiale i de tilgængelige oplysninger, som så igen skal bruges f.eks. til afpresning. Altså kriminalitet, der lettere kunne lade sig gøre i den analoge verden. Lige så snart den it-kriminelles 'look-alike'-hjemmeside bliver opdaget, bliver den desuden lukket, og arbejdet med at bygge den op er spildt.

Når det så er sagt, så bliver de it-kriminelle hele tiden dygtigere og dygtigere, og derfor er overvågning og vurdering af trusselsbilledet en vigtig opgave. Phishingsagen fra slutningen af september har skærpet fokus på fraud-detection yderligere, og vi har forskellige muligheder for at imødegå angreb. Det gælder også for det scenarie, at den it-kriminelle bygger en egentlig forretning op, som giver sig ud for at være legal modtager af NemID. Vi har mulighed for at imødegå denne trussel, men ikke uden at det går ud over brugeroplevelsen. Det er samme forhold, der gør sig gældende for ideen om pop-up-vinduer med kontrolindtastninger osv. Det er værktøjer, der kan tages i brug, men det skal afvejes over for hensynet til brugeroplevelsen, og holdes op mod trusselsbilledet. For ikke at lette vejen for de it-kriminelle kan vi ikke uddybe hverken, hvad vi gør nu, eller hvordan vi vil gøre fremover.

En stor udbredelse af NemID er ønskelig både i den private og i den offentlige sektor. At der kommer endnu flere nye web-steder, der tager imod NemID vil næppe gøre nogen forskel på, hvor attraktiv typosquatting/man-in-the-middle-kombinationen er i de it-kriminelles øjne, eftersom der allerede er flere hundrede steder, der tager imod NemID. Hvis de it-kriminelle ville arbejde denne vej, er der muligheder nok allerede.'

Denne historie er fra Version2's søstermedie Ingeniørens trykte avis, der udkommer fredag

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (28)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Lund

Det er vel ikke mere "teoretisk" end at det var den måde som bank-hackeren "Arthur" fik fat i de rigtige OTP koder på. Det er standard textbook metoden til at angribe OTP koder.

  • 16
  • 0
Baldur Norddahl

Man kan bruge metoden til at ændre folkeregisteradresse og derefter få tilsendt et nyt NemID kort. Der findes forskellige metoder til at modtage post på falske adresse. Jeg ved ikke om man ligefrem vil kunne benytte en udenlandsk adresse.

Herefter har hackeren mulighed for overføre penge som en række mindre transaktioner. Jeg vil tro at han også har mulighed for at omgå de andre checks i netbanken ved at ændre mobil nummer med mere. Han har ubegrænsede logins med NemID.


De gamle filbaserede nøgler til netbankerne var for nemme at stjæle med malware. NemID er næsten ligeså nem. Man behøver ikke noget typosquat domæne eller lignende hvis man er lykkedes med at installere malware på offerets computer. Malwaren skal blot detektere en NemID login og udskifte den med en falsk version.

  • 2
  • 0
Bjarke Walling

Den typiske it-kriminelle går jo efter en model, hvor deres software laver arbejdet, og det I viser her, kræver ægte menneskelig indsats på dansk, 7/24 overvågning, og dertil en stor portion held for at blive til penge. (...) Lige så snart den it-kriminelles 'look-alike'-hjemmeside bliver opdaget, bliver den desuden lukket, og arbejdet med at bygge den op er spildt.

Spørgsmålet er vel hvor skalerbart et sådant angreb er. Jeg kan forestille mig at en del af arbejdet kan automatiseres.

  • At lave en fake-hjemmeside kræver at du kopierer indholdet fra den rigtige side med nogle ændringer for login. Det kan formentlig automatiseres med nogle scripts i høj nok grad til at man løbende kan åbne nye fake-hjemmesider, som de gamle bliver lukket.
  • At sende NemID-oplysninger frem og tilbage mellem fake-hjemmesiden og den rigtige side, som den kriminelle prøver at tilgå, kan formentlig også automatiseres med noget screen capture / OCR e.lign. Især fordi NemID-applet'en ser meget ens ud fra gang til gang.

Det som mangler, er at automatisk identificere hvilken service, som skal hackes. Det er den svære del. Forskellige folk har forskellige banker. Der er selvfølgelig services, f.eks. Folkeregisteret, der er ens for alle. Men ellers kan den kriminelle skyde med spredhagl og prøve sig med Danske Bank, Nordea eller noget andet udbredt.

Jeg synes det er lidt skræmmende, men nu har vi jo også hørt skræmmehistorierne i årevis, så det er ikke en stor overraskelse.

  • 7
  • 0
Jon Linde

Jeg er faktisk lidt fornærmet.
De burde i det mindste komme med et reelt forsøg på en bortforklaring.

Der er SÅ meget materiale i deres svar som man kan skyde dem ned med, at jeg slet ikke ved hvor jeg skal begynde. Jeg får næsten helt stress :-P

"Når det så er sagt, så bliver de it-kriminelle hele tiden dygtigere og dygtigere, og derfor er overvågning og vurdering af trusselsbilledet en vigtig opgave."
...Så syntes jeg at I skulle begynde på det, Kære NemID...

  • 9
  • 0
Anders Hybertz

Jeg tror at hackere er væsentlig smartere end at sidde og lave manuelt lytte arbejde. Nedenstående er et link til en DEFCON video, hvor det vises hvorledes enhver SSL forbindelse og ethvert certifikat kan fakes uden at den angrebne har en chance - skræmmende, men det viser bare hvor mange muligheder der findes idag, når man bare tænker lidt uden for boksen.

http://www.youtube.com/watch?v=ibF36Yyeehw&sns=em

Om hackere så i stor stil, har lyst, behov for at lave angreb på danske bankkunder, er så noget helt andet. Dog kan man se en trend hvor det ikke nødvendigvis er den gamle definition af hackere, somudfører disse angreb, men at det i høj grad er organiseret krimininalitet, hvor 'anything goes'.

  • 2
  • 0
Peter Makholm Blogger

Jeg tror at vi bør skillinge sammen til at give DanID's kommunikationschef en Nudansk Ordbog:

teoretisk [teo'ræj'tisk] adj. - , -e
1. som er baseret på teori og ikke praksis != PRAKTISK.
* teoretisk set el rent teoretisk i teorien men ikke nødvendigvis i praksis.

Version2 viser et angreb der rent faktisk virker, men kun få antagelser om brugesmønstrene. Det kræver ikke en kompromitering af resurser kontroleret af DanID eller af offentlige institutioner. Det kræver bare at borgeren ikke helt kan huske hostnavnet for ens bibliotek og iøvrigt ikke er paranoid nok til at tjekke certifikater for java applets.

Jeg er ikke sikker på jeg kan huske urlen til mit lokale bibliotek, og jeg opfatter mig som mere paranoid end gennemsnittet når det kommer til NemID og jeg er ikek sikker på at jeg i alle tilfælde vil opdage et angreb.

  • 9
  • 0
Sune Marcher

'Det scenarie, Ingeniøren har konstrueret i videoen, er kendt som 'typosquatting', her kombineret med man-in-the-middle. Det er et teoretisk scenarie, der ikke er ført ud i livet i dag."

hvad var det så der blev anvendt under nordea-angrebet?

Jeg tror kun vi har set toppen af isbjerget, de første spæde testing-the-water probes. Der er proof of concept, så skal der bare udvikles nogle automatiseringsværktøjer til de mest udbredte banker, evt. lidt reverse engineering af nemid appleten hvis det endnu ikke er gjort... Og så skal der forberedes kampagne.

Det sidste bliver at hverve en god samling naive danskere til mulddyr brug, og så er den hjemme.

  • 8
  • 0
Jon Linde

"Det behøver de ikke... det gør USA for dem. Alle internationale transaktioner skal godkendes USA."

Transaktionerne, ja - men jeg henviste til trusselsbilledet som de tydeligvis ikke overvåger...

  • 2
  • 0
Michael Lykke

Jeg begriber simpelthen ikke hvordan man/vi kan acceptere den arrogance DanID ligger for dagen hver ENESTE gang de bliver mødt med kritik - Uanset om det drejer sig om overskridelse af budgettet og tidsplan, dårlig sikkerhed eller noget andet.
Det må simpelthen til at stoppe NU!

DanID, i er lallende inkompetente og det er på tide i tager jeres job seriøst - Lige nu udviser i en kompetence på niveau med en fireårig der sidder og spiser bussemænd!

Det her angreb er uhyr nemt og det er irellevant at det ikke kan automatiseres - Når det angreb vil give direkte adgang til folks konti så vil der være MEGET gode penge i det ved at have en kriminel til at sidde og håndtere de angreb live.
I øvrigt er det noget forbandet ævl at arbejdet er spildt hvis en side lukkes - Det tager ikke mange sekunder for "hackeren" at købe et nyt domæne og uploade hjemmesiden dertil.

