Sikkerhedsekspert: NemID's forspring i våbenkapløbet er indhentet

Angrebet mod otte netbankkunder hos Danske Bank kan lade sig gøre på grund af en grundlæggende svaghed i NemID - loginløsningen bør snarest mulig forbedres, inden hackerne får for meget forspring, mener ekspert.

Så skete det igen. Der er lykkedes en eller flere kriminelle bagmænd af franarre NemID-brugere, deres loginoplysninger, som bagmændene derefter har brugt til at begå indbrud i ofrenes netbank.

Denne gang er det gået udover Danske Bank, og selvom angrebet teknisk adskiller sig en smule fra det angreb, der i september 2011 gik udover en række Nordea kunder, så er der grundlæggende tale om samme type angreb. Nemlig et såkaldt realtime phishing-angreb, hvor de kriminelle sidder klar til at anvende en nøgle fra brugerens nøglekort, så snart ofret bliver lokket til at indtaste den i et falskt vindue.

Læs også: Netbanktyve bryder gennem NemID igen: Stjæler 700.000

It-sikkerhedsekspert og direktør i Fortconsult Ulf Munkedal var i forlængelse af det første netbankangreb og i forbindelse med den demonstrations-video, Version2 producerede på baggrund af angrebet, ude med riven i forhold til det grundlæggende design i NemID, som blandt andet betyder, at løsningen er sårbar overfor realtime phishing-angreb. Og det kommer da heller ikke bag på sikkerhedseksperten, at det nu igen er lykkedes for kriminelle at begå indbrud i en netbank beskyttet med NemID.

»Der har jo beviseligt været et fald i antallet af netbankindbrud i en periode, men nu begynder hackerne at vinde ind på systemet igen, hvilket var forudsigeligt. NemID har givet os et forspring i våbenkapløbet, men nu skal vi finde på vores nyt, ellers kommer hackerne til at overhale os,« siger Ulf Munkedal.

Han efterlyser en ny og åben designfase til et system, der kan afløse eller opgradere sikkerheden i det nuværende NemID, som altså i praksis har vist sig sårbart ved flere lejligheder overfor man-in-the-middle-baserede realtime-phishing angreb.

»Det, der for alvor bekymrer mig, er at NemID skal udbredes til hele den danske infrastruktur. Så synes jeg, det bliver alvorligt. Jo mere, vi får det udbredt NemID, jo mere kompromisløse bliver vi også nødt til at være. Jo mindre kan vi tillade os at have en lavpraktisk holdning til sikkerheden,« siger Ulf Munkedal og tilføjer:

»Bankerne kan jo selv styre, hvor stor en risiko, de ønsker at tage, men det danske samfund, med alle de sites, det logger ind til og intentionen om, hvordan NemID skal udbredes, der bliver vi altså nødt til at være lidt mere kompromisløse med sikkerheden.«

Han håber, at der nu vil blive rejst en åben debat om, hvordan sikkerheden i NemID kan forbedres med gode argumenter for og imod alternativer.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (37)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Mikael Ibsen

Nem ID-systemet er bygget op på, at man som bruger med sit lille papkort først pænt skal identificere sig over for "Systemet", som derefter accepterer een, hvis man ellers ikke har været alt for fummelfingeret. Og hvis "Systemet" så viser sig at være falsk på den ene eller anden måde er det bare dyrt og ærgerligt - og anledning til et par kærkomne avisnyheder i agurketiden. Da talentmassen i kriminelle kredse absolut ikke bør undervurderes, vil en fastholdelse af denne fast etablerede tankegang om brugerens høflige banken på slotsporten i den traditionelle eensidige kommunikationsretning utvivlsomt blive årsag til endnu flere og endny mere raffinerede phishingmetoder - med tilhørende ærgelser og trakasserier om hvis skyld hvad er. Hvis man nu var parat til at vende tankegangen lidt om, kunne en løsning være, at der suppleres med, at "Sytstemet" i visse situationer også skal identificere sig over for brugeren. Dette kan ske ved at man fra sit papkort, som man må formodes at have i sin varetægt under processen, indtaster en tilfældig af de 4-cifrede koder, hvorefter systemet gerne skulle returnere den korrekte tilsvarende 6-cifrede ditto. Bøvlet? Ja, selvfølgelig, men hvis det opleves for bøvlet, kunne Tur-Retur Nem-ID muligvis begrænses til kun at blive afviklet ved penge/værdi-overførsler, dog med reduceret sikkerhed til følge. Ved brug af den lille nummerviser, skal der tilsvarende bare dukke en korrekt 6-cifret kode op på skærmen, som svarer til næste tryk på gummiknappen.

Mikael Ibsen

  • 1
  • 0
#4 Baldur Norddahl

Nej hvis der er malware på din computer kan hackeren bare overtage din browser og begå handlingen den vej. Faktisk vil det være trivielt at lade et program gøre det hele automatisk. Hackeren behøver slet ikke have en server stående. Han har bare en konto hvor der en dag dukker nogle penge op...

  • 6
  • 1
#5 Jan Heisterberg

@Michael Ibsen: Forklar lige hvorfor din løsning ikke falder til jorden såfremt pap-kortet er stjålet ?

Iøvrigt synes jeg banktyveri er trivielt og ligegyldigt - det er jo KUN penge, OG det er - omsætningen taget i betragtning - meget ringe i omfang.

Langt mere alvorligt er, at den stjålne net-ID giver adgang til alle andre offentlige systemer. Nogle adgange vil være ubehagelige på grund af "hemmeligheder" (men er det nu så slemt), men der er måske andre, mere uoprettelige, muligheder - eller er der ? Måske er det mest en følelse af ubehag.

Så måske er løsningen, at diverse myndigheder OG banker åbner mulighed for en "Fort Knox" registrering af borgeren - hvilket betyder, at adgangene KUN kan ske fra særligt sikrede PC'ere. Altså PCer som findes på sikrede lokationer (banklokaler, kommunelokaler). Så kunne den nævnte IP-adresse-løsning få en brugbar udførelse. Eller hvad ?

  • 2
  • 1
#6 Baldur Norddahl

Vi kommer ikke udenom en løsning, som indebærer en sikker terminal. Computeren bliver aldrig en sikker terminal i sig selv. Men den kan bruges sammen med en lille håndholdt terminal, således at terminallen bruges til login og underskrift på transaktioner.

Et eksempel på en sådan terminal er det tyske ChipTAN http://www.youtube.com/watch?v=U7PnC1S-j4I

ChipTAN er gammel - det kan naturligvis komme til at se meget mere elegant ud.

DanID vil ikke fordi en terminal er dyrere end et papkort. Men det er eneste vej frem.

Der er en del røster, deriblandt fremtrædende politikkere, der i disse dage siger at NemID er godt og at det alligevel ikke nytter at starte et våbenkapløb. Men det er noget vrøvl. En terminalløsning bliver ikke hacket. Der har man fjernet den primære sårbarhed som er brugerens computer.

  • 1
  • 0
#7 Mikael Ibsen

Hvis både din bruger-id og din adgangskode stjæles med phishing, og dit papkort så derefter stjæles fysisk, vil der være et fatalt problem, idet tyven jo dermed har overtaget hele din Nem-ID-identitet, og så er vi overe i en helt anden boldgade. Det vil derfor nok være en god ide at lukke for festen med det samme, hvis man opdager at papkortet er væk...

Men hvis dit "bare" pap-kort er væk, vil du jo under ingen omstændigheder begynde at logge ind, og dermed er der ikke så noget at phishe. Der skal phishes først - og stjæles papkort bagefter, i nævnte rækkefølge, hvilket selvfølgelig ikke kan udelukkes at blive en etableret rutine i den fremtidige kriminelle verden, om end lidt mere mere ulejlighedskrævende og fysisk udfordrende for de involverede skarnspersoner. Men pas under alle omstændigheder godt på pap-kortet eller nummerviseren.

