Feature i NemID bidrager til tyveri af nøglekort

57 kommentarer.  Hop til debatten
Feature i NemID bidrager til tyveri af nøglekort
Illustration: Mads Allingstrup, Nets.
Nets kan ikke love, at den problematiske feature bliver udfaset.
15. juni 2020 kl. 10:42
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Ved at holde øje med, hvor mange koder, der er tilbage på nøglekortet er det lykkes svindlere at finde ud af, hvornår de skulle gå i deres ofres postkasser og stjæle de nye nøglekort. Det skriver DR.

Version2 har tidligere beskrevet i detaljer, hvordan et sådant angreb kan foregå:

Når man taster sit cpr-nummer og kode ind under login med NemID, får man nemlig oplyst, hvor mange nøgler der er tilbage på det eksisterende nøglekort. Der er tale om en feature og ikke en fejl, som Nets overfor 21 Søndag på DR ikke vil garantere at udfase.

Kodeordet til ofrenes NemID vurderes at være blevet opsnappet med en keylogger på et bibliotek, skriver DR.

57 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
57
17. juli 2020 kl. 08:34

Hvad angår app, så er den i hvert fald ikke mere sikker end hverken et stykke papir eller en kodeviser, som begge er offline.

Jeg ved ikke hvor meget kodeviseren fylder, men er glad for mit papkort, som er fladt og kan ligge i min pung :-)

Med hensyn til sikkerheden ved forsendelsen af papkort: Det ville være dejligt, hvis der (som nogen har foreslået) bliver sendt en sms og mail når der bestilles et nyt papkort --- og mand erved kan spærre det hvis man ikke selv har bestilt det.

56
16. juli 2020 kl. 22:44

Jeg fatter så bare ikke at man skal bruge så oldgammel en metode som et papkort.

Det er vel bedst til prisen (eller det var det nok, ved ikke om det stadig er det med PostNords mange portoforhøjelser) En nøgleviser er det eneste jeg kender som er bedre/mere sikker end papkortet, da man kun kan stjæle en kode ad gangen. Den er noget dyrere at lave end et papkort, til gengæld holder den nok noget længere. Måske har dyrere porto ændret ved business casen her?

Hvad angår app, så er den i hvert fald ikke mere sikker end hverken et stykke papir eller en kodeviser, som begge er offline. Med alt det skrammel der kører på en gennemsnitlig smartphone, så er det ikke en særlig god idé at bygge noget så kritisk som NemID ovenpå sådan en platform.

53
21. juni 2020 kl. 04:37

Suk... jo mere jeg hører om de her avancerede spear-phishing sager, jo mere træt bliver jeg. Hvornår lærer folk dog IKKE at benytte bibliotekets HELT IGENNEM USIKRE, malware-inficerede computere til bankforretninger og lignende? Og lad så være med at taste din kode med USB-tastaturet - brug applikationen Skærmtastatur (Windows), den kan en hardware-keylogger ikke afkode. Eller bedre: en USB-enhed som automatisk skriver din kode ved et tryk på en knap, evt. efter pinkode-oplåsning, som er forprogrammeret hjemmefra og opbevares på en krypteret chip.

Okay, I get it. Folk er ikke it-kyndige nok til at vide, hvordan man spotter en keylogger. Løsningen er lige for: Udfas nu for helvede det papkort og send alle danskere en autoriseret 2-faktor-auth-nøgle med et anonymt serienummer, som de skal afhente personligt på borgerservice og kvittere for modtagelse, og som er linket til deres Nemid-konto. Staten kunne sågar sponsorere den nuværende digitale nøglebriksløsning til alle med tryk på en knap over skattebilletten, og alle pap-tyverier inkl. korrupte postbude vil være fortid. Der vil først opstå problemer igen, når batteriet udløber og dimsen skal udskiftes (jeg har ikke prøvet at åbne den, så jeg ved ikke om manuelt batteriskift er en mulighed). Men mon ikke folk har et par dages tålmodighed til lige at få udleveret en ny fra borgerservice, da de fleste nøgler alligevel går til Eboks og sekundært netbanken.

Bottomline: 'Sikkerheden' i Nemid har spillet fallit for længe siden! Og efter de velkendte offentlige retssager om afsløret keylogging på bibliotekerne for flere år siden, fatter jeg ikke, at folk stadig tør bruge computerne. Mit personlige gæt er at der findes brodne kar på hendes arbejdsplads eller omgangskreds, som har noget at udsætte på hende, og at loggingen er foregået enten privat eller i et corporate environment, hvor sikkerheden formentlig er lige så ringe som i det offentlige rum.

USB som medie bør i øvrigt slet ikke være tilgængeligt for offentlig brug. Bare se på fænomener som BadUSB (eksekvering af bagdøre og malware på computere via HID-interface), USB Killer (fysisk ødelæggelse af printkort i computere med negativ overspænding) og 'juice jacking' (hvor intetanende rejsende bliver suget tør for information gennem skjulte mikrocomputere i vægkontakter og sædeindsatser i lufthavne). Uddan jer selv og hinanden! Spred viden om kendte sikkerhedstrusler til it-dummies, så de også opper sig og undlader de mest elementære fejl i deres daglige gøren og laden.

52
18. juni 2020 kl. 14:45

Under alle omstændigheder, bør systemet sende en SMS når et nyt kort aktiveres. På den måde får brugeren en advarsel, om end lidt sent.

Man kunne også lave en preaktivering, hvor modtagelse af kortet bekræftes. Igen med SMS. Herefter skal der gå f.eks. 2 timer før det kan tages i brug, hvilket dog kan være problematisk.

Aktivering kunne måske også ske ved at genbruge en kode, eller tage den sidste kode på det gamle kort. Igen kan det være problematisk.

49
16. juni 2020 kl. 21:29

Hvorfor sender man ikke nøglekortet i e-boks,

Fordi det IKKE må findes i digital form. Ting i digital for har det med at havne steder hvor det ikke skal.

Eksempelvis i cachen på en offentlig pc.

Eller udskriver du det til en netværksprinter, er der på ingen måde noget garanti for at det ikke sendes i klar kode over nettet fra maskinen til printeren. Og så kan alle igen lytte med, og opsnappe det.

Det er også derfor du ikke må affotografere det.

/Henning

48
16. juni 2020 kl. 19:49

Hvorfor sender man ikke nøglekortet i e-boks, dem der ikke har e-boks har sandsynligvis problemer med at komme i borgerservice, men så må der være et godt råd fra alle kloge menesker hvordan disse personer får et nyt nøglekort

47
16. juni 2020 kl. 17:10

det er nok desværre i bedste naivt at tro at en PC i det offentlige rum er helt ren.

45
16. juni 2020 kl. 14:30

Nets er slet ikke oppe i det gear, som hedder brugervenlighed - det behøver de jo heller ikke! De sidder med et guldæg og kun med en underligt IT-sikkerheds-inkompetent digitaliseringsstyrelse som controller - DET kan da kun gå galt

44
16. juni 2020 kl. 13:38

Det er muligt at bestille flere nøglekort --- det er derved muligt at have et ekstra kort som er låst godt og grundigt inde så andre ikke kan få fat i det.

Når det igangværende kort er f.eks. halvejs brugt bestilles et nyt kort, og det ekstra kort fra boksen aktiveres.

Proceduren anvendtes primært for at være sikker på at have et nøglekort hvis der skete noget med det igangværende ---- og sekundært beskytter den åbenbart også mod denne nye måde at snyde på.

Og så skal man naturligvis ikke lade kortet ligge og flyde i en skuffe --- særligt ikke hvis man bruger sit cpr-nummer som brugernavn.

43
16. juni 2020 kl. 13:30

Spørgsmålet om biblioteks-PC'ers sikkerhed er alt for specifikt: Problemet er at NETS/staten antager at:

  1. alle danskernes devices er sikre imod hacking, keyloggere osv.

  2. Nemid-kort er sikre fra de bliver afsendt til modtageren låser postkassen op.

Ad 1: De fleste her ved sikkert godt hvad man bør og kan gøre for at sikre sin PC - men hvad med Android- og iOS-devices? Jeg har flere der er uddaterede som jeg stadig bruger - garantien og sikkerhedsopdateringerne ophører jo typisk efter et par år - skal jeg så købe nye? NemID virker fint på gamle devices - men er det sikkert?

Alle danskere er forpligtet til at have og læse eboks via NemID. Nu frarådes man så stærkt at bruge bibliotekerne devices.

Skal kontanthjælpsmodtagere virkelig købe nye computere/OS/devices hvert andet år for at være sikre imod misbrug af den påtvungne epost-løsning? Er det kontanthjælpsmodtageres ansvar at deres devices er sikre at bruge NemID fra?

42
16. juni 2020 kl. 13:22

Men en usb forlænger koster 10-20 kr, så det er jo nemt løst :-)

41
16. juni 2020 kl. 12:52

I øvrigt troede jeg, at bibliotekerne havde fået styr på deres maskiner til offentligt brug, så brugerne ikke har fysisk tilgang, ej heller kan installere noget som helst på dem.

Det er jo ikke umuligt for bibliotekerne at få låst PC'erne ind i en fysisk kasse uden adgang, så tastatur/mus ikke kan fjernes, og man ikke kan benytte USB.

Udfordringen er dog, at så kan brugerne kun flytte data over Internet, hvis de f.eks. skal have printet et billede. Det giver andre udfordringer, for glemmer folk så at logge af deres dropbox og lignende ?

39
16. juni 2020 kl. 10:11

Det tænkte jeg nok, jeg bruger ikke selv de computere, så kan kun tale ud fra teksten her.

Jeg er lidt uforstående overfor, hvorfor det så skulle resultere i en "thumbs down". Men det er jo ikke sikkert det er fra dig.

37
16. juni 2020 kl. 09:36

Det er blevet skrevet, at adgangen til USB stikket er der, for at man kan arbejde med egne dokumenter. Sådan en computer på biblioteket burde være i en helt lukket kasse, med 1 USB stik på bordet ved tastaturet samt en meget tydeligt information, som alle kan forstå, at man skal fjerne evt USB enheder før man går igang. Computeren burde ligeledes blive nulstillet til bibliotekets opsætning ved logud/genstart, så evt vira er ryddet. Yderligere sikkerhed kunne opnås ved helt at nægte login sålænge der var sat en enhed i bruger-USB-stikket.

At lave foranstaltninger som beror på at "det burde man tænke på", det går altid galt. Murphys lov eksisterer stadig.

36
16. juni 2020 kl. 09:16

Man kunne jo gøre det til en vane at skifte adgangskoden regelmæssigt, som man jo gør alle andre steder, ikke. Når man så er inde på hjemmesiden for at skifte kode, så læser man selvfølgelig lige logfilen igennem. Hvor svært kan det være :-)

Nu er skift af adgangskode ikke længere en "anbefalet sikkerhedsforanstaltning", det er bedre med en lang (over 16 tegn) end en som skiftes hver tredje måned. I øvrigt kan man bruge NETS ganske udemærkede brik i stedet for papkort.

35
16. juni 2020 kl. 08:07

Det har vel aldrig være meningen at krydse dem af, så bliver der færre muligheder at huske hvis en ser et tilfældigt nøglekort.

Ideen er vel netop at ingen ved hvilke koder der er brugt eller ej, og en memorering derfor er umulig. Så fik alle telefon med kamera der virker.... og papkortet blev mere usikkert.

32
15. juni 2020 kl. 22:16
30
15. juni 2020 kl. 20:45

Uhm nej, det er faktisk en meget central sikkerheds-feature, der gør det muligt for brugeren at følge med i om andre har brugt (en kopi eller et foto af) hans papkort.

Så vis det tal efter vedkommende er logget ind og information om, hvor vedkommende var logget ind sidste gang og om vedkommende kan genkende det sted?

Du kan ikke bilde mig ind at der er ret mange som kan huske antallet af nøgler de har brugt? Jeg kan i hvert fald ikke og vidste slet ikke det var derfor tallet var der? Manglende evne til at formidle formålet med tallet til brugeren. Brugeren må antages at være dum i første omgang.

27
15. juni 2020 kl. 20:25

... så læser man selvfølgelig lige logfilen igennem.

Gælder de også de hundredtusinder som har pasord som 12345678, a1b2C3D4 o.lign.?

Det forekommer mig, at disse mange mennesker ikke vil læse logfilen igennem, og ofte ikke aner, at en sådan eksisterer og hvor man kan finde den på en offentligt tilgængelig PC.

25
15. juni 2020 kl. 19:48

der søges på "genafspilningsangreb", for at jeg kan blive klogere på, hvad det handler om. Der fremkommer ingen fund

Det er vist et godt eksempel på fordanskning der går galt. Når man fordansker et teknisk udtryk som Replay Attack, så bliver det sværere at finde ud af hvad der menes. Version2 er heller ikke for gode her.

Edit: når det er sagt, så bør det ikke være brugeren der skal beskytte sig mod Replay Attacks, det burde være en del af protokollen.

24
15. juni 2020 kl. 19:46

..og kræv fremvisning af billed id. Den oplagte nemme løsning.

Tja. Mange har pas eller kørekort, men hvad med dem som hverken har det ene eller det andet?

Problemet er vel nærmere at man ikke skal bruge en kode fra det gamle kort til at aktivere det nye kort. Ja det gør det nemt når man har mistet det gamle, men det giver ikke meget sikkerhed.

/Henning

23
15. juni 2020 kl. 18:55

Vis dog antal nøglerefter man har logget successfuldt på

21
15. juni 2020 kl. 17:57

Problemet består jo i at en eller anden marketing/ikke sikkerhedskyndig har fået den ide om at brugeren skal vide hvor mange nøgler der er tilbage på det nuværende kort.

Uhm nej, det er faktisk en meget central sikkerheds-feature, der gør det muligt for brugeren at følge med i om andre har brugt (en kopi eller et foto af) hans papkort.

Problemet er at man opfatter postvæsnet som en sikker levering og ikke kræver at det nye kort "åbnes" med en kode fra det gamle.

20
15. juni 2020 kl. 17:42

Problemet er jo ikke at nøglekortet bliver fremsendt via posten og nogen fisker det op, der vil altid være en angrebsvinkel og de vil altid kunne udnyttes. Men den her vinkel med information omkring, hvor mange nøgler der er tilbage er jo stupidt.

Problemet består jo i at en eller anden marketing/ikke sikkerhedskyndig har fået den ide om at brugeren skal vide hvor mange nøgler der er tilbage på det nuværende kort. Hvis den information ikke er der, så skal angriberen fiske i postkassen, hver eneste dag, for de ved ikke, hvornår det er plausibelt at der er et nyt kort i postkassen.

Email omkring nyt login fra en ukendt lokation bør være standard i sådan et system, alle andre kritiske systemer der vil deres sikkerhed ordentligt gør det.

Audit log, så borgeren kan se, hvor der er logget ind fra og flagge logins, således at myndighederne ved at disse logins ikke er nogen brugeren kender til. Brug noget AI, så systemet også selv kan se at det nok formegentligt ikke er brugeren selv, da man de sidste x gange er logget ind fra et helt andet område.

Det er ikke så svært at lave sådan noget i dag! Måske for nets?

18
15. juni 2020 kl. 16:59

Ikke så nemt hvis du bor i et andet land, det bliver lidt for lang vej til Borgerservice...

17
15. juni 2020 kl. 16:25

For at logge ind på Københavns Kommunes biblioteker er brugernavn CPR og adgangskoden er en pinkode. Og det kan ikke laves om.https://bibliotek.kk.dk/hjaelp/generel-info/opret-dig-som-bruger

NemId pusher for at man bruger pinkode frem for password og brugernavn kan altid falde tilbage til CPR nummer.https://www.nemid.nu/dk-da/kom_i_gang_med_nemid/aktiver_nemid/nemid_adgangskode/den_4_cifrede_adgangskode/

Bibliotekscomputerne er sjældent sikrede mod key loggers.

Folk genbruger pinkoder.

Det er ikke svært at lægge 2 og 2 sammen her.

16
15. juni 2020 kl. 16:03

Man kan meget nemt få lavet et tungt system, der intet gør for sikkerheden. Hvordan skal man sikre, at folk faktisk får de id-kort, der vedrører dem selv? Og at der kommer de rigtige billeder på? Møde op på Borgerservice? Som identificerer folk hvordan? DNA-test? Politiets overvågningsbilleder? Forhør om personlige detaljer?

15
15. juni 2020 kl. 15:37

Nu vi er ved det: er det virkeligt så svært at få et billede på sygesikringskortet og få det gjort til et reelt ID kort? Virksomheder har i lange tider udstedt ID kort med billede i nøjagtig samme format som sygesikringskortet.

Et reelt ID kort er på niveau med et pas og kræver at at man har dansk statsborgerskab. Ikke statsborger fra 3. lande skal have et opholdstilladelse i samme format. Men borgere fra de andre nordisk lande behøver ikke noget ID for at bor og arbejde i Danmark. Men sygesikringsbevis/sundhedskort er total neutral over for statsborgerskab....

14
15. juni 2020 kl. 15:20

Det er ikke nødvendig at vise ID for at hente et nøglekort. Man kan nøje med at få udleveret et tilfældige kort, som man senere registere med login med en kode fra den gamle nøglekort. Der er et uniq id som kan bruges, som kan ses, når man åbner for det nye kortet. og mig beskendt er det procedure, som allerede bruges.

13
15. juni 2020 kl. 15:05

Borger.dk sælger legitimationskort for op til 150,-

11
15. juni 2020 kl. 14:38

... og hvem er det lige, der skal sørge for, at man har et billed-id? ;-)

Alle har eller kan få et Pas som er gyldigt billed-id (selv om bankerne ikke kan li' det), desuden er kørekort også et billed-id.

Nu vi er ved det: er det virkeligt så svært at få et billede på sygesikringskortet og få det gjort til et reelt ID kort? Virksomheder har i lange tider udstedt ID kort med billede i nøjagtig samme format som sygesikringskortet.

9
15. juni 2020 kl. 13:43

..og kræv fremvisning af billed id. Den oplagte nemme løsning.

Ja, lad os da møde op i Borgerservice, som har åbent 6. torsdag i måneden mellem 12.30 og halv et for at fremvise billedid, som der ikke er noget krav om, at vi har.

Pt. synes jeg at bedste bud på en løsning i denne tråd, er at sende besked til brugeren, hvis der logges ind fra en ny enhed.

8
15. juni 2020 kl. 13:12

.. er ved sikkerheden i NemId:

Ved forsøg på at logge på for et par timer siden, fremkom følgende fejlmeddelelse:

"Vi har fundet er muligt genafspilningsangreb. Genstart din browser og prøv at logge på igen."

Det lyder jo foruroligende, og som den amatør, jeg er, lukkes browser helt ned, genåbnes, og der søges på "genafspilningsangreb", for at jeg kan blive klogere på, hvad det handler om. Der fremkommer ingen fund. Så går jeg ind på NemID.nu, og søger på "genafspilningsangreb". Heller ikke her fremkommer noget,

Henvendelse via chatten bidrager - efter en del ventetid - med samme råd: "Prøv igen!" Men ingen forklaring.

Er det for meget forlangt, at det er muligt at få forklaringer på den slags foruroligende advarsler/fejlmeldinger?

Efterfølgende har jeg kunnet logge på uden problemer .... men det kunne da godt lyde som noget, man som bruger på en eller anden måde burde forholde sig til af hensyn til sikkerheden. Men hvordan?

7
15. juni 2020 kl. 13:02

Man kunne jo gøre det til en vane at skifte adgangskoden regelmæssigt, som man jo gør alle andre steder, ikke. Når man så er inde på hjemmesiden for at skifte kode, så læser man selvfølgelig lige logfilen igennem. Hvor svært kan det være :-)

6
15. juni 2020 kl. 12:49

I øvrigt troede jeg, at bibliotekerne havde fået styr på deres maskiner til offentligt brug, så brugerne ikke har fysisk tilgang, ej heller kan installere noget som helst på dem.

  1. så vidt jeg har forstået kører keyloggeren direkte fra usb-stikket, hvor data også gemmes, og man sætter den i om morgenen og henter den igen inden lukketid, dvs ingen installation.
  2. det er oplagt, at der slet ikke er usb i bibliotekets maskiner (tastatur og mus kan tilsluttes med ps2), men så ryger en del af fleksibiliteten for brugerne jo også. Det er jo netop meningen at man kan arbejde på maskinerne, og dermed loade egne dokumenter, gemme sit arbejde, downloade ting, osv.
4
15. juni 2020 kl. 12:12

..og kræv fremvisning af billed id. Den oplagte nemme løsning.

3
15. juni 2020 kl. 11:36

og ikke være så fodslæbende. Alle ved da også, at post er farligt her opsnappes vigtig information de tkaldes at stjæle, ligesom det kan sek i lufthavnen med PC'er og lignende. Det er helelr ikke ebtryggende a tmange bruger Cpr nummeret i forbindelse med login, cpr jo bestandigt lækkes til alle. Og selvfølgeig skal man som skrevet opsnappe både login og password for at komme i gang men med keyloggers er det jo nemt. Og hvem siger det kun kan ske på biblioteket - det kan også være på WiFi og hjemme.

2
15. juni 2020 kl. 11:33

Mange services sender i dag en email eller en anden for notifikation når du logger ind på en ikke tidligere kendt enhed. Ift. den sag som DR omtaler, så tænker jeg at det ville være en oplagt forbedring at gøre borgeren opmærksom på logins på nye enheder, så kan man på et oplyst grundlag konkludere det nok er tid til at ændre kodeord.

1
15. juni 2020 kl. 11:05

Denne service-feature gør det ikke alene.

Man skal jo have tilranet sig både brugerens CPR og NemID-adgangskode, foruden at man skal være i stand til og have held med at stjæle den fremsendte kuvert med brugerens nye nøglekort.

Lidt af et kunststykke. Det tog da også gerningsmændene et halvt år.

Rådet må være, at man holder øje med om forbruget af koder følger ens brugsmønster. Problemet er så, at mange bruger NemID-appen og derfor sjældent eller slet ikke ser forbruget af koder.

I øvrigt troede jeg, at bibliotekerne havde fået styr på deres maskiner til offentligt brug, så brugerne ikke har fysisk tilgang, ej heller kan installere noget som helst på dem.