Digitaliseringsstyrelsen efter udvikler-angreb: Ja, NemID er sårbar over for phishing

Illustration: Jesper Kildebogaard
Phishing er et problem i forhold til NemID, erkender Digitaliseringsstyrelsen på baggrund af et demo-angreb mod løsningen.

Phishing er et problem. Sådan lyder det overordnede svar fra Digitaliseringsstyrelsen på baggrund af et elegant NemID-angreb, som Version2 forleden omtalte på baggrund af en demonstration fra udvikler Søren Louv-Jansen.

Læs også: Udvikler demonstrerer elegant og automatiseret NemID-angreb

Essensen i angrebet er, at udseendet på en NemID-boks er let at kopiere. Og samtidig optræder login-løsningen i et hav af sammenhænge og ikke bare på et enkelt domæne.

Derfor kan det være svært for en almindelig bruger at gennemskue, om en NemID-boks på en hjemmeside er reel eller et forsøg på phishing - altså på at franarre offeret brugernavn og adgangskode.

Version2 demonstrerede i 2011 samme problemstilling.

»Phishing er et problem, som vi hele tiden er nødt til at adressere. I har jo også peget på problemstillingen tilbage i 2011, kort tid efter, NemID kom frem. Alt it-sikkerhed er ofte et våbenkapløb med hackerne. Der er mange ting, man kan gøre for at styrke sikkerheden i forhold til phishing-angreb. Vi har lavet flere tiltag med Nets og bankerne i det her tilfælde,« siger vicedirektør i Digitaliseringsstyrelsen Adam Lebech og tilføjer, at der ofte er tale om en afvejning mellem blandt andet sikkerhed og brugervenlighed.

Ifølge Adam Lebech har der dog været et generelt fald i vellykkede phishing-angreb, blandt andet efter at der er blevet indført DMARC-beskyttelse på flere domæner, som relaterer sig til NemID, men også via samarbejdet med andre aktører som fx teleselskaberne om opdæmning for sms-phishing.

»Det er umuligt at lave et fuldstændigt sikkert system. Men man kan reducere risikoen.«

Det er svært at få lokket konkrete detaljer om sikkerhedstiltag ud af Adam Lebech. Han nævner dog, at Søren Louv-Jansens demonstration blev lukket ned via Google Safe Browsing, som et eksempel på noget, der kan gøres for at begrænse effekten af sådan et angreb.

Da domænet blev markeret som ondsindet hos Google, blev besøgende på Søren Louv-Jansens hjemmeside mødt af en stor advarsel i browseren. Og derudover havde markeringen også den effekt, at flere mails fra Digitaliseringsstyrelsen om sagen blev fanget af et spamfilter i stedet for at nå Version2's indbakke.

»Selvom det er en demonstration, så er det også et phishing-site, så det er man nødt til også at lukke og spærre de berørtes NemID,« siger Adam Lebech.

Lebech nævner desuden, at Søren Louv-Jansen jo netop også stødte på flere af disse tiltag, der vanskeliggjorde angrebet.

Eksempelvis er det svært via browserens API at vælge feltet, der skal indsættes et kodeord i. Disse tiltag forhindrede dog i sidste ende ikke Søren Louv-Jansen i at lave et automatiseret angreb ved at simulere et tryk på tabulator-tasten.

»Det kan være svært at sikre sig fuldstændigt, man kan bare blive ved med at bygge flere lag af sikkerhed på. Det er et våbenkapløb, hvor vi kan gøre noget på forhånd, og andre gange noget hurtigt efterfølgende.«

Et enkelt vellykket angreb kan være nok

Selvom der er søsat flere tiltag, der skal forhindre og begrænse skaden fra NemID-phishing, så kan det, som historien viser, være svært helt at undgå, som NemID ser ud i dag. Og i den forbindelse kan det være nok bare at få en enkelt person til at hoppe på phishing-angrebet.

Op til det amerikanske præsidentvalg blev partiet Demokraterne eksempelvis udsat for et større datalæk, da daværende kandidat Hillary Clintons kampagnechef blev udsat for et succesfuldt phishing-angreb, der gav adgang til tusindvis af interne mails.

Domænet for Søren Louv-Jansens demonstration blev som nævnt hurtigt flaget som værende ondsindet, så fremtidige besøgende ville modtage en stor advarsel.

Men der kan en hacker jo godt have nået at tilgå eksempelvis statsministerens skatteoplysninger, eller hvad man nu ellers kunne være interesseret i?

»Ja, det er rigtigt. Og der er en risiko. Det er lidt den samme problemstilling, som hvis en hacker sender en phishing-mail ud, som en bruger reagerer på,« siger Adam Lebech.

Fup-butikker

Netop fordi noget, der ligner NemID-boksen, i sig selv er relativt let at sætte ind på en hjemmeside, så er det generelt en god idé at have en vis skepsis med sig ved besøg på sider med NemID, mener Adam Lebech.

Han nævner nethandel som et andet eksempel på, hvor det kan være en god idé at være kritisk som bruger, inden betalingskortoplysninger bliver tastet ind på et site.

»Hvis noget for eksempelvis virker meget billigt, så kan det give anledning til, at man lige skal tænke sig om en ekstra gang, inden man indtaster sine kreditkortoplysninger.«

Hvis nogen virkelig vil have fat i for eksempel en dansk politikers sundhedsoplsyninger, så kan man vel også finde ud af at stave nogenlunde rigtigt på en hjemmeside, eller hvad det nu er, der skal til?

»Der er forskellige tiltag, man kan lave i forhold til den type af phishing-angreb. Og det er noget, vi løbende holder øje med, både hos os selv og i forbindelse med vores samarbejde på sikkerhedsområdet med blandt andet Forsvarets Efterretningstjeneste.«

Adam Lebech fortæller, at samarbejdet blandt andet har til formål at opfange angreb mod eksempelvis ministerier. Han ønsker ikke at gå i nærmere detaljer med, hvilke konkrete tiltag samarbejdet indeholder, som kan gøre det svært at gennemføre succesfulde angreb.

Han fortæller dog, at noget af det, der allerede i dag bliver anvendt til sikring af NemID mod phishing, er at overvåge, om noget ser mistænkeligt ud eller skiller sig ud fra det normale brugsmønster. Altså på samme måde som banker, Google og andre allerede gør det i relation til deres tjenester.

»Nøgle-app'en har indført en ekstra sikkerhed«

Som Version2 bemærkede i den oprindelige artikel med Søren Louv-Jansens demonstration, så kan den relativt nye nøgle-app, der kan bruges i stedet for papkortet, principielt gøre NemID-login mere sikkert.

Når app'en bliver anvendt til login, så kan konteksten, der bliver logget ind i, optræde i app'en.

Med NemID-app'en er det muligt at se den kontekst, brugeren er ved at logge ind i. Illustration: Version2

Eksempelvis kan der stå borger.dk, navnet på netbanken eller navnet på forsikringsselskabet. Og hvis det navn umiddelbart ikke matcher den kontekst, som der er ved at blive logget ind i, ja, så kan det tyde på, der er ugler i mosen.

»Nøgle-app'en har indført en ekstra sikkerhed ved, at man kan se, hvilket site man er ved at logge ind på,« siger Adam Lebech.

Den højere sikkerhed forbundet med app’en forudsætter dog, at den konkrete kontekst faktisk fremgår af nøgleapp’en. Eksempelvis står der ved login på flere offentlige hjemmesider bare 'NemLog-in' - det gælder i skrivende stund ved login på sundhed.dk

Men det lader til at ændre sig.

I en opfølgende mail fra Digitaliseringsstyrelsen fremgår det, at det er den enkelte tjenesteudbyder, der er ansvarlig for, at tjenestens navn fremgår i app'en. Borger.dk hører direkte under Digitaliseringsstyrelsen, og derfor er det gået tjept med at få dette domæne udspecificeret.

Digitaliseringsstyrelsen er ifølge den opfølgende mail i tæt dialog med de øvrige tjenesteudbydere. Styrelsen forventer, at andre udbydere snart kommer på, så login-konteksten bliver udspecificeret.

