Forsker: Vi har kun set begyndelsen på NemID-phishing

Havde man gjordt det rigtig fra starten, ville alle de nedbrud vi har oplevet ikke været sket, fordi et er et offline system.

Man kunne ikke phishe systemet.

Om det er ChipTan (des mere jeg har læst om det, des mere kan jeg lide løsningen, dog med den mende den ikke er handicap venlig), eller en krypto terminal, så ville vi havde haft en rigtig løsning, og vi ville være forgangsland.

Nu er vi bare endnu en efternøler, overhalet af Tyskland - igen igen.

Som jeg ser det er det bare at have 2 tråde at kommunikere ud på .

Hvorfor alverden ikke bare godkende via en sms kode , hvori der står hvad man er ved at fortage sig . ligesom Henrik Madsen nævner . Dermed har man splittet kommunikationen til 2 veje.

Ja, jeg er klar over hvis ens tlf er hacket og den er den primære tråd hvor man laver din bankordre , så har man ikke 2 tråde . men det er klart at hvis man når et niveau hvor det får så meget kontrol over den device du bruger til at kommunikere med banken og du kun har et device , så er du på spanden.

Så hvis vi vil bruge fleksibilitet, hvor vi kan bruge det på android,linux, mac, windows, sun-solaris, m.v. Så er java den eneste reelle økonomiske løsning.

@ Henrik

På den måde ville man være sikker på at DanID ikke kunne tilgå ens informationer.

Hvordan vil du kunne være sikker på det? Så længe du kun kan købe dimsen af NemID og at alle transaktioner skal via NemID server, så kan du ikke være sikker på andet end; - at NemID tjener penge på hver eneste transaktion, - at vi har bygget hele DK's infrastruktur med Single point of faliure, osv. osv. Igen, læs Niels første indlæg herover eller alle de andre beskrivelser af NemID indbyggede svagheder og monopolisering her på Version2.

Jeg medgiver at den viste tyske chipTAN ikke er praktisk at have i tegnebogen, men det er da den eneste ulempe.

Hvis en dims i den stil bliver standard (måske endda fælleseuropæisk standard), kombineret med at hardwaredesignet må kopieres licensfrit, så går der næppe længe inden nogen har markedsført superlille smart dims i kreditkort størrelse. Andre måske en stor læsevenlig model til ældre. En tredie en med blindedisplay .. Husk at hardcore dekrypteringen ligger i chipkortet du sætter på.

Fordelen er at flere forskellige kan producere den, at den kan bruges med forskellige uafhængige chipkort, at koden brændt ind i maven på den så den er næsten hackersikker, at transaktionen foregår mellem 2 parter - uden NemID er indblandet.

Jeg er sikker på at betjeningen med lidt modning af produktet kan gøre acceptabel. En dims i kreditkort størrelse, med display og én knap:

• svag sikkerhed (login i golfklubben): tryk en gang på knappen og hold dimsen mod skærmen og tast de 4 cifre ind for login.

• lidt større sikkerhed (læse din sundhedsjournal): klik sygesikringskortet på bagsiden og derefter som ovenfor.

• større sikkerhed (bank): klik din bankkort på, indlæs transaktionen fra skærmen, verificer ved at bladre ordren igennem på dimsens display. Indtast derefter koden fra dims for at sætte i gang.

Kun fantasien sætter grænser, god weekend.

PS: Hvordan kan det være at de Danske banker reelt kan holde andre europæiske banker ude ved disse systemer, uden at blive dømt af EU for konkurrenceforvridende aftaler.

Angående email transaktion..

Jeg har Nordea og før de fik SlemID havde jeg selvfølgelig netbank adgang.

Da jeg flyttede til banken lavede de et lån til at betale lånet i min gamle bank og da jeg så skulle flytte de ~300.000 som en overførsel fra nordea til den gamle bank for at betale lånet hos dem ud så fik jeg en SMS hvor der stod at jeg var ved at overføre et stort beløb og hvis jeg var enig i det så skulle jeg besvare SMS'en med JA så vidt jeg husker.

De kunne vel ret beset bare sætte den grænse ned til 500 Kr. Jeg ville ihvertfald ikke have noget imod at skulle svare på en SMS for at flytte penge som alternativ til dette møj SlemID.