Mikael Ibsen

  • 1
  • 0
#9 Jakob Damkjær

Husk denne del af pressemedelelsen...

" Sagerne er overdraget til politiet, og kunderne holdes i alle tilfælde skadesløse."

Så politiet vil gennem inter eller europol spore overførselerne via IBAN systemet og kunderne har fået pengene tilbage...

Så de eneste "ofre" her er et par forsikringsselskaber der har skulle udbetale lidt præmie.

Så længe overførslerne er sporbare og Nets/bankerne holder kunderne skadesløse så er det ret svært at retfærdigøre at gendesigne det hele, når det er et fåtal der er blevet kompromiteret.

Man kan jo også bare bryde in i et hus og sætte en usb nøgle i pcen indstalere en keylogger, finde nøglekortet og ta et billede af det. Det er der mange der ville gøre for 100.000 kr.

Er der nogen der går ud og installere en topmoderne lås, skifter alle yderdøre med indbrudssikrede døre, instalere videoovervågning og et vagtselskab til at overvåge det hele med udrykningstjeneste 24/7 fordi den risiko eksistere ?

Nope for det er for dyrt og vil med stor sandsynelighed aldrig kunne betale sig for langt de fleste...

og hvis det var nemt og til at automatisere så ville tyvene aldrig ha støvsuget kontoerne. De ville ha taget 200 kr per konto om måneden og kaldt det noget som folk aldrig havde bidt mærke i, det var aldrig blevet opdaget og anmeldt og hvis man gør det ved en 100.000 kontoer i et år så har man 240.000.000 kr. om året og det er slet ikke at kimse ad.

Et tiltag som ville gøre den nuværende sårbarhed meget nemmere er at kunne kræve at bankløsninger bekræfter overførsler og handlinger med en nemID kode (fx som det svenske system hvor man laver en betalingskø og når man så vil sætte den igang så skal man taste en kode igen).

Sådan var det i det gamle jyskebank system (kode ved login og kode ved handling) der mig bekendt "led" af samme sårbarhed overfor man in the middle realtime spearphishing angreb som NemID men der var bare aldrig nogen sager om at det blev kompromitteret...

Det er en praktisk gennemførbar løsning der vil forbedre sikkerheden markant, med relativt begrænset krav om at lære folk at benytte et nyt system.

  • 1
  • 3
#13 Uffe Kousgaard

Da jeg forleden overførte et lidt større beløb til en konto i anden bank, fik jeg en SMS med en 4-cifret kode, som skulle indtastes udover pin koden fra papkortet m.v. Virker ret sikkert på mig og ret enkelt.

  • 0
  • 0
#14 Nicolai Klausen

Her er det en netbank, så her er det nemt at holde folk skades fri - Men NemID kan brugs til andet en Netbank... Hvordan vil du holde nogen skades fri for identitets tyveri? Hvordan vil du hold folk skades løses for læk af personlige oplysninger?

  • 3
  • 0
#15 Maciej Szeliga

Så politiet vil gennem inter eller europol spore overførselerne via IBAN systemet og kunderne har fået pengene tilbage...

...og vil ende ved en tom konto ejet af en John Doe boende på en ikke eksisterende adresse i ydre Mongoliet. Det er ikke alle steder i verden der er krav om at komme med noget som helst ID når man opretter en konto, til gengæld bruger næsten alle banker IBAN (International Bank Account Number) som giver mulighed for overførsel af penge på få sekunder gennem f.eks. SWIFT.

  • 3
  • 0
#17 Claus Pedersen

En moderne chiptan vil nok bruge de velkendte 2D-stregkoder. Zap koden på skærmen, læs hvad der står på terminalen og indtast koden.

Alternativt sæt den i USB-porten.

Simpelt hackerfrit system. Det er ikke meget sværere end et papkort og det løber ikke tør for koder.

Hvad er det der gør den hackerfri?

Du har selv sagt at forbryderen kan præsentere og proxy hvad som helst igennem brugerens PC. Så hvorfor skulle de ikke bare kunne præsentere 2D stregkoden for brugeren som så zapper den og taster koden. Forskellen er jo den samme?

  • 0
  • 0
#18 Mikael Ibsen

kommer ind i billedet. Så længe der ikke er nogen, som har hugget dem, sidder man på en unik oplysning, som kun kendes af dig og Nem-ID. Hvis du modtager den rigtige returoplysning, kan den kun komme fra/via det rigtige "System" - og du er dermed på den rigtige hjemmeside. Det kan godt være du bliver aflyttet, men da koderne er eengangskoderne, og du stadig sidder på pap-kortet eller nummerviseren, hjælper det ikke hackeren i næste forsøg.

  • 0
  • 2
#19 Baldur Norddahl
  • 2
  • 0
#20 Claus Pedersen

Men hvorfor skal de forfalske den?

Pointen er vel netop her at det eneste der er falsk her er selve overførslen, resten foregår real time imens brugeren sidder med netbanken. Så crackeren viser jo bare den 2D barkode, som de bliver spurgt om, til kunden som så taster bekræftelseskoden ind.

  • 0
  • 0
#23 Maciej Szeliga

Fejlen ved nemid sidder halv meter fra skærmen,løsning fjern brugeren fra computeren

Nej, det gør den ikke. Fejlen sidder i hovedet hos de folk hos Nets som har udtænkt NemID, flere here på Version2 havde påpeget lige præcis dette problem inden NemID gik i luften og alle blev fejet af bordet med "det sker jo ikke" og selv da Version2 demonstrerede problemet blev det fejet af bordet med "det kræver jo at hackeren sidder ved sin computer på samme tid som offret"... nu har man så automatiseret processen (og det var selvklart at det ville ske). Vi kan dårligt klandre politikerne for deres manglende indsigt for de er ikke eksperter i IT sikkerhed...

  • 4
  • 0
#24 Christian Nobel

Desværre er den lidt mere omstændig at slæbe rundt på end papkortet :-)

Er det ikke en lille pris at betale for at få en væsentlig højere sikkerhed - og uagtet hvad, så vidner de seneste hændelser jo om at man under alle omstændigheder skal benytte en computer man har 100% magt over, og som man er 100% sikker er opdateret inden for den sidste time, ellers er det jo selvforskyldt og dumhed i følge nogen.

Og så er det vist så som så med at slæbe rundt på ret meget.

  • 0
  • 0
#27 Deleted User

Jeg kan ikke lade være med igen at nævne den svenske løsning, som jeg er ret begejstret for.

Når jeg logger på min svenske netbank, udleverer browseren straks (inden jeg har indtastet personnummer eller brugernavn) en challenge code.

Den kode taster jeg ind i min lille kortlæser, hvori jeg først har anbragt mit VISA-kort. Derefter skal jeg indtaste min pinkode til kortet. Så får jeg en svarkode, som jeg logger ind med, sammen med mit personnummer.

Hver gang jeg skal foretage mig noget med min konto, overføre penge, ansøge om kredit, eller hvad det nu er, får jeg igen vist en ny challenge code, som jeg svarer på med min kortlæser.

Betingelsen for at jeg kan gøre noget som helst er altså den samme som IRL, jeg skal have mit VISA-kort og min pinkode til kortet, og intet andet.

Den samme løsning bruges til digital identifikation i alle mulige andre sammenhænge, og her kan brugeren som regel selv vælge om han vil have fuld sikkerhed (kortlæseren tilsluttet PC via USB), eller om han vil vælge at generere en digital signatur, som kan vel at mærke til enhver tid selv kan ændre pinkode på.

En lille kortlæser til måske 50 kr ved kvantum, og vi ville have et absolut fool-proof system, og vi ville endda få vores gode gamle signatur igen, i en stærkt forbedret udgave, for det der måtte ønske det.

  • 2
  • 0
#29 Finn Aarup Nielsen

Gensidig identifikation mellem NemID og bruger hjælper ikke, - det er jo allerede i gang: I det en normal papkortsbruger får et nummer i forbindelse med login kan han chekke om han har forbindelse til NemID. Der er kun vist omkring 1% chance for at angriberen gætter nummeret. De real-time phishing angreb der har været har brugeren haft forbindelse til NemID og de har begge identificerede sig. Brugeren har blot ikke været klar over at der var en man-in-the-middle.

Autorisation af transaktionen med f.eks. mobiltelefon (som andre har foreslået) beskytter ikke mod lækage af information såsom sundhedsoplysninger og skatteoplysninger som også kan være noget værd.

  • 0
  • 0
#30 Baldur Norddahl

Autorisation af transaktionen med f.eks. mobiltelefon (som andre har foreslået) beskytter ikke mod lækage af information såsom sundhedsoplysninger og skatteoplysninger som også kan være noget værd.

Det er der ikke ret meget der gør. Hvis du selv er logget ind på skat.dk for at læse din forskudsopgørelse, hvordan vil du forhindre at en hacker læser med over skulderen?

Værre er det at SMS baserede løsninger kommer til kort hvis det er mobilbanken som er hacket.

  • 1
  • 0
#31 Finn Christensen

Sikkerhed er stort set altid bøvlet, men når ens surt fortjente midler er i farezonen, er de fleste dog almindeligvis ret motiverede...

"surt fortjente" har en dansker nok øjet på, men i øjeblikket kan der listes private og følsomme data/oplysninger for vel ca. 3 mio. personer - skat, kommuner, eboks mm. mm.

Der mangler intet på kontoen (tag en kopi), der er intet at afstemme, og du kan ikke se nogen var på besøg. Oplysningerne kan sælges til gode penge i visse skumle kredse.

En dag bliver du kontaktet af nogle, som giver dig et tilbud, som du ikke kan afslå, og så er det for sent ar ændre tumbeID - fuglen er fløjet.

  • 1
  • 0
#34 Martin Jensen

Hvad så med identitetstyveri?

Hvordan får du en ny finger eller et nyt øje, hvis nogen 'tager en kopi' - eller tager dem med vold?

Biometri er kun godt hvis dem der laver trusselsvurderingen er med på at ofre en identitet en gang i mellem.

"Desværre, dit fingeraftryk/iris-scan er meldt kopieret, og er ugyldigt. Henvend dig for at få nyt øje/finger."

  • 1
  • 0
#36 Johnny Larsen

Citat fra NemID's hjemmeside: "Dit NemID opbevares på en sikker central server hos Nets DanID, som står for udvikling og drift af NemID. Langt de fleste hackere bryder i dag ind på almindelige brugeres computere. Hvis NemID lå på din egen computer, ville NemID kunne kompromitteres af it-kriminelle, som tiltvang sig adgang til din computer."

MEN - det hjalp altså ikke at opbevare signaturen decentralt. Sikkerheden sidder stadigvæk 40-50 cm fra skærmen - og det bliver den ved med, uanset hvilken sikkerhedsmetode man anvender.

  • 1
  • 0
#37 Jesper Lund

MEN - det hjalp altså ikke at opbevare signaturen decentralt. Sikkerheden sidder stadigvæk 40-50 cm fra skærmen - og det bliver den ved med, uanset hvilken sikkerhedsmetode man anvender.

Det er langt værre at kommunikationen mellem dig og DanIDs servere ikke kan sikres. Det er ikke nødvendigt med malware på din computer for at angribe NemID. MiTM angrebet kan lige så godt komme på vejen mellem din computer og DanID.

  • 0
  • 0
Log ind eller Opret konto for at kommentere