Sikkerhedsekspert: Skjult NemID-kode på din pc er en rigtig dårlig idé

NemID's forsøg på at højne sikkerheden ved at skjule kildekode som billedfiler er en rigtig dårlig idé. Kun uerfarne virksomheder bruger den metode, siger lektor på ITU.

Meget tyder på, at DanID har skjult programkode i billedfiler i forsøget på at gøre arbejdet sværere for hackere, som ville angribe NemID.

Læs også: DanID camouflerer programkode på din pc som billedfiler

Fremgangsmåden er også kendt som 'security by obscurity' og går ud på, at man kan øge sikkerheden, hvis man holder sin løsning hemmelig eller skjult. Men det er ikke en metode, der hører hjemme i en løsning som NemID, mener lektor og sikkerhedsekspert Joseph Kiniry fra IT-Universitetet.

»Blandt it-sikkerhedseksperter er der stærk enighed om, at security by obscurity er en rigtig dårlig idé. Vi stoler ikke på det,« siger Joseph Kiniry til Version2.

Joseph Kiniry bakkes op af det amerikanske institut for standarder og teknologi, NIST, der ved flere lejligheder udtrykkeligt har anbefalet ikke at bruge security by obscurity.
»Et systems sikkerhed bør ikke afhænge af hemmeligholdelse af implementeringen eller systemets komponenter,« skriver NIST således i sin "Guide to general server security."

Indholdet af den Java-applet, som bruges til login med NemID, kom i fokus torsdag, efter antivirussoftware fra McAfee reagerede på indholdet af nogle af de filer, som bliver gemt lokalt på brugerens pc, når han logger på med NemID.

Læs også: McAfee advarer om virus i NemID

En pakket fil, som bruges til at distribuere blandt andet billedfiler sammen med Java-appletten, har vist sig at indeholde fire filer, der er camoufleret som GIF-billedfiler, men som i virkeligheden indeholder programkode til Windows, Unix og Mac.

Selve den binære kode har været vanskelig at analysere, hvilket indikerer at programmørerne er gået langt for at gøre det så vanskeligt som muligt at skille koden ad og analysere den. Der er heller ikke brugt standardværktøjer til at camouflere koden. Udviklerne har tilsyneladende brugt deres egenudviklede metoder til at camouflere programkoden.

»Jeg har aldrig set et firma bruge så mange mandetimer på at lave security by obscurity,« siger Joseph Kiniry.

En gruppe af Joseph Kinirys studerende på ITU har for nylig kigget på programkoden i NemID-appletten, men ikke på billedfilerne. Al programkoden i appletten er dog gjort vanskelig at afkode med almindelige reverse engineering-værktøjer.

»Det er ikke et overraskende syn fra en organisation, som arbejder med sikkerhed, men ikke har stor erfaring,« siger Joseph Kiniry.

Problemet med at forsøge at højne sikkerheden ved at lægge slør over, hvad der foregår inde i softwaren, er, at ingen udefra har mulighed for at se, om det foregår sikkert. Hverken skurkene eller de personer, der skal beskyttes af sikkerheden.

Det betyder, at brugerne udelukkende skal stole på, at leverandøren har lavet systemet så sikkert, at det ikke kan hackes. Og når security by obscurity som i det aktuelle tilfælde, akkompagneres af larmende tavshed fra Nets DanID, betyder det, at det bliver det stadig sværere at afvise den mulighed, at den skjulte kode i GIF-billedfilerne ikke stammer fra Nets DanID, men fra hackere.

»Alternativet er at designe et system, hvor du kan offentliggøre alle detaljer og kildekoden. Det er det, der bliver gjort med alle åbne krypteringsstandarder. Så har du mange øjne til at se på systemet, og du får brugernes tillid,« siger Joseph Kiniry til Version2.

Læs også: Kommentar: Luk NemID op

Fremgangsmåden med at sløre sikkerheden via security by obscurity er ikke velset blandt it-sikkerhedsfolk, fordi det ikke er sikkerhed som en del af et sikkert design, men derimod blot en satsning på, at de kriminelle ikke kan gennemskue, hvad der foregår bag sløret.

»Hvis du bruger standardmetoder til security by obscurity, så hæver du overliggeren en smule og holder de dummeste kriminelle væk. Hvis du går endnu videre med security by obscurity, så hæver du den endnu mere, men du kan aldrig holde alle ude. De beslutsomme kriminelle vil altid kunne opnå det, de vil,« siger Joseph Kiniry.

Sikkerheden i NemID er for alvor kommet i fokus, efter otte kunder hos Nordea fik stjålet penge fra deres netbanker som følge af et phishing-angreb, hvor de blev lokket til at udlevere deres login-oplysninger i et såkaldt man-in-the-middle-angreb.

Læs også: Pærelet at narre NemID fra dig med klonede hjemmesider

DanID har afvist, at denne type angreb skulle betyde, at sikkerheden ikke er tilstrækkelig i NemID, fordi angrebet er afhængigt af, at de kriminelle kan lokke brugeren til at følge et link.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Johan Holst Nielsen

»Et systems sikkerhed bør ikke afhænge af hemmeligholdelse af implementeringen eller systemets komponenter,« skriver NIST således i sin "Guide to general server security."

Lige præcis denne del kunne DanID lære en del af... ikke blot i denne sag - men i hele NemID sagen overordnet. Dette kunne være spændende at høre om DanID ikke er enig med NIST guidelines?

  • 28
  • 1
Niels Didriksen

Tag et langt og grundigt kig på IC4 togene, der holder udrangeret på århus banegård nu. Sådan ser det ud, når man bliver ved med at holde liv i en døds-sejler. Hvor mange borgere spurgte ikke sig selv allerede tilbage i midten af sidste årti, hvad meningen med dén IC4-galskab var. Og hvorfor AnsaldoBreda blev ved med at få frie tøjler.

Indtil nu har der ikke været en eneste succes-historie i.forb.m NemID udover hvor mange der bruger det, hvilket jo åbenlyst skal tilskrives tvang og ikke naturlig kunde-tilstrømning. Tværtimod har det allerede været en stjernekavalkade af driftsproblemer, inkompetence, sikkerhedshuller, forsinkelser. Alt sammen krydret med skandaløst dårlig kommunikation, løgn, fordrejning eller bare arrogant ignorering af kritik.

Kære politikere; Hvor mange kadavere skal der vælte ud af skabet, før i siger "Nu er det nok", tager opgaven fra DanID og får lavet et system i offentligt regi, som det bør laves ifgl. fagfolk, matematikere, sikkerhedseksperter. For slet ikke at tale om flere lande som feks. USA, der enten har eller er ved at lave en signatur-løsning, baseret på borgernes behov istedet for et privat firma.

Jeg appelerer KRAFTIGT mod at tro, at problemerne vil forsvinde ved at 1) "vente og se" eller 2) kaste flere penge efter det. Kig ud på rangér-sporene på Århus banegård for at se hvad dét fører til.

  • 36
  • 1
Martin Kofoed

Jeg kan anbefale ALLE at besøge Århus Banegaards rangértærren. Det er et stykke meget håndgribeligt anskuelighedsundervisning i, hvad der sker, når inkompetence møder ligegyldighed. Jeg viste de fine tog til mine børn, og sagde, at de havde kostet os alle sammen flere milliarder kroner, at disse penge aldrig kom tilbage igen, og at togene med overvejende sandsynlighed aldrig ville komme til at køre med passagerer.

Og så stillede de det spørgsmål, som de ansvarlige burde have stillet meget mere i løbet af processen: "hvorfor?"

  • 23
  • 0
René Hytting-Vabø

Som almindelig bruger af NemID og fast læser her på V2, virker det efterhånden som om, at NemID er ved at udvikle sig til en farce.....eller nærmest som en græsk tragedie. Jeg vil derfor gerne opfordre politikerne til at tage deres ansvar alvorligt og få kigget NemID igen - og få så lige digitaliseringstyrelsen og DanID ned fra elfenbenstårnet.

  • 14
  • 0
Theis Blickfeldt

Er helt enig Niels!

I et privat firma ville man kigge på hvem der bedst kan løfte en given opgave, og hvis det ikke bliver gjort godt nok, så går opgaven til en anden.
Forstå det nu kære politikkere, at I må, skal og bør kigge nærmere på hvordan man løser opgaver i det private!

  • 11
  • 0
Henrik Stig Jørgensen

Problemet med at forsøge at højne sikkerheden ved at lægge slør over, hvad der foregår inde i softwaren, er, at ingen udefra har mulighed for at se, om det foregår sikkert. Hverken skurkene eller de personer, der skal beskyttes af sikkerheden.

Så DanID har obfuskeret koden. So what? Deres applet kører i forvejen udenfor sandboxen og bootstrapper arbitrære jar-filer gennem URLClassLoaderen.

Som brugere af NemID har vi allerede givet dem (DanID) carte blanche til at eksekvere hvadsomhelst på vores maskiner - og i princippet (altså ikke nødvendigvis i praksis) lytte med på al vores digitalt signerede kommunikation med det offentlige og bankerne. Bemærk her, at jeg ikke siger at DanID er en uhæderlig virksomhed, der kunne finde på at misbruge denne store tillidserklæring fra befolkningen. Jeg påpeger blot at dette obskure (jvf. artiklen) design af en digital signatur giver DanID disse muligheder.

Det betyder, at brugerne udelukkende skal stole på, at leverandøren har lavet systemet så sikkert, at det ikke kan hackes.

Obfuskering eller ej - dette er en forudsætning for hele designet af NemID. Så længe borgerne ikke selv råder over deres privatnøgle må man stole på leverandørens sikkerhed og at systemet ikke kan hackes - eller misbruges.

  • 9
  • 0
Michael Thomsen

Meget tyder på, at DanID har skjult programkode i billedfiler i forsøg på at gøre arbejdet sværere for hackere

Det mener jeg nu ikke er korrekt. Hvis det var tilfældet skulle der være tale om at de havde indlejret eksekverbar kode i en fil, som rent faktisk indeholder et billede. Dette er muligt, men åbenbart udenfor DanID's kompetancer.

Det de har gjort er blot at omdøbe nogle .dll o.l. filer til .gif og lagt dem i /img folderen. Det er der dælme ikke meget obscurity over.

  • 11
  • 0
Henrik Stig Jørgensen

Det lød lidt negativt, men jeg synes faktisk det lyder som et spændende projekt de har gang i på ITU - og vigtigt at nogen går vores "sikkerheds"-løsninger efter i sømmene.

Min pointe var blot at hvorvidt DanID benytter security-by-obscurity betyder ikke så meget for brugeren, da systemet alligevel aftvinger total underkastelse eller tillid, og man derfor kan undre sig over hvorfor DanID gør sig den ulejlighed at obfuskere koden når folk er ligeglade.

Men interessant er det dog :-)

  • 8
  • 0
Jesper S. Møller

Tjah, det har da sikkert taget lidt længere tid end ellers at finde ud af hvad den native kode gør, men det er rigtigt, de kunne have skjult den langt bedre med få midler.

Jeg tror folk klikker OK til NemID Apletten fordi de regner med at NOGEN kigger på koden. Og det er der jo så også NOGEN, der gør, bare nok ikke dem, Hr. og Fru. Hansen regner med.

  • 4
  • 0
Henrik Stig Jørgensen

@Jesper

Hørt, hørt. Men hvilken kode? Den jar du downloader er ikke nødvendigvis den samme som den jeg downloader. Så skal der offentliggøres SHA checksums og borgere skal have mulighed for først at tage stilling til den konditionelle eksekvering af appletten efter de har haft mulighed for checksum-validering af de af appletten bootstrappede jars - hønen og ægget (eller fejldesign?).

  • 3
  • 0
Lars Lundin

Bemærk her, at jeg ikke siger at DanID er en uhæderlig virksomhed

Nej, men med deres demonstrerede kompetenceproblemer kunne DanID jo selv blive kompromitteret, med risiko for at den kode deres brugere bliver påtvunget indeholder malware, der giver faktiske kriminelle kontrol med alle computere, der anvendes til NemID.

Som en debattrør påpegede igår kan dette allerede være sket uden at nogen NemID brugere har mulighed for at gøre noget ved det:
http://www.version2.dk/artikel/login-applet-til-nemid-camouflerer-exe-fi...

  • 6
  • 0
Log ind eller Opret konto for at kommentere