Der har før været nævnt at banker kunne udsende en email inden selve pengeoverførslen udføres, så man har tid til at opdage hvis man har været udsat for et MitM angreb. Jeg spurgte min bank (Finansbanken) om de havde sådan en mulighed og det har de faktisk. Desværre kan man slå emailudsendelsen fra uden at man får emailbesked om det, hvilket gør det ret ubrugeligt i praksis. Jeg er også spændt på om de virkelig sender emailen så snart der bliver bedt om en transaktion eller først når transaktionen gennemføres. Men de skal ikke lave meget om før de har noget der virker.

Det er givet at ChipTAN løsningen er mere bøvlet end papkortet.

Jeg siger ikke engang at alle skal tvinges til at benytte ChipTAN løsningen men DanID burde da som et minimum tilbyde deres kunder sådan en alternativ løsning hvor sikkerheden er iorden.

Jeg mener bestemt at have læst at DanID netop lovede en løsning mod betaling hvor kunden fik en dongle eller lign. hvor en del af ens nøgle var genereret af kunden og lå på denne dongle.

På den måde ville man være sikker på at DanID ikke kunne tilgå ens informationer.

Har så skrevet til DanID for at spørge efter denne løsning men fik det svar at ingen hos supporten anede hvad jeg talte om.

jeg overvejede et system fra giritech for et par år siden (som viste sig lige dyrt nok for mig) det går i alt sin enkelthed ud på man har en usb dongle der allerede er verificeret hos modtageren. når man så sætter donglen i pc'en så popper der et login vindue op hvor man kan indtaste username + password og tilgå en forud programmeret destination. i mit tilfælde var det en terminal server, men det kunne lige så godt have været en bank. når man er færdig er der ingen spor på pc'en efter endt dongle brug, så man kan i teorien lave sine bank transaktioner hos faster rosa's 60 års fødselsdag og selvom hun skulle have en keylogger installeret ville hun ikke kunne bruge username + password til noget uden hardwaredelen (usb donglen.

jeg vil gerne høre om nogen ser nogen svagheder ved den ide ?

To the reader and, in particular, @tue kyndal and @Niels Didriksen, I made several of these points when being interviewed for this article. I completely agree that the security architecture, industrial apparatus, and nationwide deployment of NemID must be critically analyzed by competent, independent, third parties with no vested interest in the system.

Unfortunately, it looks like this has not happened, and probably will not happen, until either a white hat hacker group or my team here at ITU focuses on the system for the public good.

Given my initial analysis of NemID in the months after I arrived in Denmark last year, I see enough that makes my mouth water, so I plan on making some time in 2012 for exactly this operation. Anyone with the appropriate skills who wishes to help out is welcome to contact me.

Joe Kiniry

It og telestyrelsen offentliggør på:

https://www.signatursekretariatet.dk/certifikatpolitikker.html

deres OCES-personcertifikatpolitik version 4.0

Her skrives følgende om Privat den nøgle:

Privat nøgle (”Private key”): Certifikatindehavers nøgle til brug for afgivelse af en digital signatur eller til dekryptering. Den private nøgle er personlig og holdes hemmelig af certifikatindehaver.

Hvordan kan DANID's NEMID leve op til dette krav i dens nuværende form?

Lever DANID's overhovedet op til de kravende stillet af it og telestyrelsen for en digital signatur?

Jeg fatter simpelthen ikke hvordan det er kommet så vidt med NEMID's ufuldstændige sikkerhed.

Jeg har naturligvis ikke accepteret at anvende NEMID til offentlig login. Hvad bankerne tvinger mig til er en ting de selv må rode med (og tydeligt vist betale for), men de skal holde sig fra at nedgradere min private sikkerhed med hensyn til min digitale signatur.

Lever DANID op til de krav som blev stillet af it og telestyrelsen til en fælles ny digital signatur til det offentlige i det oprindelig udbud? Hvis ikke SKAL DE STILLES TIL REGNSKAB!

Jeg mener det ikke, og jeg vil meget gerne have det undersøgt.

Gerne af kompetente Journalister, Advokater, Specialister og Domsmænd.

Hvem er klar til at kaste "bogen" efter DANID...og få dette afgjort en gang for alle, så Danmark kan komme videre.....Fru. Helle Thorning Smith?

Tue

Hvor er de - NemId.

I stedet for ryger tele til gammelkommunisten Ole Sohn - så skal vi jo nok forvente mere overvågning.

Men DKP var jo netop mål for omfattende overvågning, så man kunne håbe at Ole Sohn har fået modvilje mod overvågning af den grund.

Jeg mener stadig, at alle sider som bruger NemID skulle redirecte til https://nemid.nu , hvor man indtastede sit password. De kunne så skrive øverst på papkortet "må kun indtastes på https://nemid.nu". På samme måde som OpenID ( http://openid.net/get-an-openid/start-using-your-openid/ ), som jo prøver at løse samme problem.

Som det er nu, så aner jeg jo ikke om en NemID-form som jeg ser faktisk sender mine data det rigtige sted hen.

1. Hvis jeg taster mit password på min golfklubs hjemmeside, så kunne min golfklub i teorien lave MitM-angreb, og fx tømme min bankkonto.

2. Hvis der er et sikkerhedshul hvor man kan injecte javascript, som det på netsikker.nu ( http://www.version2.dk/artikel/pinligt-sikkerhedshul-rammer-statens-netsikkernu-kampagne-12301 ), så kan en angriber lave MitM mod NemID. Lad mig for resten lige citere myndighederne om det sikkerhedshul, fra nederst i version2-artiklen:

   »Det er selvfølgelig ærgerligt, men det er vigtigt at pointere, at det er meget svært at sikre hjemmesider 100 procent mod den slags, og så er der som sagt tale om et mindre problem, som vi omgående har taget os af,« siger kontorchefen.

3. Endelig så kan en angriber jo bare lave deres egen hjemmeside via typo-squatting eller lignende. Siden det er meningen at NemID skal bruges overalt, så kan det være meget svært for slutbrugen at vide om en side er reel. Det var det angreb vi så i sidste uge. Her vil jeg også lige nævne at banken SEB's NemID-login foregår på siden https://taz.vv.sebank.se/cgi-bin/pts3/sec/wcp_extra/index_dk.asp . Hvorfra man bliver sendt fra en ikke-krypteret, og derfor MitM-angribelig side...! Det er jo svært ud fra adressen at vide om det er den rigtige side (certificatet hjælper, men har DanID instrueret brugerne i hvilke certificater er acceptable?).

Anti-Mitm var vel en af NemID-kartellets eneste ikke direkte løgnagtige sikkerhedsmæssige salgsargumenter for inførslen af NemID. Et argument som for allerede et år siden blev tilbagevist af flere kompetente fagfolk her på debatten.

Et andet var den med den unikke indentifikation af brugerne, hvilket blev gennemhullet noget så eftertrykkeligt, da en gymnasie-studerende fik adgang til en tilfældig anden kundes bankkonto pga. en sjuskefejl hos en bank-elev

Det tredje var, at det var så sikkert at man lave sine bank-forretninger på ferien fra en offentlig pc i Thailand, hvilket NemID-kartellet efter tvangs-inførslen skyndte sig at eliminere, med et krav om at brugeren er ansvarlig for at der ikke er malware på den maskine man anvender.

Et fjerde var availability. Et argument som ikke har set dagens lys, siden systemet blev taget i drift, og NemID konstant har ligget langt under SLA. Mon ikke det med tiden og med mere og mere tydelighed vil vise sig, at centraliseret nedbrud er langt mere kostbart end, hvis de enkelte brugere har problemer af og til.

Et femte var java-argumentet. Det var simpelthen ikke sikkert nok uden en AllAccessAllowed java applet i brugernes hjem. Men flere browserfabrikanter overvejer idag helt at droppe java-distribution pga sikkerhedshuller i browserplugin'en. Og alle der har været i udlandet ved at de fleste offentlige pc'er er locked down javamæssigt, så man ikke engang kan få read-only adgang til sin bank når man er afsted.

Alle sikkerhedsargumenter, som allerede var blevet draget i tvivl eller skudt ned inden drift, af fagfolk her på debatten. Og det eneste der står tilbage er en nation af folk med håret i postkassen og en banksektor med en fantastisk penge/snage-maskine, hvis fejl alle som en hviler på kunderne.

Og så har vi ikke engang kigget på alle de ikke-sikkerheds-relaterede løfter og argumenter. Det mest himmelråbende er påstanden om frivillighed. Mage til arrogance. Jeg har aldrig oplevet noget mindre frivilligt udover skat og død. Men heldigvis lover NemID jo i deres reklamer at hjælpe dig med både skat og at dø.

Det er op til folk selv, om de vil anvende NemID som logon til golfklubben.

Og til dem Der synes NemID bare er den dejlig lækker muffin, så husk lige på, at det havde været mulig at lave en ægte PKI under motorhjælmen og et bruger-interface der ligner NemID præcis som vi har det idag.

Havde viljen været der, kunne man have taget TDC's ganske udemærkede oces-løsning og puttet papkort ovenpå og givet brugerne deres egen private nøgle. Eller i det mindste ladet det være FRIVILLIGT om brugerne under ansvar ville stå for deres egen nøgle.

Obama har lavet en plan for et system kaldet "National Strategy for Trusted Identities in Cyberspace (NSTIC)", der i formål ligner NemID's. Forskellen er dog klar. Præcist som kritikere af NemID har foreslået, ønskes det at "Det vil være frivilligt som forbruger at anvende disse ID-teknologier". En anden forskel er at der skal være konkurrence på delkomponenterne, da "Obama-administrationen håber, at det vil opstå flere forskellige teknologier til troværdig identifikation" En tredje forskel er åbenheden da; "Virksomheder, forbrugerorganisationer, privacy-fortalere og andre interesserede vil blive inviteret til [seminarer om projektet]"http://www.computerworld.dk/art/115642?cid=4&q=obama&sm=search&a=cid&i=4&o=10&pos=11

Alle disse ting har NemID kartellet elimineret (afledte nøgler?), løjet om(kvalificeret digital signatur?) og udviklet udenom meget målbevidst. Hvorfor det? Jeg har ingen anelse om det, set fra politisk hold. Måske for at have muligheden for en hals at kvæle hvis^H^H^H^H lortet for alvor bryder sammen, istedet for at stå med en Amanda/IC4 sorteper. For bankerne er det vel muligheden for at rejse trold-boder op og kræve penge, hvor det ikke er muligt på naturlig vis med et rigtigt designet system, såsom: -beløb pr. anvendelse (er det ikke en krone). Det koster ikke hverken mig eller TDC en øre når jeg anvender min ægte OCES signatur. -Ekstra dummebøder, som ved CRL-lookup og lignende. -Kontrol/overvågning. Forestiller mig de tænker som enkelte politikere; Det er ikke noget vi bruger til noget, men det er et rart værktøj at have i skuffen

Så... kære Morten Østergård og rød blok. Hvad med at bruge jeres nyligt vundne status som regering til at vende denne katastrofale dødssejler, og træde ind i morgendagens digitale danmark som helte istedet for, at lade kursen stå på isbjerg med kikkerten for det blinde øje.

»Det mener jeg ikke. Det er op til folk selv, om de vil anvende NemID som logon til golfklubben.«

Det er ikke op til folk selv. Hvis golfklubben kun tilbyde login med nemid, er det meget nemt. Der er kun nemid at bruge så. Så det der med at folk selv må bestemme tror jeg ikke på.

Selvfølgelig kan golfklubben vælge ikke at bruge nemid, men når alle de andre golfklubber eller noget andet, som den samligner sig med, bruger det, så skal det bruges. Evt, når der bliver vedtaget en ny terror lov der gør at alle danske brugere af hjemmeside skal kunne identificeres.... (Hvis du er fra justitsministeriets arbejdsgruppe, så glem dette forslag)

...er jo at hvis en skurk franarrer mig en papkort-kode fra NemID, så kan skurken én gang logge på min netbank og lave ballade. Og angrebet er nødt til at ske "live", hvilket indebærer at skurken har begrænset tid til at bruge koden.

Det er jo helt anderledes end hvis nogen fx franarrer mig min adgangskode til min Google-konto. Så kan vedkommende logge ind flere gange og lave ballade over lang tid (indtil jeg skifter adgangskode, selvfølgelig).