»Når det ikke er sket for alle endnu, skyldes det, at app'en er forholdsvis ny, og NemLog-ins tjenesteudbydere skal selv levere input til transaktionsteksten. Det har eksempelvis både Virk.dk, Borger.dk og Digital Post allerede gjort,« står der mailen.

Nyt demo-domæne

Siden Søren Louv-Jansen domæne blev markeret som ondsindet, så lavede han kort tid efter samme demonstration på et nyt domæne, der til forveksling ligner det første.

I det lys virker det mere som symptombehandling end en egentlig kur at markere domæner som ondsindede for at forhindre den pågældende type phishing-angreb mod NemID. Og som hacket mod Demokraterne vidner om, så kan selv en enkelt persons login-oplysninger i de forkerte hænder forvolde skade.

På Version2-redaktionen er vi derfor nysgerrige efter, om der er nogen grundlæggende løsning på vej i forhold til problemet i, at en NemID-boks er visuelt nem at kopiere, og at de data, der bliver indtastet i den, giver adgang til alt fra sundhedsoplysninger til netbanken.

»Man kan jo kopiere alt med simpel HTML-kode. Den problemstilling har eksisteret hele tiden, men der er selvfølgelig forskellige muligheder for, hvordan man kan ændre det.«

Som du ikke kan komme nærmere ind på?

»Nej, det kan jeg ikke. Det er noget, vi drøfter med Nets, hvor vi hele tiden videreudvikler NemID-infrastrukturen, og så er det også noget, vi arbejder med i forhold til det kommende MitID.«

MitID

Det er planen, at NemID på et tidspunkt skal afløses af det, der har fået navnet MitID. I den forbindelse kunne det være nærliggende at finde på et design, så den nye løsning ikke har samme grundlæggende svaghed som NemID.

»Jeg kan ikke udtale mig specifikt om det, vi er jo i forhandlinger med de tilbudsgivere, der er i øjeblikket,« siger Adam Lebech og tilføjer:

»Vi er i gang med at designe en helt ny infrastruktur, hvor sikkerhed er kernen. Jeg kan ikke komme ind på konkrete løsninger.«

Adam Lebech forklarer, at der i den forbindelse også er et særligt fokus på phishing-problematikken, som det nuværende NemID er sårbart overfor.

Hvis Digitaliseringsstyrelsen savner inspiration i den forbindelse, så kan et kig i debatten forskellige steder på Version2 måske hjælpe.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bo Andersen

Den dag Nets - af en eller anden årsag - går ud af drift i dage eller uger, så vil nogen af de digitaliseringsivrige måske se det uhensigtsmæssige i, at eet privat firmas services og produkter styrer store dele af Danmarks infrastruktur.

For ingen vil vel lægge hovedet på blokken og påstå, at det ikke kan lade sig gøre ?

  • 11
  • 0
Martin Djernæs (14203)

Hvis NemId, efter det første skidt med at indtaste bruger navn og password ville vise den registered udbyders navn og logo, samt en tekst som

"Du er nu ved at logge ind på Borger.dk, fortsæt kun hvis der er tilfældet"

så har man da mulighed for at se at der er en der prøver at udgive sig for at være en anden.

Martin

  • 0
  • 7
Stig Christensen

Lidt underligt at nævne DMARC-beskyttelse, som slet ikke kan afhjælpe det her.

»Det er umuligt at lave et fuldstændigt sikkert system. Men man kan reducere risikoen.«

Men man designer sgu da ikke et system som fra dag 1 har et åbenlyst sikkerhedsproblem. Det er så nemt at gøre rigtigt.

  • 9
  • 1
Henrik Eriksen

Martin, problemet er jo at man i virkeligheden slet ikke er ved at logge på Nem-ID.
Man er ved at taste sine oplysninger ind i en boks, som ligner Nem-ID's til forveksling. Forbryderne kan jo også bare lade 'deres' Nem-ID-boks vise, at du er ved at logge ind på dét du tror.
Problemet er, at alt hvad du ser på en skærm kan kopieres. Det kan ikke lade sig gøre at tegne tingene på en speciel måde, som umuliggør kopiering.

  • 7
  • 0
Mogens Lysemose

noget af det, der allerede i dag bliver anvendt til sikring af NemID mod phishing, er at overvåge, om noget ser mistænkeligt ud eller skiller sig ud fra det normale brugsmønster. Altså på samme måde som banker

Ja stol blindt på at de bruger samme effektive metoder til at opdage mistænkelige aktiviteter, ligesom Danmarks største bank, Danske Bank gør... Skulle det være tryghedsskabende? Er det ikke 100Mia. kr. hvidvask DanskeBank ikke ville opdage fordi de tjente penge på det?

  • 7
  • 4
Henrik Madsen

Håber jeg på at de med MitID arbejder på at lave en løsning så jeg, selv kan generere min digitale signatur og beholde hele eller dele af den i min besiddelse og ikke som idag hvor hele min digitale identitet ligger på en Nets server i Norge og så skal jeg ellers bare stole på at ingen misbruger den.

Nå ja og så skal det gerne være en løsning som, i modsætning til NemID på Hardware, virker både til banken og "alt det andet".

  • 1
  • 0
Christian Nobel

Nå ja og så skal det gerne være en løsning som, i modsætning til NemID på Hardware, virker både til banken og "alt det andet".

Jeg vil så hævde at det er hamrende vigtigt at få adskilt stat og kirke ^^^^^ bank.

Det må helt isoleret være op til bankerne selv at lave deres signon system for egen regning!

Og lad os så ellers få en ægte digital signatur, hvor der også kan laves afledte - det er en total misforståelse at der bruges samme nøgle til haveskuret som til bankboksen.

  • 4
  • 1
Jan Ferré

Det er lidt sjovt - at nemid.dk selv synes at være redirigeret til noget andet. De seneste gange, jeg har villet gøre et eller andet (f.eks. lave en medarbejdersignatur), har jeg slået op på nemid.dk og er blevet redirigeret til 'assemble.dk' - gad vist hvad det er for nogle fuskere?
Den rette adresse lader til at være marketingslogan'et nemid.nu - vildt ulogisk!

Noget andet er så, at en passende service ville være, at man på nemid's hjemmeside kunne se de seneste indlogninger for sig selv (man logger naturligvis ind med nemID, så det er jo let nok at sortere i stakken). Så kunne jeg overbevise mig om, at der ikke er nogle suspekte udbydere, der har vist mig en nemID login-boks.

  • 8
  • 0
Hans Nielsen

" fremgår det, at det er den enkelte tjenesteudbyder, der er ansvarlig for, at tjenestens navn fremgår i app'en."

Hvis den som laver angrebet er dygtigt nok, så kan man vel også få skrevet det rigtige navn i app. Eller i "nemid" boksen ?

Det betyder at flere så kan finde på at hoppe i, da det jo fremgår det rigtige sted og Adam Lebech siger det så er sikkert

  • 0
  • 0
Martin Djernæs (14203)

Henrik,

Jeg siger ikke der er et en super "løsning", jeg sigerat de har aldrig gjort det muligt at se om de side der "har en nemid box" har "lov til" det. Som det jo er blevet bevist kan alle lade som om de er fra en eller anden side. Hvis du kombinere et logo fra siden, med noget kendt, fra din person, kan du lave et vandmærke der ikke kan gætte på forhånd. Selvfølgelig er dette ikke super -ideen med at lad sider have nemid bokse er helt hen i hegnet og skulle aldrig have været en løsning. Når vi nu har det, så gælder det om at sørge for at det bliver så svært som muligt at efterligne og give folk en chance for at opdage det. Som det er nu er det til grin.

Martin

  • 0
  • 0
Henning Wangerin

"Du er nu ved at logge ind på Borger.dk, fortsæt kun hvis der er tilfældet"

Ja det får du at vide på telefonen hvis du bruger deres app til koder.

Hvis du logger in med papkort, kan på ikke store på den information som på får vist på siden. Når hackeren kan samle dine indtastninger og sende dem videre, og sende response tilbage til dig, tror du så ikke at hackeren også kan finde ud af af manipulere de returnerede data?

/Henning

  • 0
  • 0
Henrik Biering Blogger

... af den manglende fokus på sikkerhed over for phishingangreb er at NETS har solgt Digitaliseringsstyrelsen en loginløsning, som angiveligt skulle have haft sikringsniveau "Betydeligt" for at kunne benyttes i forbindelse med eIDAS forordningen. Men som det fremgår af denne tråd opfylder NemID end ikke betingelserne til det laveste niveau "Lav" i National Standard for Identiteters Sikringsniveau (NSIS) hvoraf bl.a. fremgår følgende krav:

"Autentifikationsmekanismen implementerer sikkerhedskontroller til at efterprøve Akkreditiver, således at det er højst usandsynligt, at det er muligt for en angriber med en øget basal Angrebskapacitet at gætte, lytte sig til, gengive eller manipulere kommunikationen og på den måde omgå autentifikationsmekanismen"

Ud fra hvad jeg har kunnet få ud af folk fra NETS skyldes uoverensstemmelsen at NETS mener de kun har solgt Digitaliseringsstyrelsen en login løsning (applet + serverdel) som isoleret set fungerer sikkert under laboratorieforhold, og at det ikke er deres ansvar at sikkerheden fejler i praksis når løsningen anvendes i forbindelse med diverse websites.

  • 4
  • 0
Henrik Schack

Lidt underligt at nævne DMARC-beskyttelse, som slet ikke kan afhjælpe det her.


Ja enig, det er lidt mystisk :-)
Staten sender os ikke email som kunne være phis, de sender os E-Boks beskeder, som så medfører en email/SMS notifikation fra E-Boks.
Notifikationerne fra E-Boks kan til gengæld nemt være forfalskede, så det kunne være et godt sted at få implementeret DMARC.

  • 2
  • 0
Bjarne Nielsen

Henrik, nu taler du om konsekvens, men man kan retorisk spørge, om det nogensinde vil have nogen form for konsekvens?

Ud fra hvad jeg har kunnet få ud af folk fra NETS skyldes uoverensstemmelsen at NETS mener de kun har solgt Digitaliseringsstyrelsen en login løsning (applet + serverdel) som isoleret set fungerer sikkert under laboratorieforhold, og at det ikke er deres ansvar at sikkerheden fejler i praksis når løsningen anvendes i forbindelse med diverse websites.

Og det kan man langt hen ad vejen slippe af sted med, fordi man nægter at diskutere selv de mest overordnede omstændigheder omkring løsningen "af sikkerhedshensyn". Det er givetvist bekvemt, men også farligt, for det giver mulighed for at misforståelser i implementeringen vil kunne bestå i årevis.

Men er der ikke noget med, at EU arbejder med at løsninger, som påstår at de er sikre, skal certificeres? Vil det kunne have gjort en forskel her? Ville Nets så ikke være nødt til at rykke ud med de nævnte "laboratorieforhold", så vi kunne stille begavede spørgsmål til Digitaliseringsstyrelsen om, hvordan de havde tænkt sig at få det til at fungere i praksis?

  • 3
  • 0
Henrik Biering Blogger

Men er der ikke noget med, at EU arbejder med at løsninger, som påstår at de er sikre, skal certificeres? Vil det kunne have gjort en forskel her? Ville Nets så ikke være nødt til at rykke ud med de nævnte "laboratorieforhold", så vi kunne stille begavede spørgsmål til Digitaliseringsstyrelsen om, hvordan de havde tænkt sig at få det til at fungere i praksis?

Jo faktisk er det sådan at eIDAS forordningens bestemmelser om gensidig anerkendelse af eID træder i kraft den 29. september i år. I grove træk indebærer det:

Medlemslande, der udbyder elektroniske tjenester (f.eks. skatteindberetning, sociale ydelser m.m.) skal sikre adgang til disse for personer der har godkendte identifikationsløsninger fra deres hjemlande på mindst samme sikkerhedsniveau. Denne forpligtelse gælder dog kun, hvis sikkerhedsniveauet er fastsat til "Betydeligt" eller "Højt" jf. EU aftalerne, som den linkede danske standard reflekterer.

