DanID overvejer at hæve NemID-sikkerhed efter netbankindbrud

Det nye netbankindbrud, som har ramt mindst otte kunder hos Danske Bank, kan føre til ekstra sikkerhedstiltag, oplyser DanID.

Sikkerhedsniveauet ved login med NemID skal muligvis hæves yderligere, efter mindst otte kunder hos Danske Bank har fået stjålet i alt 700.000 kroner.

»Vi overvejer hele tiden om, vi skal skrue på de knapper vi har, hvis misbrugsbilledet ændrer sig. Og her har misbrugsbilledet ændret sig,« siger pressechef Søren Winge fra Nets DanID til Version2.

Dermed henviser han til, at fremgangsmåden denne gang var lidt anderledes end ved det phishing-angreb, som gik ud over otte kunder hos Nordea i september 2011.

Læs også: Nyt hacker-trick snød NemID: Sådan gjorde de

Denne gang anvendte bagmændene angiveligt et malware-program, som blev installeret på brugernes pc'er forud for angrebet.

»Computerne skal først lige undersøges for at finde ud af, hvilken malware der er tale om, og om det eventuelt er noget, vi kan dæmme op for centralt,« siger Søren Winge til Version2.

Nets DanID har tidligere oplyst til Version2, at der foreligger flere mulige ekstra sikkerhedstiltag, som kan tages i brug for at højne sikkerheden ved NemID, men selskabet har ikke ønsket at oplyse nærmere om, hvilke teknikker selskabet har i baghånden.

Læs også: DanID afviser endnu en gang kritikken: NemID er sikker nok

Søren Winge vil heller ikke nærmere ind på, hvilke tiltag Nets DanID vil kunne bruge mod den fremgangsmåde, som det ser ud til, at bagmændene har anvendt i det aktuelle angreb.

»Nu håber vi først, at det kan betragtes som et færdigt angreb. Så skal der ske en analyse, så teknikerne kan se præcist, hvad der er foregået,« siger han til Version2.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Jensen

Så kommer der en ny vinkel, så 'skruer man lidt på knapperne' osv. Gentag. Gentag.

Skru dog på 'alle knapperne' nu! På den måde kan man hurtigere se om det er nok, eller om det, som forventet, viser sig at være muligt at komme igennem med phishing og brugere der 'benytter' malware.

NemID er ikke en magisk sikkerhedsløsning, krystalkuglen er smadret, og tryllestaven er knækket, og en rulle gaffatape er på et begrænset antal meter.

NemID startede som en farce, har udviklet sig som en farce, er stadig en farce, og nu er tegnene på at den ender som en farce, også ved at være her.

  • 15
  • 3
Niels Didriksen

NemID startede som en farce, har udviklet sig som en farce, er stadig en farce, og nu er tegnene på at den ender som en farce, også ved at være her.


Det er bare ikke nemt at lave en sikker løsning, når den partout skal blackbox'es og der skal hardkodes alle mulige trojanske funktioner ind i og man samtidigt skal trodse de sidste 30 års best-practices inden for sikkerhed, for at kunne sætte betalingsboder op, hvor de naturligt ikke forekommer. Så bliver resultatet uundgåeligt noget skrammel.

Når NemID havner på lossepladsen sammen med Amanda, IC4 og venner, forbeholder jeg mig retten til at sige "Told you so". Men til den tid, har regering og opposition jo nok byttet taburetter et par gange, og nægter at tage ansvar eller lære noget som helst.

  • 17
  • 3
Jesper Lund

Det er bare ikke nemt at lave en sikker løsning, når den partout skal blackbox'es og der skal hardkodes alle mulige trojanske funktioner ind i og man samtidigt skal trodse de sidste 30 års best-practices inden for sikkerhed, for at kunne sætte betalingsboder op, hvor de naturligt ikke forekommer.

Det er især svært at lave en sikker løsning, når man har bygget det hele op på at en bruger identificerer sig over for en server, hvorefter denne server er "trustet" til at foretage alle mulige transaktioner på brugerens vegne, i stedet for at lave et sikkert system hvor vi autoriserer transaktionen (ideelt set på et stykke eksternt tamper-proof hardware da man aldrig kan vide om en computer er inficeret med malware, og brug af XXX AV gør næppe nogen videre forskel).

Dette problem bliver meget meget værre når NemID skal bruges "overalt". Den OTP kode som kan phishes via en spille- eller dating side, kan også bruges i netbanken eller til et rask lille identitetstyveri via borger.dk/NemLogin.

Meget apropos skrev Bruce Schneier dette for et par dage siden
http://www.schneier.com/blog/archives/2012/02/the_failure_of_2.html

  • 4
  • 0
Thue Kristensen

Som jeg skrev i et andet indlæg, så burde angriberen kunne have lavet angrebet ved simpelthen at erstatte hele login-siden lokalt på offerets maskine. Og Det kan NemID vel ikke gøre noget ved ved at fifle med Java-appletten.

De kan vel ikke rigtigt gøre andet en at tilføje en ekstra sikkerhedsfaktor som en SMS ved vigtige transaktioner? Den vil man jo ikke kunne misbruge i den slags MitM-angreb, med mindre man har overtaget offerets telefon.

  • 0
  • 0
Jesper Lund

I det mindste får vi en masse underholdning for pengene - det er godt nok nogle dyre billetter, men jeg føler mig da underholdt!

Det kan blive noget meget dyre biletter. Ved netbank indbrud bliver dine tab erstattet krone for krone, men sikkerhedsproblemerne ved NemID rammer også OCES delen. Der er ingen erstatning for tab som følge af identitetstyver via NemID phishing. Regeringen har besluttet at NemID er sikker, og så er den diskussion ikke længere.

I løbet af foråret vil regeringen fremsætte et lovforslag som reelt tvinger alle borgere til at anskaffe OCES NemID (obligatorisk brug af offentlig digital post, aka e-Boks, hvor eneste adgang er NemID).

Den mere sikre smartcard udgave af OCES NemID er udsat på ubestemt tid (og det er uklart hvor stor gavn den reelt vil gøre her, når det offentlige lægger ekstra lag som NemLogin ind over NemID, og tvingerne borgerene til at bruge webmail på en server hos e-Boks i stedet for at signere email beskeder lokalt).

  • 2
  • 0
Thue Kristensen

Netbank på smartphones. En rogue app vil sikkkert også have adgang til dine SMS beskeder.

Så kunne man håndhæve at vigtige transaktioner ikke måtte foretages fra smartphone.

Bare lige for at udpensle SMS-løsningen: Når man får en SMS, så skal der selvfølgelig også stå i SMSen at man var ve at overføre 100.000kr til Nigeria. Så ville man nok sige fra, hvis man troede at man var ved at logge in på gentofte-bibliotek.dk .

  • 1
  • 0
Eskild Nielsen

Så kunne man håndhæve at vigtige transaktioner ikke måtte foretages fra smartphone.


Måske kunne gøre det på den måde, at man får en challenge i sin netbank, og så skal man aflæse sit pap-kort eller elektroniske nøgle, og sende koden som DTMF til et frikaldsnummer - med en blokering for at bruge samme terminal til webbank og som dtmf - sender.

Der er sikkert en eller anden brist i den ide - som jeg ikke kan se, da det jo er mn ide.

  • 1
  • 2
Finn Aarup Nielsen

Bruce Schneier forslag om transaktionsautorisation
http://www.schneier.com/blog/archives/2006/11/fighting_fraudu.html synes ikke at fange det hele. For banktransaktionen ok, men informationerne på sundhed.dk og e-boks.dk kræver normalt ingen transaktion, og sundhedsoplysninger og skatteforhold kan være værdifulde for kriminelle der kunne sælge det til eksempelvis Rupert Murdoch-lignende aviser.

  • 0
  • 0
Peter Stricker

700.000 kr. er småpenge for bankerne. Og når bankerne endda holder ofrene skadesløse, er det nemt at bilde beslutningstagerne ind, at sikkerheden er god nok. Intet system er jo hundrede procent sikkert, men efter indførelsen af NemID er der sket færre netbanksindbrud end i årene forinden.[*]

Og beslutningstagerne kommer ikke til at ligge søvnløse over disse tab. Herregud, vi har lige afskrevet en halv milliard til et fejlslagent IT-projekt hos politiet, og vi har opgivet at inddrive 37 milliarder i skattegæld på grund af et andet fejlslagent IT-projekt. Tabet ved dette seneste brud på NemID sikkerheden er en halvtresindstusindedel af de førnævnte tab, og denne gang dækker bankerne jo selv tabet.

Nothing to see, please move along.

Problemet er bare, at politikerne lader sig forblænde af de relativt små realiserede tab på grund af NemID, og fuldstændig lukker øjnene for de potentielle tab for hele samfundet ved at overlade enhver borgers identitet til en kommerciel organisation som i flere tilfælde har vist sig at være fuldstændig ligeglade med borgernes berettigede bekymringer.

NemID er en fejlkonstruktion, som aldrig burde være valgt som afløser for den tidligere digitale signatur. DanID har gang på gang misligholdt deres forpligtelser og politikerne har gang på gang set igennem fingrene med dette tillidsbrud.

Luk NemID, NU!


[*] Dette er så endnu en sandhed som man vist skal hedde Jette Knudsen eller Søren Winge for at udbrede. Faldet i tab som følge af netbanksindbrud var allerede for nedadgående inden NemID blev indført.

  • 6
  • 0
Michael Nielsen

Simple faktum.

At bruge SMSer som 3. faktor er - Security by obcurity - altså det er ikke rigtig sikkerhed på nogen måde, men løfter baren 3 mm, og håber det er nok..

Nej der skal en rigtig sikker løsning til.

Det væreste er at det er COTS - du kan allerede købe alt hvad du har brug for, for at hæve barren for sikkerhed, næsten 1000meter i forhold til NemID..

De findes på markedet, en af de mere kendte er ChipTan fra Tyskland. Men der findes en stor samling af enheder der ikke kan misbruges af malware.. Altså enheder jeg godt turde bruge på biblioteket, fordi jeg ikke har brug for at stole på PC'en..

Så den Eneste rigtige er at smide NemID på porten, og tage et standard system, og gøre det rigtig.. Altså fokusere på sikkerheden i systemet, og ikke overvågnings mulighederne, og penge indtjenings mulighederne.

  • 3
  • 0
Anonym

Hvor bliver ministre og embedsmænd af, i det her ?
Det har ikke manglet på opbakning og tillidserklæringer til NemID løsningen, så længe man kunne tillade sig at negligerer NemIS's sikkerhed.

Har Bjarne Corydon og Stine Kern Light fortsat tillid til NemID, eller er de ved kunne forstå hvilken mangel på sikkerhed, de udsætter alle Danskere for ?
De plejer ellers ikke at være så tilbageholdende, når de skal tilbagevise og negligerer andres betænkeligheder, så nu må de komme på banen.

Thor Möger har også været helt fremme i skoene, så han må jo også vide hvad han taler om. Og han er jo ikke bange for at svinge med armene, imens han kækt smider et lille halvt hundrede milliarder i grams.

Kære ministre, folketingsmedlemmer, embedsmænd, banktrolle, kom nu med nogen løsninger der fungerer. Tomme ord og lovprisninger fungerer ikke.
Der er gigantiske milliardsummer på spil, så det er NU der skal handles.

  • 2
  • 0
Christian Nobel

Måske det er på tide at indse at alt det der med computere slet ikke er så simpelt som man vil gøre det til (ny OS og ingen brug for Treo osv.), men at det faktisk er uhyre komplekst, og man bør tage hvert eneste step meget seriøst.

PHK har et meget interessant indlæg her:
http://ing.dk/artikel/126626-it-i-danmark-har-vi-snart-naaet-bunden

Hvor han blandt andet skriver:

"Computere er overhovedet ikke simple og det er utroligt tankevækkende at en af de tidligste computer genier, med udsigten til computere med 64 kilobyte lager indså at "Jeg har kun en lille hjerne og må leve med det."

Den holdning bliver den danske nation nødt til at adoptere: Det pinligt klart for enhver, at vores ambitioner om IT slet ikke står mål med vores evne til at føre dem ud i livet."

  • 5
  • 0
Jesper Lund

Er det kun mig der undre mig, hvad er grunden for mulighed for simultan log ind på netbank?

Nu ved vi ikke om det er sessioner fra forskellige IP adresser. Når angriberen har kontrol over offerets computer, kan de også bruge den som proxy.

Jeg har flere gange oplevet af min netbank session er "gået i stå". Utålmodig som jeg er, har jeg lukket browseren eller fanebladet og lavet et nyt login. Formentlig hænger det gamle login stadigvæk indtil det timer ud. Hvis jeg havde brugt mobilt bredbånd, og havde et midlertidigt forbindelsesproblem, er det ikke utænkeligt at jeg havde fået en ny IP adresse i mellemtiden. Så ville det være to sessioner fra forskellige IP adresser.

  • 0
  • 0
Log ind eller Opret konto for at kommentere