Kryptologi-professor: Åbenhed ville klæde NemID

Kommentar: Det er bemærkelsesværdig, at et angreb mod NemID ikke er særlig avanceret. Alligevel skal vi ikke forvente en bølge af Netbank-tyveri, skriver professor Ivan Damgård.

Kommentar: Det er bemærkelsesværdig, at et angreb mod NemID ikke er særlig avanceret. Alligevel skal vi ikke forvente en bølge af Netbank-tyveri, skriver professor Ivan Damgård, Institut for Datalogi ved Aarhus Universitet, i denne kommentar til den verserende debat om sikkerheden i NemID:

Efter mere end et år i drift har vi nu set det første angreb på NemID-systemet. Ikke overraskende har det givet masser af debat og oven i købet reaktioner fra politisk hold, hvor man naturligvis ønsker "et system borgerne kan have tillid til".

Desværre er det ikke så simpelt: Ingen - absolut ingen - it-systemer er 100 procent sikre i praksis. Der vil altid eksistere angreb som kan gennemføres, hvis angriberen har ressourcer nok og er tilstrækkelig dygtig - eller heldig.

Det bemærkelsesværdige er dog, at det angreb, vi taler om her, faktisk ikke er særlig avanceret. Ideen er følgende: Selvom låsen på din dør er totalt dirkefri, kan tyven komme ind alligevel, hvis du selv giver ham din nøgle!

Det lyder banalt, men det er faktisk det, der er sket med NemID for nylig: Angriberen laver en falsk hjemmeside, som ligner noget, du gerne vil logge ind på. Hvis du kan narres til at taste en kode fra dit nøglekort ind her, så kan angriberen bruge den kode som indgang, f.eks. til din netbank, hvis han er hurtig og fiks nok på fingrene.

Jeg kan under ingen omstændigheder forestille mig, at NemID's egne folk ikke har overvejet dette angreb. Vurderingen må have været, at risikoen ikke er stor nok til, at man ville lave systemet mere kompliceret for at undgå angrebet.

Det er vigtigt at understrege, at der ikke er noget galt med at lave en vurdering. Det er man nødt til, for man kan ikke forhindre alle angreb.

Så det vigtige spørgsmål er naturligvis, om vurderingen er rigtig. Her er de vigtigste punkter, som jeg ser det, at hver kode kun giver adgang til at forfalske én signatur, og angriberen først skal have lokket offeret ind på sin egen side.

Her har midlerne været de sædvanlige: man sender folk en mail, der siger "klik her og tast dit password" - eller noget tilsvarende. Nogle vil hoppe på den, men jeg tror ikke man skal gå i panik og forvente en bølge af Netbank tyverier for millionbeløb.

På den anden side vil det klæde NemID at være åben om risikoen. Man bør oplyse om, at NemID ikke er en sovepude, der tillader brugerne at slappe af og klikke på alle mulige links, som man får sendt pr. mail.

Selvom det er forståeligt, at NemID gerne vil forhindre panik, er løsningen ikke at afvise alle problemer.

Det er uendelig vigtigt at oplyse brugerne om de risici, der findes. Og naturligvis især når det handler om angreb, man som almindelig bruger har en chance for at undgå.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Simon Thyregod

Et andet problem med NemId er tiltroen til at DNS-opsætningen på computeren er korrekt. Hvis computeren får falske svar på DNS forespørgsler, vil brugeren kunne franarres login-oplysningen uden at kunne spore at han bliver snydt. Dette kunne f.eks. opstå hvis computeren er inficeret som beskrevet i artiklen nedenfor eller hvis man logger på fra f.eks. et hotel, hvor man får tildelt en ondsindet DNS-opsætning. Av!

Jeg synes dette er en meget overset problemstilling...

http://www.version2.dk/artikel/fbi-slaar-til-mod-dns-kapring-af-4-millio...

Anders Hessellund Jensen

Hvis brugeren får falske svar på DNS-forespørgsler, så vil brugeren normalt kunne konstatere, at enten bruger siden der logges ind på ikke HTTPS eller også er certifikatet ikke gyldigt, eller også er addressen forkert.

Med mindre, selvfølgelig, at det er lykkedes angriberen at lave et SSL-certifikat, som browseren anser for gyldigt.

Simon Thyregod

Ja, jeg tror bare ikke alle brugere er opmærksom på, om der står HTTPS eller HTTP i browseren. Derudover er der problemer med alle de rodcertifikater som IE som standard stoler på (og deres til tider lidt lave godkendelses-procedure og sikkerhed).

Pascal d'Hermilly

Du laver en dating service eller noget der ligner og beder folk om at verificere sig med NemID. I det øjeblik offeret gør det klapper fælden.
Medmindre man altid skal indtaste sine login-oplysninger på login.danid.dk så kan du ikke verificere om den her udbyder har en aftale med DanId eller om han er ved at snyde dig.
Der er en grund til at OpenID fungerer præcis sådan.

Thue Kristensen
Janus Kristensen

HTTP Strict Transport Security ville kunne sikre mod begge ting. Men det bruger DanID selvfølgelig ikke.

Faktisk ikke. Eller jo, hvis alle NemID-sider hardcodes til strict-security i browseren (f.eks. på installation). Usandsynligt.

Så kan man antage at browseren gemmer eksempelvis borger.dk som strictsecurity på første besøg fra brugeren. Men så kan angriberen lave sit realtime MITMangreb der. En angriber kan i realiteten opstille falske domæner (baseret på NemID) ved at lave phising emails, og så er vi ligevidt.

Malik Taaning

Jeg er ikke komplet ligeglad med banksikkerheden - men faktum er for almindelige forbrugere er der en række foranstaltninger der gør at skulle man miste nogle tusind kroner fra sin netbank så får man dem erstattet.

Hvad jeg gerne så debatteret lidt mere er hvorfor det er acceptabelt at man med et simpelt MITM angreb kan flytte folkeregister addresse / ændre skatteforhold / søge skilsmisse? etc etc.

NemID bliver IKKE kun brugt til bankerne

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize