It-ordfører: Manglende NemID-sikkerhed truer offentlig digitalisering

»En undersøgelse gennemført af mediebureauet MEC i september 2012 viser, at 85 % af alle borgere på 15 år og derover har tillid til NemID (...) Der er dermed ikke umiddelbart noget, der tyder på, at danskerne ikke fortsat har tillid til NemID,« skriver ministeren med reference til en udtalelse fra Digitaliseringsstyrelsen.

Beviser kun en ting 15% af folk har lidt eller mere forstand på sikkerhed, og 85% har ingen forstand på sikkerhed..

NemID er en løsning magen til hvad jeg var med til at smide ud i 1994, allerede den gang viste man at den slags løsninger var alt for åbne og sårbare, men man ville jo ikke lytte til de kritiske røster der advarede, og forklarede hvor nemt det var at hacke den løsning man havde valgt. Nej, nej det var kritikerne der havde misforstået det hele..

Suk.. Jeg begyndte med at advarer allerede før systemet gik i drift (cirka 2006), og fik sørgelig nok ret i min kritik.

Som it-sikkerhedsmand er jeg nysgerrig:

Hvilken løsning, som den danske befolkning inklusive handikappede kan bruge, kan sikre imod it-kriminelle kan få adgang til privates netbanker/NemID ?

Jeg har på ingen måde tillid til et loginsystem der kræver java, hvor jeg i forbindelse med installationen eller opgradering kan fravælge/vælge en toolbar. Hvilken sikkerhedsbrist medføre en tollbar ikke.

Jeg har forslået en løsning - helt tilbage i 2006 til it-rådet i Danmark, TDC, og alle jeg kunne få fat i - baseret på en Secure Terminal, der skal underskrive de transaktioner som man opretter via web-browseren, denne terminal er koblet på en måde (eg USB) hvor man kan sende data til den og modtage dem, og den har sin egen skærm/oplæser til at sige hvad du rent faktisk signere.. Det kræver software på din computer, men kræver ikke at din computer er virus fri.

Den har tamper-proof privat nøgler, som aldrig kommer i din computers memory, og da den ikke er koblet direkte, derfor er det muligt at blokere for at der kan uploades vira til den.

Det er nemt at lave sådan en enhed til svagt seende, ved at den kan læse op hvad transaktionen er, kan evt bliver forsynet med en braillie skærm..

Da den kræver en fysisk interaktion for at godkende en transaktion (eg en knap du skal trykke på, bio-metrisk, eller lign), kan den ikke direkte misbruges af viruser, og trojaner, selv hvis du lader den være koblet til din computer..

Der er ikke behov for at overføre nogle nummer manuelt, og er derfor meget venlig over for de ældre og handicappede..

Sådanne enheder eksistere allerede, og koster ca 500dkk i enkeltstyks indkøb, men bliver langt billigere når man køber mange... men 500dkk, kunne man havde brugt TDC's gamle infrastruktur, og forsynet samtlige Dansker 6 millioner mennesker (inklusiv børn) for knapt 3 milliarder, men i stedet valgte man at brænde 2.4 milliarder af på at lave noget der ikke virker.

Altså pointen er at give kontrol til brugeren.. Social engineering kan man ikke gøre meget ved, så det bliver heller ikke ultimativ.

ChipTan er et bud som Tyskerne har indført - men den har hvis et par huller, hvor de ikke har været forsigtige nok.

Michael:
Prøv at beskrive de huller, der er fundet i den tyske løsning.

Prisen på enheder er urelevant, over DanIDs løbetid er der ingen væsentlig forskel på papkort eller andre løsninger. Som sagt mange gange tidligere fik vi papkort pga usabilitytests.
Der lavet eksterne usability tests af 4 forskellige løsningstyper i staten af DanID projektet: simpel nøgleviser, chipkort med læser, løsninger som du beskriver og papkortet. Færrest havde problemer med papkortet, men utroligt mange kunne ikke bruge Chiptan lignende løsninger. Men måske er det bedre i dag hvor folk er mere vandt til koncepterne.