Borgere fra andre lande med notificeret eID skal fra den 29. september derfor kunne logge på de danske tjenester. Her er en oversigt over disse anmeldte ("Notified") løsninger. "Peer reviewed" angiver at der er foretaget en fælles ekstern gennemgang af løsningen, som kan initieres på begæring af ét eller flere andre EU lande.

Spørgsmålet er om Digitaliseringsstyrelsen vil forsøge at notificere NemID og får held med at luske NemID igennem et eventuelt krævet "Peer review" ud fra NETS' laboratorie-anskuelsesmåde. Jeg tror umiddelbart ikke det vil ske, da jeg ved flere af de andre landes myndigheder længe har været bevidst om NemID problemerne. Men gensidige studehandler finder jo af og til sted.

I mangel af notifikation eller med et fejlet peer review kan Digitaliseringsstyrelsen forsøge at indgå bilaterale aftaler med de øvrige lande, der måtte være villige til at acceptere NemIDs sikkerhedsniveau. Men da dette kun vil indebære bekvemmelighed for danske borgere - og ikke for myndighederne - vil der nok ikke blive lagt en stor indsats her.

Så mit gæt er at det først bliver med MitID at danskere vil kunne logge frit på offentlige tjenester i de fleste andre EU-lande.

  • 1
  • 0
Bjarne Nielsen

Så mit gæt er at det først bliver med MitID at danskere vil kunne logge frit på offentlige tjenester i de fleste andre EU-lande.

Tak for et oplysende svar, hvor du trods alt gav plads til nogle vurderinger.

Lad mig bruge det som afsæt for nogle personlige kommentarer om "det hele":

Tja, det er nok korrekt, at Digitaliseringsstyrelsen ikke har travlt med gøre det nemt for landets borgere at begå sig digitalt i resten af Europa. Det virker på mig klart som at de ser sig selv sat i verden for at værne om det offentliges digitalisering, og derfor er det nok rigeligt for dem, hvis udlandske borgere kan "tvinges" til at betjene sig selv hos os. Danske borgeres interesser i almindelighed, og i forhold til udlandet i særdeleshed, not-so-much.

Det sætter unægteligt også de fine skåltaler om, at Danmark skulle være verdensmester, foregangsland og frontløber udi digitaliseringens kunst noget i perspektiv, at lande som Estland, Kroatien og Italien er klar med en tilstrækkelig sikker løsning for deres borgere, mens vores Digitaliseringsstyrelse i den grad hænger i bremsen. Det virker til, at man har haft mere travlt med måltal end indhold, og prioriteret kvantitet over kvalitet. Måske for at sikkerhed er svært og underligt uhåndgribeligt, og at det man faktisk kan derfor i stedet er kommet til at løbe med broderparten af opmærksomheden? Så vi må nok trækkes med NemID og de andre landes rynken på næsen over dens ikke tilstrækkelige sikkerhed i en rum tid endnu. Er der i det hele taget nogen, som tør sætte en dato på MitID endsige hvornår det vil blive accepteret i udlandet?

Og så står vi - igen - i en situation, hvor dansk middelmådighed, småfusk og "går den, så går den" bliver udstillet af EU og deres irriterende insistieren på at det skal gøres ordentligt og redeligt - og at borgere skal tages alvorligt og ikke bare må tages for givet. Der tegner sig efterhånden et mønster. Bevares, studehandlerne står for tiden, som så ofte før, i kø i feltet imellem ministerråd, kommision og parlamentets såkaldt særlige udsendinge, men trods det, så virker det alligevel til at EU overordnet set formår at have en positiv korrigerende virkning på vores lokale politikere og deres ideer - måske fordi at der er godt med plads til forbedring?

PS: For en god ordens skyld, nej, jeg tænker ikke, at jeg ville kunne klare det bedre selv, men nu har jeg heller ikke stillet mig op og sagt "den klarer jeg", vel?

  • 2
  • 0
Jesper Utoft

En enkelt løsning på problemet ville være at alle skulle bruge den samme single signon side. På det samme domæne.
Det kan Google, Microsoft med flere finde ud af. Men for nemid er det nok for sent. Men mitId må forventes at fungere på en sådan måde.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize