Feature i NemID bidrager til tyveri af nøglekort

Illustration: Mads Allingstrup, Nets
Nets kan ikke love, at den problematiske feature bliver udfaset.

Ved at holde øje med, hvor mange koder, der er tilbage på nøglekortet er det lykkes svindlere at finde ud af, hvornår de skulle gå i deres ofres postkasser og stjæle de nye nøglekort. Det skriver DR.

Version2 har tidligere beskrevet i detaljer, hvordan et sådant angreb kan foregå:

Læs også: Bankerne sjusker med NemID-nøglekort: Kostede ung lærer 270.000 kroner

Når man taster sit cpr-nummer og kode ind under login med NemID, får man nemlig oplyst, hvor mange nøgler der er tilbage på det eksisterende nøglekort. Der er tale om en feature og ikke en fejl, som Nets overfor 21 Søndag på DR ikke vil garantere at udfase.

Læs også: Sjusk med NemID-nøglekort: Derfor udgør bankerne det svageste led

Kodeordet til ofrenes NemID vurderes at være blevet opsnappet med en keylogger på et bibliotek, skriver DR.

Læs også: »Idiotisk telefonsystem«: Derfor kan enhver stå bag SMS'en fra din mor eller chef

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (57)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Gustav Brock

Denne service-feature gør det ikke alene.

Man skal jo have tilranet sig både brugerens CPR og NemID-adgangskode, foruden at man skal være i stand til og have held med at stjæle den fremsendte kuvert med brugerens nye nøglekort.

Lidt af et kunststykke. Det tog da også gerningsmændene et halvt år.

Rådet må være, at man holder øje med om forbruget af koder følger ens brugsmønster. Problemet er så, at mange bruger NemID-appen og derfor sjældent eller slet ikke ser forbruget af koder.

I øvrigt troede jeg, at bibliotekerne havde fået styr på deres maskiner til offentligt brug, så brugerne ikke har fysisk tilgang, ej heller kan installere noget som helst på dem.

  • 15
  • 1
#2 Mark Klitgaard

Mange services sender i dag en email eller en anden for notifikation når du logger ind på en ikke tidligere kendt enhed. Ift. den sag som DR omtaler, så tænker jeg at det ville være en oplagt forbedring at gøre borgeren opmærksom på logins på nye enheder, så kan man på et oplyst grundlag konkludere det nok er tid til at ændre kodeord.

  • 15
  • 0
#3 Knud Larsen

og ikke være så fodslæbende. Alle ved da også, at post er farligt her opsnappes vigtig information de tkaldes at stjæle, ligesom det kan sek i lufthavnen med PC'er og lignende. Det er helelr ikke ebtryggende a tmange bruger Cpr nummeret i forbindelse med login, cpr jo bestandigt lækkes til alle. Og selvfølgeig skal man som skrevet opsnappe både login og password for at komme i gang men med keyloggers er det jo nemt. Og hvem siger det kun kan ske på biblioteket - det kan også være på WiFi og hjemme.

  • 0
  • 2
#6 Thomas Jensen

I øvrigt troede jeg, at bibliotekerne havde fået styr på deres maskiner til offentligt brug, så brugerne ikke har fysisk tilgang, ej heller kan installere noget som helst på dem.

  1. så vidt jeg har forstået kører keyloggeren direkte fra usb-stikket, hvor data også gemmes, og man sætter den i om morgenen og henter den igen inden lukketid, dvs ingen installation.
  2. det er oplagt, at der slet ikke er usb i bibliotekets maskiner (tastatur og mus kan tilsluttes med ps2), men så ryger en del af fleksibiliteten for brugerne jo også. Det er jo netop meningen at man kan arbejde på maskinerne, og dermed loade egne dokumenter, gemme sit arbejde, downloade ting, osv.
  • 1
  • 0
#7 Carsten Andersen

Man kunne jo gøre det til en vane at skifte adgangskoden regelmæssigt, som man jo gør alle andre steder, ikke. Når man så er inde på hjemmesiden for at skifte kode, så læser man selvfølgelig lige logfilen igennem. Hvor svært kan det være :-)

  • 1
  • 12
#8 Anne-Marie Krogsbøll

.. er ved sikkerheden i NemId:

Ved forsøg på at logge på for et par timer siden, fremkom følgende fejlmeddelelse:

"Vi har fundet er muligt genafspilningsangreb. Genstart din browser og prøv at logge på igen."