Andet spørgsmål: Virker din løsning med en smartphone? Folk er kede af at skulle have et papkort med, bliver de glade for en ekstern læser?

Bliver en ultimativ sikker løsning ikke en udfordring, når den skal kombineres med brugervenlighed og mange forskellige platforme.

Smartphones, Tablets, laptops og desktops, som alle har forskellige muligheder for at tilkoble eksterne enheder. Inden for hver hardware kategori, er det også mange forskellige OS platforme, så jeg har lidt svært ved at se at én hardware boks og én applikation kan løse alle udfordringerne.

Endvidere kunne det blive en udfordring at installere software på de forskellige systemer, da afhængig af hvor man ønsker at benytte løsningen, måske ikke har mulighed/rettigheder til at installere egen software.

Så når der snakkes omkring en ultimativ sikker løsning, er det så ikke mere "ultimativ" indenfor et begrænset område af hard/soft-ware.

Udfordringen er måske at sikkerhed er omvendt proportional med brugervenlighed, og spørgsmålet er hvor langt man vil/kan bevæge sig ud af sikkerheds aksen, før løsningen mister meget af sin brugervenlighed.

Just some thoughts :)

DanID er tilsyneladende også fuldstændigt ligeglade med at deres kunder benytter NemID løsninger med udløbne certifikater. Se f.eks. www.tinglysning.dk.
DanIDs kundeservice fortalte mig, at det var Tinglysningen jeg skulle kontakte.
For mig at se, så er det DanID der tillader deres kunder at benytte forældede DanID programmer (udløbne certifikater), som dermed kan vænne slutbrugerne til at acceptere kørsel af ikke certifikerede java programmer. Så gav vide hvad et hacket web-interface af tinglysning.dk kunne føre med sig?
Eller enhver anden hjemmeside med en NemID ikke signere NemID look-alike?

Anders: Ja! Det er jo et af de interessante områder i it-sikkerhed. Hvis det er for brugervenligt bliver det usikkert, og hvis det er for sikkert er der ingen der kan, eller vil bruge løsningen.

Andreas: Hvordan gør en certifikatudsteder det?

Parallelt med mit første spørgsmål:
Er der en der kan give et eksempel - fra et eller andet sted i verden - på en bank (eller en national PKI-løsning), hvor man har lavet en helt sikker løsning?

@Andreas:

Hvad er det for et certifikat der er udløbet på tinglysning.dk? SSL-certifikatet ser umiddelbart fint ud. Er der andre?

Hvor mange er blevet direkte Hacket eller er det igennem falsk mail.
For mig at se er det igennem falske mail brugerne dummer sig.
Så det er ikke godt at lade almindelige bruger bestemme.

Nordea i Sverige anvender en løsning som minder om den som Michael beskriver: http://www.nordea.se/sitemod/upload/root/www_nordea_se/Privat/internet_t...

Svenskerne har også en fælles løsning, BankId. Jeg har for nylig set en svensker bruge en løsning hvor han loggede på sin Netbank på PC ved at bruge en BankId-app på mobilen til at identificere sig.

Hvilken løsning, som den danske befolkning inklusive handikappede kan bruge, kan sikre imod it-kriminelle kan få adgang til privates netbanker/NemID ?

Hvis man havde en fælles login-side på https://nemid.nu , og sagde til kunderne at de kun måtte taste deres password hvis der stod "https://nemid.nu" i adresselinjen, så ville NemID være sikkert for alle brugere som kunne holde deres computere sikre og følge simple instruktioner. Det ville være mindst lige så brugervenligt som i dag - bare et http redirect frem og tilbage inden i samme vindue.

Modsat nu hvor der ikke er nogle effektive retningslinjer for hvornår man sikkert kan indtaste sit password.

Det ville selvfølgelig ikke hjælpe hvis brugerens computer var overtaget - så skal man have fat i en sikker terminal som Michael Nielsen rigtigt påpeger. Og så bliver det en del mindre brugervenligt end et papkort.

Der har været problemer med "login med/uden engangsnøgle" på selvbetjeningen på tinglysing.dk. Det ser ud til at fejlen er rettet nu. Jeg ved ikke om DanID trods alt gjorde noget ved det.

DanID bør have en liste over alle de sites der benytter deres løsning. En sådan liste vil også være rar at have som slutbruger for at se om man bør have tillid til den leverandør der bruger nemID. DanID bør pr. automatik tjecke om deres kunder kører med opdaterede applets/certifikater.
Det forventes jo trods alt også at slutbrugerne holder deres systemer opdaterede.

Tore: Godt eksempel. Nordea havde allerede løsningen i Danmark da NemID blev designet, så det var en af løsningerne i usability testene.

Det her med at overføre koder fra skærmen til enheden var meget svært at forstå for mange brugere, men som sagt måske er folk kommet videre. I kan selv teste login og signering igennem i linket og tænke på f.eks. ældre brugere.

E-kod løsningen er selvfølgelig heller ikke helt sikker, en "man-in-the-browser" styrer stadig hvad brugeren ser på computeren, og angriberen kan stadig få uopmærksomme brugere til at godkende forkerte overførsler.

En single sign-on side er interessant, men måske nogle usability issues.
Og i en række af NemID angrebene stod der allerede et forkert bank navn i den falske applet.

Lad nu være med at forplumre debatten med begreber som Ultimativ, eller helt sikker. Intet i denne verden er "helt sikkert" Udfordringen er at lave et system, som er tilstrækkeligt sikkert, men stadigt til at finde ud af at bruge. F.eks. noget i stil med hvad Michael beskriver herover.

Problemet er, at NemID fra starten har barren for lavt, selvom det allerede fra starten blev påpeget at deres løsning var sårbar for MITM.

DanID bør have en liste over alle de sites der benytter deres løsning. En sådan liste vil også være rar at have som slutbruger for at se om man bør have tillid til den leverandør der bruger nemID.

Jeg har direkte spurgt den gamle ITST om sådan en liste. De spurgte videre til Nets, som sagde at en sådan liste ikke var tilgængelig.

Det ville desuden være super-besværligt at skulle checke listen før hvert besøg. Og nemt at tage fejl - hvad hvis man bliver narret ind på herlev-bibliotek.dk, når den rigtige adresse er herlevbibliotek.dk?

Hvis alle logins foregik på https://nemid.nu, som så sendte dig tilbage tilbage til den side du ville autorisere dig over for, så ville logikken på nemid.nu som sendte dig tilbage automatisk kunne checke om den side du blev sendt tilbage til var godkendt til NemID.

Noget lignende det her?
https://www.nemid.nu/om_nemid/her_kan_du_bruge_nemid/

Noget lignende det her?
https://www.nemid.nu/om_nemid/her_kan_du_bruge_nemid/

Den er ikke fuldstændig (ifølge direkte svar fra Nets). Man kan jo kun bruge en sådan liste til noget hvis man kan afvise en login-dialog hvis den ikke findes på listen.

>> Problemet er, at NemID fra starten har barren for lavt, selvom det allerede fra starten blev påpeget at deres løsning var sårbar for MITM.

Så lad mig spørge på en anden måde end it-ordføreren:
Hvilken løsning, som den danske befolkning inklusive handikappede kan bruge, kan sikre imod it-kriminelle kan få adgang til privates netbanker/NemID igennem Man-in-the-Middle angreb?

Så lad mig spørge på en anden måde end it-ordføreren:
Hvilken løsning, som den danske befolkning inklusive handikappede kan bruge, kan sikre imod it-kriminelle kan få adgang til privates netbanker/NemID igennem Man-in-the-Middle angreb?

Læs kommentarerne ovenfor.

Hvis du vil have en løsning som er sikker mod MitM hvor angriberen har kontrol med brugerens maskine, så se http://www.version2.dk/artikel/it-ordfoerer-manglende-nemid-sikkerhed-tr... .

Hvis du vil have en simplere løsning, som er sikker mod MitM hvis brugerens computer ikke er overtaget, så se http://www.version2.dk/artikel/it-ordfoerer-manglende-nemid-sikkerhed-tr... .

Det er korrekt at Nordea i Sverige bruge løsning med den lille "lommeregner", men den gør det ikke umiddelbart mere sikkert i forbindelse med netbank besøg.

Ihvertfald ikke i forbindelse med hvor folk snydes til at udlevere en ekstra nøgle ved login.
Jeg husker tydeligt at en IT konsulent skrev herinde, at han var blevet narret ved at hans Netbank havde poppet op, og spurgt efter en ekstra nøgle. Og istedet for at tænke, så indtastede han blidt den ekstra, som en anden så brugte i samme sekund, og tømte.
Det vil også kunne ske med lommeregneren, da det er brugeren der bliver snydt til at udlevere mere end man burde.

(dobbelt-post - slet mig)

Det vil ikke kunne ske ved en løsning så som ChipTan, som Michael Nielsen nævner. Der vil jo stå på chiptan-dimsens skærm hvad du skriver under på - i modsætning til NemID (og svenskernes lommeregner går jeg ud fra), hvor du ikke kan vide hvad din engangskode i virkeligheden bliver brugt til.

>> Der vil jo stå på chiptan-dimsens skærm hvad du skriver under på

Hvilke angreb er udført imod den tyske - og andre lignende løsninger?

"Den svenske lommeregner" understøtter at selve det som godkendes står på lommeregnerens display (f.eks. beløb og modtagers kontonummer for en betaling), hvor der ikke kan svindles med det selv hvis brugerens computer er overtaget.

(Men Carsten har selvfølgelg ret i at det ikke sikrer imod at folk godkender uden at læse hvad der står, det er der vel i sidste ende ikke nogen løsning som kan...)

Lad nu være med at forplumre debatten med begreber som Ultimativ, eller helt sikker. Intet i denne verden er "helt sikkert" Udfordringen er at lave et system, som er tilstrækkeligt sikkert, men stadigt til at finde ud af at bruge. F.eks. noget i stil med hvad Michael beskriver herover.

Problemet er, at NemID fra starten har barren for lavt, selvom det allerede fra starten blev påpeget at deres løsning var sårbar for MITM.

Jeg argumenterer jo netop for at en løsning med fælles underskrift-side ville være lige så brugervenlig som den nuværende løsning.

Så det er ikke bare et spørgsmål om at sætte baren for lavt i et kompromis mellem sikkerheds og brugervenlighed. Det er tilsyneladende bare ren inkompetence fra Nets' side.

>> Så det er ikke bare et spørgsmål om at sætte baren for lavt i et kompromis mellem sikkerheds og brugervenlighed. Det er tilsyneladende bare ren inkompetence fra Nets' side.

Hvor meget bedre bliver sikkerheden af ChipTAN (som var de absolut sværeste at bruge i usabiliy testene)?
Et eksempel på et allerede implementeret angreb imod ChipTAN:
http://www.h-online.com/security/news/item/Online-banking-trojan-has-des...

Det interesserer mig meget, at nogle åbenbart tror DanID, alle bankernes sikkerhedsfolk og Digitaliseringsstyrelsen er inkompetente.

Det interesserer mig meget, at nogle åbenbart tror DanID, alle bankernes sikkerhedsfolk og Digitaliseringsstyrelsen er inkompetente.

Version2 har jo klart demonstreret et angreb mod NemID. Jeg har allerede før Version2's demonstration beskrevet samme angreb. Og sagt at en system som OpenID ikke har samme problem.

Kan du måske beskrive et lignende angreb mod OpenID? Ingen downvotes er tilladt på denne kommentar før et sådan angreb er beskrevet.

Har du nogensinde prøvet at diskutere sikkerhed med DanID, bankernes sikkerhedsfolk og Digitaliseringsstyrelsen? Det har jeg - de er idioter.

Alle bankernes sikkerhedsfolk og Digitaliseringsstyrelsen er inkompetente. Vi har beskrevet præcis hvorfor. Hvad tror du mest på, dine egne øjne eller DanID, bankernes sikkerhedsfolk og Digitaliseringsstyrelsen?

Hvor meget bedre bliver sikkerheden af ChipTAN (som var de absolut sværeste at bruge i usabiliy testene)?
Et eksempel på et allerede implementeret angreb imod ChipTAN:
http://www.h-online.com/security/news/item/Online-banking-trojan-has-des...

I det angreb du beskriver så accepterer brugerne instruktioner fra en usikker kilde om at tilsidesætte sikkerhedsprocedurer. Det er der selvfølgelig ikke noget sikkerhedssystem som kan værne imod.

Kan du måske beskrive et lignende angreb mod OpenID? Ingen downvotes er tilladt på denne kommentar før et sådan angreb er beskrevet.

En søgning på "openid man-in-the-middle" giver umiddelbart dette link, som blandt andet skriver:

Phished OP Page - A rogue RP can redirect the user to a phished OP page where the user will be tricked into entering their OP credentials.

Dette lyder ganske meget som det angreb Version2 beskrev imod NemID.

Thue, kan vi blive enige om at OpenID ikke vil tilføje en døjt, udover at fjerne behovet for at en angriber også fremskaffer en nøgle-kode??

"Den svenske lommeregner" understøtter at selve det som godkendes står på lommeregnerens display (f.eks. beløb og modtagers kontonummer for en betaling), hvor der ikke kan svindles med det selv hvis brugerens computer er overtaget.

Nej, det er her problem er, og det jeg prøvede at påpege :) Bare så man ikke troede at den løsning var bedre end NemID.

Når man logger på din netbank får man en kode fra hjemmesiden, der skal tastes på "lommeregneren". Hermed giver den (ved hjælp af chippen fra ens hævekort og pinkode), en kode der skal returnes for at logge ind. Ligesom ved NemID, hvor man blot gør det via et papkort.

Ved betaling / godkendelser af bankoverførelser, så får man igen et tal der skal tastes ind, og på samme måde skal den have en ny kode retur.

Hvis folk, ligesom med NemID, blot gør det uden at tænke, så er man ikke bedre stillet end NemID.

Fordelen er dog at man trykker "login" eller "sign" på sin token før man taster koden. Og det burde få folk til at tænke sig lidt bedre om :)

@Carsten Jørgensen

Jeg sage der hvis nok er fundet nogle huller i ChipTan, men jeg har aldrig fundet noget konkret.

Vedr. Den løsning jeg ligger op til, jeg anbefaler usb, men der er ingen grund til at bluetooth eller wifi kunne bruges.. Det er mange muligheder, da enheden kun bør behandle krypterede beskeder. Derved kan du koble op, ca 99% af mobiltelfoner, tablet, PC'er, m.v. Det er bare et spørgsmål om at designe løsningen.

Vedr. usability, jeg tvivler de har usability tested den løsning jeg forslår her.

Modsat hvad i tror er det ikke en lille regnemaskine jeg snakker om, men et netværks forbundet enhed, der er ingen behov for at overføre numre fra en enhed eller en anden...

Grund konceptet er :

Du formulere din transaktion via en web interface - eller app - dette sender du til banken.. Banken skrive et kryptet besked som sendes til browseren og overføres til din enhed, enten usb, wifi, bluetooth, eller en helt anden kommunikations type.. Enheden dekryptere og viser transaktionen på sin skærm, hvorved du kan sige ja eller nej.. Trykker du ja genereres der en ny krypteret svar, der bekræfter transaktionen som sendes til banken.. Trykker du nej, stopper det der. Konceptet er meget lign. ChipTan, men køre med fuld private/public kommunikation, og ikke manuel overførsel af 6 tal.

Der er nogle design udfordringer, men det burde kunne gøres, på en måde hvor du er lige glad med vira, trojaner, spoofing, MITM angreb, m.v. Detailjerne er for mange til at beskrive her, men jeg præsenterede løsningen for andre, og ingen har fundet huller i løsningen, ikke andet end hvis krypteringen brydes..

Skal vi ikke lade brugerne af Storebæltsbroen afgøre om broen er sikker at køre over. Det har de nemlig vildt mange forudsætninger for at afgøre.

Politikere, suk.

En søgning på "openid man-in-the-middle" giver umiddelbart dette link, som blandt andet skriver:

Der er skrevet mere om de angreb du nævner her: http://wiki.openid.net/w/page/12995216/OpenID_Phishing_Brainstorm

Det første angreb er en falsk login-side. Som jeg har skrevet ovenfor i mit løsningsforslag, så skal brugerne checke at webadressen er "https://nemid.nu" før de logger ind. Hvis man gør det, så vil man ikke falde for det. Dette problem er bare brugere som ikke følger sikkerheds-anvisningerne.

Det andet angreb er hvis der er en fejl på fx Danske Banks hjemmeside, så man kan indsætte HTML på siden og derved lave et falsk Danske Bank loginrequest. Eller hvis Danske Bank kørte en redirect-service. Problemet med det ville ikke være at man underskrev falske transaktioner, men at man blev sendt hen til en side som man troede var reel, selv om siden ikke var det. Det er et problem som også findes med NemID i dag, og som ikke ville kunne bruges til at tømme ens bankkonto hvis NemID bruge et OpenID-lignende system. Problemet grunder i at OpenID er et ubegrænset system, hvor der ikke er grænser for hvilke sider der kan bruge OpenID - hvis NemID var begrænset som i dag, men bruge en fælles loginside som OpenID, så ville NemID ikke have dette problem, da NemID/OpenID ville have en whitelist med tilladte adresser som NemID/OpenID kunne redirecte tilbage til.

NemID's sikkerhedsproblemer er størrelsesordener værre. Uden at være ekspert på OpenID, så er der tilsyneladende gode grunde til at at OpenID ser ud som det gør. det er ikke tilfældet med NemID.

Anders:

Nej, det er her problem er, og det
jeg prøvede at påpege :) Bare så man ikke troede at den løsning var bedre end NemID.

Du mener altså at sålænge brugere har mulighed for at at lave fejl, så kan det være lige meget at selve løsningen er mindre sårbar overfor malware på brugerens pc?

Du mener altså at sålænge brugere har mulighed for at at lave fejl, så kan det være lige meget at selve løsningen er mindre sårbar overfor malware på brugerens pc?

Jeg vil ikke kaste mig ud i hvilken løsning er bedst, men de problemer vi oftest ser i forbindelse med NemID (Som jeg ikke selv er meget for), er at folk bliver narret til at oplyse en ekstra kode, som kan komme i forbindelse med malware på ens computer.

Og denne form for problemer bliver ikke løst af den svenske token løsning. Det er det eneste min pointe er :)

At lave en løsning, som kan gardere imod at brugerne ikke tænker sig om, er en udfordring. Hvordan den kan løses har jeg ikke en ide om.

Men løsning som Michael Nielsen er inde på, kan forhindre dette, i og med at enheden vil være uafhænging af computeren, og vil forklare brugeren hvad han / hun er igang med at sige ja til.

Dog ser jeg mange problemer i forbindelse med sammenkoblinger, og folks evner til at bruge en sådan enhed. Der findes jo folk der har svært ved at forstå hvordan man bare bruger det simple papkort :)