Nu må den lallende inkompetence sku ophøre hvis DanID fortsat skal have en så central rolle i login til banker og offentlige myndigheder.
Alene det faktum at de ikke formår at stille en elektronisk nøgle app til rådighed uden omkostninger og at det hele er baseret på noget så resourcekrævende som tryk og udsendelse af papkort er jo idioti af værste skuffe!

Kan vi ikke bare én gang for alle konkludere at de har været inkompente fra dag ét og at de bør smides på porten så hurtigt som muligt og så få erstattet dem med en RIGTIG signatur løsning der ikke bestyrres af et statsfinansieret monopol som ikke kan skelne et sikkerhedsproblem fra en pressemeddelelse!

  • 11
  • 0
Jens Schumacher

Hvis man er kriminel automatisere man vel processen og får den til at logge ind på nemid.nu og sende et nyt nøglekort til en eller anden postbox....
Når man så har et nøgle kort er der en manuel process med at man i ro og mad logge ind på http://www.nemkonto.dk og finde ud af brugerens nem konto nummer og reg nummer... derefter finder man den den korrekte bank ud fra reg nummeret og tømmer så brugerens konto via netbank.

  • 5
  • 0
Lars Christensen

Retorikken fra DanId viser med al tydelighed, at har man som udviklingsvirksomhed vundet en opgave med meget stor politisk vægt/prestige og hvor en nedlæggelse af projektet kan betyde kritik af opgavestillerne fra Rigsrevision og Folketing - så sidder man ganske sikkert i sadlen - uanset kvaliteten af det udførte arbejde.

Se blot på Rejsekortet eller måske IC4!

Den politiske beskyttelse af de tre ovennævnte projekter er desværre også et stærkt symptom, på en af de væsentligste årsager til at det går så helt usandsynlig dårligt for dansk økonomi og vækst.

Der er INGEN af de folkevalgte med indflydelse, der i de sidste 10-15 år har taget reelt ansvar - en kartoffelkur eller vi skal bare arbejde 12 minutter til - eller betale lidt mere i grønne afgifter, så bliver alting godt!

Mvh Lars plbrake.dk

  • 6
  • 0
Jakob Damkjær

ville være hvis man skulle taste en OTP chalenge ind for at endeligt overføre penge eller ændre addressen... for yes det her kan lykkes en gang at få et OTP til login...

Men hvad videoen IKKE forklare er hvordan man får den samme person til at gå i fælden IGEN for at få det handligs bekræftende OTP... og helst indenfor tidsrammen før man bliver automat loget ud af banksystemet...

Så kan man lave en kø af bankoverførsler (månedens girokort) og derefter fyre dem af med et OTP til sidst.

At fange et nr er ikke så svært men for at fange 2 OTP chalenges fra samme nøglekort indenfor auto udlognings tidgrænsen er meget mere svært...

  • 0
  • 1
Morten Birkelund

De kunne jo bare kigge på source ip og se om den kommer derfra hvor de forventer, kommer den så fra en ikke normal ip fx udenlandsk eller ny udbyder smider man en advarsel til brugeren eller kræver mere verifikation.

Det er egenligt sjovt at online spil firmaerne er langt foran bankerne på dette punkt.

De har i forvejen tilføjet et tjek som giver fejl hvis http og https ikke kommer fra samme ip.

  • 1
  • 0
Erik Jensen

At fange et nr er ikke så svært men for at fange 2 OTP chalenges fra samme nøglekort indenfor auto udlognings tidgrænsen er meget mere svært...


Næh... når brugeren har tastet sin kode ind, og man har fået den, sender man en besked tilbage til brugeren om, at han har tastet en forkert kode. Beder personen om at prøve igen. Imens logger man ind på banken, og lægger transaktionerne i kø, og bruger så den næste kode brugeren taster ind. Muligt der skal et lille program til at fjernstyre forbindelsen til banken for at undgå en mistænkelig forsinkelse i forhold til brugeren, men det er relativt let at lave.

Men ellers er jeg for så vidt enig med Danid i, at der både skal tages hensyn til sikkerhed og brugervenlighed. Og (og jeg bliver ikke populær på at skrive dette) så må man også vurdere, hvad det koster at hæve sikkerheden, i forhold til hvad de koster at kompensere folk, som har fået deres id misbrugt.

  • 1
  • 0
Michael T. Jensen

Næh... når brugeren har tastet sin kode ind, og man har fået den, sender man en besked tilbage til brugeren om, at han har tastet en forkert kode. Beder personen om at prøve igen. Imens logger man ind på banken, og lægger transaktionerne i kø, og bruger så den næste kode brugeren taster ind. Muligt der skal et lille program til at fjernstyre forbindelsen til banken for at undgå en mistænkelig forsinkelse i forhold til brugeren, men det er relativt let at lave.


Når jeg logger mig ind i netbanken skal jeg taste brugernavn, kodeord og en nøgle fra kortet. Når jeg senere skal overføre penge i samme session, beder banken mig kun om at indtaste kodeordet igen, så med den første nøgle, er der adgang til at foretage overførsler.

Det man kan præsentere den bedragede for, kunne være en "internal server error" eller en "beklager. Hjemmesiden er nede fra 15:00 til 17:00 pga. uforudset systemarbejde", mens man lænser kontoen big time.

Men det er selvfølgelig dybt useriøse og hypotetiske spekulationer. Det kræver en så dygtig programmør at lave den form for automatisering, at det er utænkeligt at det kan forekomme. Specielt fordi Dan-ID ikke tager fejl. Aldrig!

  • 3
  • 0
Baldur Norddahl

så må man også vurdere, hvad det koster at hæve sikkerheden, i forhold til hvad de koster at kompensere folk, som har fået deres id misbrugt.

Man kompensere ikke folk. Man holder dem højst skadeløse i forhold til træk på bank konti. Men hvis NemID er blevet brugt til at lække dine skatteoplysninger, sælge dit hus eller hvem ved hvad, så er det bare ærgerligt. Man kan rigtig meget med identitetstyveri ud over at hæve bank kontoen og NemID er ideelt til identitetstyveri.

Hvad med at oprette nye konti, søge om kassekredit eller lån og løbe med pengene? Oprette forbrugslån, købe fladskærmstv på afbetaling, alt lader sig gøre. Og NemID agter ikke at erstatte så meget som en øre.

Så når de beregner "om det kan betale sig" medregner de kun deres egne omkostninger.

  • 4
  • 0
Michael T. Jensen

Men ellers er jeg for så vidt enig med Danid i, at der både skal tages hensyn til sikkerhed og brugervenlighed. Og (og jeg bliver ikke populær på at skrive dette) så må man også vurdere, hvad det koster at hæve sikkerheden, i forhold til hvad de koster at kompensere folk, som har fået deres id misbrugt.


Uenig. Så længe DanID leger med danskernes digitale signatur, skal de ikke så meget som tænke på at tage let på sikkerheden. Forestil dig at du ved at lave en falsk login kan narre identiteten fra folk - hvad kan du lige pludselig ødelægge? En morgen vågner man op i et hus, som man ikke længere ejer, forsikringerne er blevet afmeldt og pengene overført til Ukraine, børnehaven kan desværre ikke tage imod dine børn, for de er blevet meldt ud og din bil har fået klippet pladerne, fordi...

Desværre kan du ikke gøre noget ved det, for "du" har jo selv skrevet under på alle transaktionerne ("bevis": misbrug er kun en hypotetisk mulighed!), og da DanID ikke kan lave fejl, er du jo selvfølgelig ikke blevet hacket.

  • 3
  • 0
Peter Makholm Blogger

Angrebet skalerer muligvis ikke til angrebet der uberettiget hæver 100 kroner på en million bankkonti. Men det skalerer så rigeligt til angreb der er målrettet mod at skulle ramme begrænsede personkredse men derimod give voldsomme problemer for det enkelte offer.

Personligt frygter jeg sidstnævnte angreb mest.

  • 4
  • 0
Henrik Madsen

Hvem husker ikke manden som blev dømt for bedrageri fordi hans bil var stjålet men han havde begge nøgler til den.

Forhandleren afviste kategorisk at bilen kunne startes uden nøgle og det var først da et forbrugerprogram besøgte ham den fedladne låsesmed at han viste dem hvor let det var at snyde startspærren at sagen faldt.

Hvordan kompenserer man forresten en mand for at han har fået franarret en kode som tyven har brugt til at ændre hans postadresse og bestille et nyt NemID kort til den nye adresse.

Når tyven så har kortet så kan han bestille nyt pas, nyt kørekort osv osv i den persons navn, gå ind og læse alle hans lægejournaler osv.

Nå ja og før en eller anden nød siger "Så lader man da bare være med at aktivere sit OCES certifikat så husk lige at det aktiverer man ved at besøge en hjemmeside og taste en NEMID KODE !!

Ergo kan man som NemID bruger aldrig beskytte sig mod at folk får fat i ALT information om en hvis de får tiltusket sig dine NemID koder for de kan selv aktivere det og du kan ikke få din mulighed for OCES permanent disabled hos DanID.

Latterligt er hvad det er...

  • 6
  • 0
Erik Jensen

Hvad med at oprette nye konti, søge om kassekredit eller lån og løbe med pengene? Oprette forbrugslån, købe fladskærmstv på afbetaling, alt lader sig gøre. Og NemID agter ikke at erstatte så meget som en øre.


Nu er dette jo ikke meget anderledes end hvad man kan med et cpr-nummer og en forfalsket underskrift i den analoge verden.

Det aktuelle angreb, hvor man i et begrænset tidsrum kan foretage nogle transaktioner virker dog noget mere vanskeligt at udføre end det analoge angreb. Samtidig kan man jo antageligt gå tilbage og se, hvad id'et er anvendt til, og dermed få stoppet diverse hushandler mv. som er foretaget af svindleren. Virker noget lettere at have med at gøre end det tilfælde, hvor ens analoge underskrift kan forfalskes i det uendelige.

Hvis man kunne lave automatiske angreb, hvor man høster store antal personers digitale signaturer, og kan bruge dem på et vilkårligt tidspunkt, som man kunne med de gamle login-løsninger og den gamle digitale signatur, ville jeg være mere nervøs.

Ja, NemID kan misbruges. Men man er nødt til at sætte dette misbrug i forhold til hvad det koster at udvikle en mere sikker løsning, som almindelige folk er i stand til at anvende.

  • 2
  • 6
Henrik Madsen

Ja, NemID kan misbruges. Men man er nødt til at sætte dette misbrug i forhold til hvad det koster at udvikle en mere sikker løsning, som almindelige folk er i stand til at anvende.

Kom lige til at tænke på....

Hvor meget mener DU det må koste at beskytte din online identitet mod identitetstyveri ?

Hvis ikke DanID er villige til at betale det som det koster så vil jeg da morderligt gerne at de laver en teknisk løsning hvor jeg så selv passer på min online identitet og har en del af min digitale signatur i min egen besiddelse.

Det har de sådan set også lovet de ville men desværre er DanID jo notorisk ikke til at stole på..

Henrik Madsen

  • 6
  • 0
Gert Madsen

"Nu er dette jo ikke meget anderledes end hvad man kan med et cpr-nummer og en forfalsket underskrift i den analoge verden."

Der skal man dog ofte møde personligt op. Det gør det ikke umuligt, men dog væsentligt mere besværligt.

"Men man er nødt til at sætte dette misbrug i forhold til hvad det koster at udvikle en mere sikker løsning, som almindelige folk er i stand til at anvende."

En mere sikker løsning findes allerede. Hvad der evt. skal ske med den for at man kan opnå at "almindelige folk" kan bruge den, kan selvfølgelig have en pris.

Det er dog sandsynligt at det vil være billigere for samfundet.

For DanID er det en helt anden sag. Den monopolstilling som man har opnået med NemID har jo enorm værdi for DanID. En pris som samfundet - du og jeg - kommer til at betale.

  • 3
  • 0
Christian Nobel

Ja, NemID kan misbruges. Men man er nødt til at sætte dette misbrug i forhold til hvad det koster at udvikle en mere sikker løsning, som almindelige folk er i stand til at anvende.

Og hvor meget er det lige hele "NemID" cirkusset allerede har kostet - dels i betaling til Nets, dels for samfundet som så?

Vi taler om et fire cifret millionbeløb!

Alligevel er det totalt uacceptabelt.

Og nej "man er ikke bare nødt til at sætte dette misbrug i forhold til hvad det koster", for det her er ikke kun et spørgsmål om pris, men om at vacuumhjernerne både på tinge og hos Nets totalt har undladt at udvise rettidig omhu.

Brugervenlighed må aldrig ikke sættes over sikkerhed

  • 5
  • 1
Jon Bendtsen

Det som mangler, er at automatisk identificere hvilken service, som skal hackes. Det er den svære del. Forskellige folk har forskellige banker. Der er selvfølgelig services, f.eks. Folkeregisteret, der er ens for alle. Men ellers kan den kriminelle skyde med spredhagl og prøve sig med Danske Bank, Nordea eller noget andet udbredt.


øhm, det er da ret nemt at identificere. Folk som besøger n0rdea.com er nok Nordea kunder. Og ellers så står det da sikkert i browser historikken, hvilket er en af grundene til at jeg bruger en anden browser til webbank som endda kører som en anden bruger.

  • 1
  • 0
Log ind eller Opret konto for at kommentere