Det lyder jo foruroligende, og som den amatør, jeg er, lukkes browser helt ned, genåbnes, og der søges på "genafspilningsangreb", for at jeg kan blive klogere på, hvad det handler om. Der fremkommer ingen fund. Så går jeg ind på NemID.nu, og søger på "genafspilningsangreb". Heller ikke her fremkommer noget,

Henvendelse via chatten bidrager - efter en del ventetid - med samme råd: "Prøv igen!" Men ingen forklaring.

Er det for meget forlangt, at det er muligt at få forklaringer på den slags foruroligende advarsler/fejlmeldinger?

Efterfølgende har jeg kunnet logge på uden problemer .... men det kunne da godt lyde som noget, man som bruger på en eller anden måde burde forholde sig til af hensyn til sikkerheden. Men hvordan?

  • 12
  • 0
#9 Palle Due Larsen

..og kræv fremvisning af billed id. Den oplagte nemme løsning.

Ja, lad os da møde op i Borgerservice, som har åbent 6. torsdag i måneden mellem 12.30 og halv et for at fremvise billedid, som der ikke er noget krav om, at vi har.

Pt. synes jeg at bedste bud på en løsning i denne tråd, er at sende besked til brugeren, hvis der logges ind fra en ny enhed.

  • 9
  • 1
#11 Maciej Szeliga

... og hvem er det lige, der skal sørge for, at man har et billed-id? ;-)

Alle har eller kan få et Pas som er gyldigt billed-id (selv om bankerne ikke kan li' det), desuden er kørekort også et billed-id.

Nu vi er ved det: er det virkeligt så svært at få et billede på sygesikringskortet og få det gjort til et reelt ID kort? Virksomheder har i lange tider udstedt ID kort med billede i nøjagtig samme format som sygesikringskortet.

  • 5
  • 1
#14 Steen Thomassen

Det er ikke nødvendig at vise ID for at hente et nøglekort. Man kan nøje med at få udleveret et tilfældige kort, som man senere registere med login med en kode fra den gamle nøglekort. Der er et uniq id som kan bruges, som kan ses, når man åbner for det nye kortet. og mig beskendt er det procedure, som allerede bruges.

  • 1
  • 0
#15 Steen Thomassen

Nu vi er ved det: er det virkeligt så svært at få et billede på sygesikringskortet og få det gjort til et reelt ID kort? Virksomheder har i lange tider udstedt ID kort med billede i nøjagtig samme format som sygesikringskortet.

Et reelt ID kort er på niveau med et pas og kræver at at man har dansk statsborgerskab. Ikke statsborger fra 3. lande skal have et opholdstilladelse i samme format. Men borgere fra de andre nordisk lande behøver ikke noget ID for at bor og arbejde i Danmark. Men sygesikringsbevis/sundhedskort er total neutral over for statsborgerskab....

  • 1
  • 0
#16 Ditlev Petersen

Man kan meget nemt få lavet et tungt system, der intet gør for sikkerheden. Hvordan skal man sikre, at folk faktisk får de id-kort, der vedrører dem selv? Og at der kommer de rigtige billeder på? Møde op på Borgerservice? Som identificerer folk hvordan? DNA-test? Politiets overvågningsbilleder? Forhør om personlige detaljer?

  • 4
  • 0
#17 Kristian Rastrup

For at logge ind på Københavns Kommunes biblioteker er brugernavn CPR og adgangskoden er en pinkode. Og det kan ikke laves om. https://bibliotek.kk.dk/hjaelp/generel-info/opret-dig-som-bruger

NemId pusher for at man bruger pinkode frem for password og brugernavn kan altid falde tilbage til CPR nummer. https://www.nemid.nu/dk-da/kom_i_gang_med_nemid/aktiver_nemid/nemid_adga...

Bibliotekscomputerne er sjældent sikrede mod key loggers.

Folk genbruger pinkoder.

Det er ikke svært at lægge 2 og 2 sammen her.

  • 2
  • 0
#20 René Madsen

Problemet er jo ikke at nøglekortet bliver fremsendt via posten og nogen fisker det op, der vil altid være en angrebsvinkel og de vil altid kunne udnyttes. Men den her vinkel med information omkring, hvor mange nøgler der er tilbage er jo stupidt.

Problemet består jo i at en eller anden marketing/ikke sikkerhedskyndig har fået den ide om at brugeren skal vide hvor mange nøgler der er tilbage på det nuværende kort. Hvis den information ikke er der, så skal angriberen fiske i postkassen, hver eneste dag, for de ved ikke, hvornår det er plausibelt at der er et nyt kort i postkassen.

Email omkring nyt login fra en ukendt lokation bør være standard i sådan et system, alle andre kritiske systemer der vil deres sikkerhed ordentligt gør det.

Audit log, så borgeren kan se, hvor der er logget ind fra og flagge logins, således at myndighederne ved at disse logins ikke er nogen brugeren kender til. Brug noget AI, så systemet også selv kan se at det nok formegentligt ikke er brugeren selv, da man de sidste x gange er logget ind fra et helt andet område.

Det er ikke så svært at lave sådan noget i dag! Måske for nets?

  • 3
  • 0
#21 Poul-Henning Kamp Blogger

Problemet består jo i at en eller anden marketing/ikke sikkerhedskyndig har fået den ide om at brugeren skal vide hvor mange nøgler der er tilbage på det nuværende kort.

Uhm nej, det er faktisk en meget central sikkerheds-feature, der gør det muligt for brugeren at følge med i om andre har brugt (en kopi eller et foto af) hans papkort.

Problemet er at man opfatter postvæsnet som en sikker levering og ikke kræver at det nye kort "åbnes" med en kode fra det gamle.

  • 15
  • 2
#24 Henning Wangerin

..og kræv fremvisning af billed id. Den oplagte nemme løsning.

Tja. Mange har pas eller kørekort, men hvad med dem som hverken har det ene eller det andet?

Problemet er vel nærmere at man ikke skal bruge en kode fra det gamle kort til at aktivere det nye kort. Ja det gør det nemt når man har mistet det gamle, men det giver ikke meget sikkerhed.

/Henning

  • 3
  • 0
#25 Jacob Larsen

der søges på "genafspilningsangreb", for at jeg kan blive klogere på, hvad det handler om. Der fremkommer ingen fund

Det er vist et godt eksempel på fordanskning der går galt. Når man fordansker et teknisk udtryk som Replay Attack, så bliver det sværere at finde ud af hvad der menes. Version2 er heller ikke for gode her.

Edit: når det er sagt, så bør det ikke være brugeren der skal beskytte sig mod Replay Attacks, det burde være en del af protokollen.

  • 3
  • 2
#30 René Madsen

Uhm nej, det er faktisk en meget central sikkerheds-feature, der gør det muligt for brugeren at følge med i om andre har brugt (en kopi eller et foto af) hans papkort.

Så vis det tal efter vedkommende er logget ind og information om, hvor vedkommende var logget ind sidste gang og om vedkommende kan genkende det sted?

Du kan ikke bilde mig ind at der er ret mange som kan huske antallet af nøgler de har brugt? Jeg kan i hvert fald ikke og vidste slet ikke det var derfor tallet var der? Manglende evne til at formidle formålet med tallet til brugeren. Brugeren må antages at være dum i første omgang.

  • 3
  • 0
#32 Lars Bendix
  • 1
  • 0
#34 René Madsen

Ideen var oprindeligt at du skulle krydse tallene ud efterhånden som du brugte dem.

Det er også fint nok, men det er så ikke noget der er kommunikeret særligt godt ud.

Og potentielt kompromiterende viden bør først vises efter login og ikke i login processen om muligt. Det er super nemt at undgå den her vinkel. Blot flyt tallet til efter login og tallet er ikke så kritisk at det skal vises inden login.

  • 3
  • 0
#35 Povl H. Pedersen

Det har vel aldrig være meningen at krydse dem af, så bliver der færre muligheder at huske hvis en ser et tilfældigt nøglekort.

Ideen er vel netop at ingen ved hvilke koder der er brugt eller ej, og en memorering derfor er umulig. Så fik alle telefon med kamera der virker.... og papkortet blev mere usikkert.

  • 7
  • 0
#36 Maciej Szeliga

Man kunne jo gøre det til en vane at skifte adgangskoden regelmæssigt, som man jo gør alle andre steder, ikke. Når man så er inde på hjemmesiden for at skifte kode, så læser man selvfølgelig lige logfilen igennem. Hvor svært kan det være :-)

Nu er skift af adgangskode ikke længere en "anbefalet sikkerhedsforanstaltning", det er bedre med en lang (over 16 tegn) end en som skiftes hver tredje måned. I øvrigt kan man bruge NETS ganske udemærkede brik i stedet for papkort.

  • 3
  • 0
#37 Emil Moe

Det er blevet skrevet, at adgangen til USB stikket er der, for at man kan arbejde med egne dokumenter. Sådan en computer på biblioteket burde være i en helt lukket kasse, med 1 USB stik på bordet ved tastaturet samt en meget tydeligt information, som alle kan forstå, at man skal fjerne evt USB enheder før man går igang. Computeren burde ligeledes blive nulstillet til bibliotekets opsætning ved logud/genstart, så evt vira er ryddet. Yderligere sikkerhed kunne opnås ved helt at nægte login sålænge der var sat en enhed i bruger-USB-stikket.

At lave foranstaltninger som beror på at "det burde man tænke på", det går altid galt. Murphys lov eksisterer stadig.

  • 5
  • 1
#38 Jens Beltofte

Der findes allerede løsningerne til formålet fra OS2-samarbejdet.

https://os2.eu/produkt/os2borgerpc og https://os2.eu/blog/open-source-kabinet-til-os2borgerpc-enheder hvor tegningerne er frigivet på github (https://github.com/OS2borgerPC/Hardware_cabinet/blob/master/Intel_NUC_ha...).

Så kommunerne der stiller computere til rådighed for borgerne skal bare set at komme i sving.

  • 4
  • 0
#39 Emil Moe

Det tænkte jeg nok, jeg bruger ikke selv de computere, så kan kun tale ud fra teksten her.

Jeg er lidt uforstående overfor, hvorfor det så skulle resultere i en "thumbs down". Men det er jo ikke sikkert det er fra dig.

  • 0
  • 0
#41 Jens Jönsson

I øvrigt troede jeg, at bibliotekerne havde fået styr på deres maskiner til offentligt brug, så brugerne ikke har fysisk tilgang, ej heller kan installere noget som helst på dem.

Det er jo ikke umuligt for bibliotekerne at få låst PC'erne ind i en fysisk kasse uden adgang, så tastatur/mus ikke kan fjernes, og man ikke kan benytte USB.

Udfordringen er dog, at så kan brugerne kun flytte data over Internet, hvis de f.eks. skal have printet et billede. Det giver andre udfordringer, for glemmer folk så at logge af deres dropbox og lignende ?

  • 0
  • 0
#43 Mogens Lysemose

Spørgsmålet om biblioteks-PC'ers sikkerhed er alt for specifikt: Problemet er at NETS/staten antager at:

  1. alle danskernes devices er sikre imod hacking, keyloggere osv.

  2. Nemid-kort er sikre fra de bliver afsendt til modtageren låser postkassen op.

Ad 1: De fleste her ved sikkert godt hvad man bør og kan gøre for at sikre sin PC - men hvad med Android- og iOS-devices? Jeg har flere der er uddaterede som jeg stadig bruger - garantien og sikkerhedsopdateringerne ophører jo typisk efter et par år - skal jeg så købe nye? NemID virker fint på gamle devices - men er det sikkert?

Alle danskere er forpligtet til at have og læse eboks via NemID. Nu frarådes man så stærkt at bruge bibliotekerne devices.

Skal kontanthjælpsmodtagere virkelig købe nye computere/OS/devices hvert andet år for at være sikre imod misbrug af den påtvungne epost-løsning? Er det kontanthjælpsmodtageres ansvar at deres devices er sikre at bruge NemID fra?

  • 1
  • 0
#44 Jørgen L. Sørensen

Det er muligt at bestille flere nøglekort --- det er derved muligt at have et ekstra kort som er låst godt og grundigt inde så andre ikke kan få fat i det.

Når det igangværende kort er f.eks. halvejs brugt bestilles et nyt kort, og det ekstra kort fra boksen aktiveres.

Proceduren anvendtes primært for at være sikker på at have et nøglekort hvis der skete noget med det igangværende ---- og sekundært beskytter den åbenbart også mod denne nye måde at snyde på.

Og så skal man naturligvis ikke lade kortet ligge og flyde i en skuffe --- særligt ikke hvis man bruger sit cpr-nummer som brugernavn.

  • 0
  • 1
#46 Henning Wangerin

Proceduren anvendtes primært for at være sikker på at have et nøglekort hvis der skete noget med det igangværende ---- og sekundært beskytter den åbenbart også mod denne nye måde at snyde på.

Og det forhinder samtidigt at der kan bestilles et nyt nøglekort.

Jeg har forsøgt - havde glemt at jeg havde et nøglekort liggende, og kunne ikke bestille et nyt, så den del af sikkerheden virkede. ;-)

/Henning

  • 0
  • 0
#49 Henning Wangerin

Hvorfor sender man ikke nøglekortet i e-boks,

Fordi det IKKE må findes i digital form. Ting i digital for har det med at havne steder hvor det ikke skal.

Eksempelvis i cachen på en offentlig pc.

Eller udskriver du det til en netværksprinter, er der på ingen måde noget garanti for at det ikke sendes i klar kode over nettet fra maskinen til printeren. Og så kan alle igen lytte med, og opsnappe det.

Det er også derfor du ikke må affotografere det.

/Henning

  • 1
  • 0
#52 Kjeld Flarup Christensen

Under alle omstændigheder, bør systemet sende en SMS når et nyt kort aktiveres. På den måde får brugeren en advarsel, om end lidt sent.

Man kunne også lave en preaktivering, hvor modtagelse af kortet bekræftes. Igen med SMS. Herefter skal der gå f.eks. 2 timer før det kan tages i brug, hvilket dog kan være problematisk.

Aktivering kunne måske også ske ved at genbruge en kode, eller tage den sidste kode på det gamle kort. Igen kan det være problematisk.

  • 0
  • 0
#53 Nick Cooper

Suk... jo mere jeg hører om de her avancerede spear-phishing sager, jo mere træt bliver jeg. Hvornår lærer folk dog IKKE at benytte bibliotekets HELT IGENNEM USIKRE, malware-inficerede computere til bankforretninger og lignende? Og lad så være med at taste din kode med USB-tastaturet - brug applikationen Skærmtastatur (Windows), den kan en hardware-keylogger ikke afkode. Eller bedre: en USB-enhed som automatisk skriver din kode ved et tryk på en knap, evt. efter pinkode-oplåsning, som er forprogrammeret hjemmefra og opbevares på en krypteret chip.

Okay, I get it. Folk er ikke it-kyndige nok til at vide, hvordan man spotter en keylogger. Løsningen er lige for: Udfas nu for helvede det papkort og send alle danskere en autoriseret 2-faktor-auth-nøgle med et anonymt serienummer, som de skal afhente personligt på borgerservice og kvittere for modtagelse, og som er linket til deres Nemid-konto. Staten kunne sågar sponsorere den nuværende digitale nøglebriksløsning til alle med tryk på en knap over skattebilletten, og alle pap-tyverier inkl. korrupte postbude vil være fortid. Der vil først opstå problemer igen, når batteriet udløber og dimsen skal udskiftes (jeg har ikke prøvet at åbne den, så jeg ved ikke om manuelt batteriskift er en mulighed). Men mon ikke folk har et par dages tålmodighed til lige at få udleveret en ny fra borgerservice, da de fleste nøgler alligevel går til Eboks og sekundært netbanken.

Bottomline: 'Sikkerheden' i Nemid har spillet fallit for længe siden! Og efter de velkendte offentlige retssager om afsløret keylogging på bibliotekerne for flere år siden, fatter jeg ikke, at folk stadig tør bruge computerne. Mit personlige gæt er at der findes brodne kar på hendes arbejdsplads eller omgangskreds, som har noget at udsætte på hende, og at loggingen er foregået enten privat eller i et corporate environment, hvor sikkerheden formentlig er lige så ringe som i det offentlige rum.

USB som medie bør i øvrigt slet ikke være tilgængeligt for offentlig brug. Bare se på fænomener som BadUSB (eksekvering af bagdøre og malware på computere via HID-interface), USB Killer (fysisk ødelæggelse af printkort i computere med negativ overspænding) og 'juice jacking' (hvor intetanende rejsende bliver suget tør for information gennem skjulte mikrocomputere i vægkontakter og sædeindsatser i lufthavne). Uddan jer selv og hinanden! Spred viden om kendte sikkerhedstrusler til it-dummies, så de også opper sig og undlader de mest elementære fejl i deres daglige gøren og laden.

  • 0
  • 3
#56 Jacob Larsen

Jeg fatter så bare ikke at man skal bruge så oldgammel en metode som et papkort.

Det er vel bedst til prisen (eller det var det nok, ved ikke om det stadig er det med PostNords mange portoforhøjelser) En nøgleviser er det eneste jeg kender som er bedre/mere sikker end papkortet, da man kun kan stjæle en kode ad gangen. Den er noget dyrere at lave end et papkort, til gengæld holder den nok noget længere. Måske har dyrere porto ændret ved business casen her?

Hvad angår app, så er den i hvert fald ikke mere sikker end hverken et stykke papir eller en kodeviser, som begge er offline. Med alt det skrammel der kører på en gennemsnitlig smartphone, så er det ikke en særlig god idé at bygge noget så kritisk som NemID ovenpå sådan en platform.

  • 1
  • 0
#57 Jørgen L. Sørensen

Hvad angår app, så er den i hvert fald ikke mere sikker end hverken et stykke papir eller en kodeviser, som begge er offline.

Jeg ved ikke hvor meget kodeviseren fylder, men er glad for mit papkort, som er fladt og kan ligge i min pung :-)

Med hensyn til sikkerheden ved forsendelsen af papkort: Det ville være dejligt, hvis der (som nogen har foreslået) bliver sendt en sms og mail når der bestilles et nyt papkort --- og mand erved kan spærre det hvis man ikke selv har bestilt det.

  • 0
  • 0
Log ind eller Opret konto for at kommentere