Pærelet at narre NemID fra dig med klonede hjemmesider

Ingen tvivl om at det er en udmærket løsning. Personligt har jeg bare ikke lyst til at skulle have endnu en device på mig, for at kunne komme i banken. Det er slemt nok med nøglekortet, men det kan da dog ligge i min pung. Hvis problemet bliver løst i browseren i stedet, løser det jo også en række andre udfordringer.

Et eller andet sted er jeg rimeligt ligeglad med øget sikkerhed forhold til banken, der får jeg mine penge tilbage hvis det bliver hacked og derfor vil banken sørge for at sikkerheden er i orden, fordi de ellers mister penge.

Jeg er sgu mere nervøs for NemID i forhold til alt det andet.

Identitetstyveri, lækkede oplysninger om skatteforhold, sygdomshistorik og så videre, er noget jeg bekymrer mig mere om, end lidt penge som jeg alligevel får tilbage.

Når jeg kun erklærer mig delvist enig, er det fordi at en angriber jo altså kun kan anvende en franarret kode een gang - så eksemplet med biblioteket er nok ikke særlig attraktivt for potentielle svindlere.

Det kræver da ikke mere end een PapID kode at ændre sin postadresse.

Identitstyveri er dermed nemt, banditterne fanger een kode og ændrer adressen hvorefter de bestiller et nyt papkort som sendes til "din" nye adresse og vupti så har de alle de koder de har brug for.

Var det ikke Operation X som viste at man sagtens kan skrue en ekstra postkasse op ved siden af en masse andre postkasser i en opgang og give den et fiktivt nummer og når posten så kommer så får man breve deri.

SLETTET

Jeg må indrømme jeg har svært ved at forstår hvorfor i kun er efter NemID. Som jeg ser problemstillingen, er det hele SSL modellen der er ikke er fantastisk. Det ville være lettere at løse problemet i browseren. Så browseren stollede mere på nogen certificator end andre. Jeg tror ikke på EV certs er løsningen. Men måske mere en central database, hvor brugere delte oplysninger om certificator. Som f.eks. med "Perspectives" til Chrome og Firefox som vidt jeg husker. Og der er andre gode projekter der ude.

At bruge personlige certs kunne løse nogen problemer. Men jeg kan nu godt lide nemID da det ikke er afhængig af en bestemt platform eller teknologi. - Og ikke mindst nem at flytte fra en device til en anden.

Mvh. Rasmus

... men det er altså også let... Kommenterede en anden artikel tidligere i dag hvor jeg viser at alle hjemmesider står for skud hvis man vil...

https://ynk.gl/oltm/version2

Havde linket været anderledes kunne man måske tro at det var version2's hjemmeside man kom ind på...

Mvh Martin 'Ynk' Storgaard

Det har i nogen tid stået klart at NemID er sårbart for man-in-the-middle angreb. Det kommer (forhåbentlig) ikke som nogen overraskelse for nogen som ved bare lidt mere om EDB end hvordan de tænder for computeren. Ej heller burde det være nogen overraskelse for DanID eller NETS.

Personligt var jeg meget mere glad for den gamle Digital Signatur, der krævede misbrug da i det mindste at nogen hackede sig igennem min firewall og div. sikkerhedssoftware. Ikke just nogen nem opgave - men jeg er så også en af de "heldige" som selv har et rimeligt dybtgående kendskab til teknikken (datamatiker).

Når jeg kun erklærer mig delvist enig, er det fordi at en angriber jo altså kun kan anvende en franarret kode een gang - så eksemplet med biblioteket er nok ikke særlig attraktivt for potentielle svindlere. Skulle det lykkes nogen at komme ind på min netbank og stjæle noget dækker banken. Som det også skete for nyligt, hvor et mindre antal Nordea kunder fik deres konti lænsede.

Jeg synes faktisk at det er et langt større problem, at det private firma DanID genererer koderne - så en programør hos DanID kunne sikkert rimeligt nemt generere et antal falske nøglekort som han kunne gå i gang med at bruge. Identitetstyveri, hvor man pludselig opdager at en anden person har "overtaget" ens identitet er et voksende problem - og der er som bekendt brådne kar i alle lejre.

Jeg vil gerne understrege, at jeg ikke har nogen som helst konkret mistanke til DanID eller nogen af deres ansatte. Jeg konstaterer alene at muligheden foreligger.

Bankerne kunne selv gøre meget, ved f.x. at kræve en ny NemID kode for hver enkelt transaktion. Så var man ude over problemet med at en bedrager kunne sende en fejlmeddelelse tilbage med besked om at logge på tidligere. Det ville også begrænse mulighederne for uretmæsige overførsler - hovedparten af gange hvor jeg logger på min netbank er det kun for at tjekke saldo og status på BS-betalinger.

Som det er lige nu (i Nordea) bliver jeg ved overførsler kun bedt om at gentage mit password - det er ærlig talt ikke specielt intelligent !

Men overordnet set håber jeg at både myndighederne og befolkningen snart indser, at det ikke findes nogen 100 % skudsikker metode til at sikre korrekt identifikation på internettet, i hvert fald ikke før vi alle kan bruge kvantekryptering !

Hej. Kender en der havde et abonnement hos en teleudbyder, kan ikke lige huske hvilken. For at logge in på sin egen abonnementside, skulle man logge ind med brugernavn, og adgangskode, og så fik man en SMS som ekstra sikkerhed for at man nu var den man var. Det tastede man så ind på hjemmesiden, og så var man på. Lidt ligesom nemid, men bare meget mere sikkert. Ja mht, hastighed, så gik der nogle gange 5 min inden SMS´en kom. Det kan godt i længden være træls, men det må kunne løses. mvh, Erik.

Problemet med NemID er hele arkitekturen bag den konstruktion.

OTP er sådan set udmærkede, men ikke når de træder i stedet for en sikker forbindelse.

Hele den uheldige konstruktion består i at NemID er og bliver et login til Nets, som derefter handler på vegne af dig.

Det betyder at vi som forbrugere skal vænne os til at stole på MitM-angreb på vores fortrolige data-kommunikation. I en verden hvor folk i forvejen lægger deres liv til åbent skue og krænger deres sjæl ud på Facebook, Twitter o.lign. virker det måske ikke så skræmmende, men, på de sociale medier bestemmer man SELV hvem man vil stole på.

Den samfundsskadelige konstruktion i NemID er, at staten tvinger os som forbrugere til at stole på en "blackbox" som er styret af en økonomi-orienteret virksomhed med et eneste mål, nemlig profitmaksimering for enhver pris!! Andre aktører har ikke en chance for at kunne byde ind, og den reelle sikkerhed er langt dårligere end den var med lokalt gemte certifikater. Certifikat-nøglen til min netbank ligger stadig udelukkende på en USB-pen, selvom den ikke har fungeret siden januar i år. Min digitale signatur (som udløber næste sommer) har potentialet for at give mig en P2P-krypteret forbindelse, hvor kun endepunkterne er i besiddelse af krypteringsnøglen.

Den rent krypteringsmæssige side af forbindelsen er måske bedre mellem Nets og de instanser de kommunikerer med, end den er/var det med digital signatur/netbank-nøgle. til gengæld svarer NemID principielt stadig til at jeg beder min bankrådgiver om at gå på apoteket for mig...

Den eneste måde NemID kan sikres forsvarligt på, er ved at fjerne samtlige centrale nøgler og give samtlige brugere et certifikat, de selv genererede nøglepar til, første gang de tog certifikatet i brug - altså en konstruktion i stil med den digitale signatur.

Men, med den tendens der er til overvågnings-liderlighed hos det offentlige og deres samarbejdspartnere, har den slags meget lange udsigter. Og, det er ikke engang den eneste overvågnings-konstruktion i det digitale Danmark. Rejsekortet er endnu et eksempel på den syge overvågnings-tankegang der ligger dybt integreret i flere af de digitale beslutninger som er blevet vedtaget og ført ud i samfundet de sidste år.

Så længe vi har beslutningstagere med den slags tilbøjeligheder, vil vi se samfundsskadelig teknologi blive integreret i lovgivningen til skade for både samfundets borgere og hele samfundsøkonomien!

Mvh. og god weekend :o)

En mulig lappeløsning på problemet kunne være at have en positivliste over sider, hvor man kan lave login. NemID Appletten skal så kunne tjekke at brugeren befinder sig på en sådan side inden der kan indtastes noget som helst. Hvis listen opdateres løbende og ligger på et lille antal vel-overvågede servere burde det kunne fungere.

Jeg spekulerer over hvad i min post der får den til at hælde mod nedadvendt tommelfinger.

Jeg syntes at NemID skulle acceptere at det faktisk er muligt.

Men eksemplet kræver jo at 'hackeren' har lavet en klonet side af f.eks. Danske bank. Altså for at det kan foregå i real-time.

NemID'et kan jo kun bruges en gang. Og man må sige at ellers kan det ikke lade sig gøre.

Efter min mening kræver det derfor at noget ekstra fra BANKERNES side. Nemlig at disse dels sikrer at der ikke findes den slags 'kloner', men også at de sørger for en dialog med kunden, i retning af at være opmærksom på INTERNET-ADRESSEN ER KORREKT. Altså et brev fra bankerne, med en advarsel om dette fænomen, og hvor man fortæller dem præcis hvad der skal stå i adressefeltet. SÅDAN!

[rant] Brugeroplevelsen!?! BRUGEROPLEVELSEN!!? Er de på crack hos DanID eller hvad? Ja undskyld mit udbrud, men sådan en kommentar kan virkelig bringe mit pis i kog! Beskyt mine personlige oplysninger først, og DERNÆST kan I bekymre jer om brugeroplevelsen, jer derinde hos DanID! Jeg gider jo heller ikke køre i en super lækker bil...der er lavet a pap! /(&#%/&%/#¤ Aaaargh!!! [/rant]

Hej,

Der er et par stykker der beskriver hvordan man får fat i falske certifikater, og lister omstændige måder hvorpå man med skæg og blå briller kan opnå disse.

En hacker har typisk ikke tid til sådan leg og. Han bruger bare en PKI løsning, og genererer dem selv - hvorefter han importerer sin egen CA som trusted root på klienten.

På nøjagtigt samme måde som f.eks. Verisign gør.

Glem det fantasi om hvordan med nær-magi kan snyde med SSL.

Hvis en angriber har adgang til din computer, så skal der slet ikke så meget til.

Jeg vil gerne levere CA certifikat til root store, samt certifikater på et par bankdomæner for at demonstrere dette - men jeg har ikke lyst til at håndtere misforståelserne omkring det, så det må være en øvelse man selv laver... ;-)

Alt det kræver er adgang til maskinen. Ikke alle browsere kræver administrative rettigheder for at importere en trusted root, så det er super nemt.

Har I nogle gode løsningsforslag til problemet? DanID siger jo selv at de har "nogle mekanismer, vi kan tage i brug". De vil ikke ud med hvilke.

Her er et par mulige løsninger, eller delløsninger, der måske går ud over brugeroplevelsen, og måske har andre huller. Det er lige frit fra tankerne, før morgenkaffen ,-)

• Spørg efter brugerens nøgle via en SMS i stedet for via skærmbilledet; "Nøgle 4410: Du er ved at logge ind på Danske Netbank"

• Send brugeren en SMS efter gyldigt login: "Du benyttede nøgle nr 2350 til login på Herlev Bibliotek d.14. oktober kl 09:27"

• Mulighed for at se komplet historik over nøglebrug på borger.dk

• Loginsikkerhed ala Facebook; Hvis du kommer fra en ny/fremmed IP-adresse, så skal du igennem et ekstra lag (f.eks. via SMS).

Kan I flere og bedre? .-)

at folk tjekker nøgleviserens eller papkortets serienummer på login siden? Den kan da ikke manipuleres...det kræver selvfølgelig man logger ind i første trin med ægte oplysninger.

Sikkert et dumt spørgsmål, men hvordan har hackere fået et ægte certifikat? Kan ikke lige se i videoen om det er et ok certifikat? Kan hackere erhverve sig ægte certifikater der ikke kan bruges til at spore dem efterfølgende?

Når man indtaster de første logind oplysninger, bruger man man et forkert brugernavn og adgangskode. Hvis siden så spørger om den generede nøgle fra nøgleviser eller fra papkort...vupti..BUSTED AS FAKE. Hvor svært kan det være?

Jeg har personligt skriftligt advaret DanID, ITST, og Datatilsynet om problemet for et år. Så de har ikke have nogen god undskyldning for ikke at have gjort noget ved det.

Kan ikke helt forstå hvorfor i ikke også overtager ofrets webcam og snapser et par billeder af papkortet, bare lige for at gøre ydmygelsen endnu større.

For nogle år siden kiggede jeg med fra sidelinien på et mindre firma, der skulle modtage betaling med dankort. Der var ganske skrappe krav til fx eget aflåst serverrum. Det var bøvlet, så det er nok derfor man i dag hellere bruger en udbyder, der har styr på de ting.

Nu er dankort jo kun penge, medens nemid er (...gerne vil være...) hele dit liv, og dine penge.

Derfor ville jeg tro, at hvis man vil bruge nemid, så er kravene mindst på linie med kravene om at bruge dankort. Jeg har kigget efter oplysninger om dette, ganske kort, men har ikke kunnet finde noget. Er der nogen der ved noget?

Mit mareridt er golfklubben, der har deres side hosted hos en lille udbyder, hvor kontoen bliver hacket, og dermed agerer golfklubben Man In The Middle. Det skal vel ikke kunne lade sig gøre. Vel?

For det første betvivler jeg desværre danskernes IT kompetencer og deres evne, i den brede befolkning, til at være i stand til at vurdere om der nu står det rigtige oppe i adresse linien. For det andet, så vil det jo heller ikke være det store problem at simulurere, at der fx står nemid.nu i adresse-linien.. kan allerede nu se overskriften med at de er blevet hacket fordi nogen har købt nemid.dk eller blot nemld.dk eller nemld.nu osv..

Christian, nu tog det jo altså også mange år at få sikkerheds-seler i bilerne ;=)

Bla. det problem har Stephan Engberg, jeg, samt adskillige andre (kan ikke huske alle de gode, men desværre spildte kræfter) prøvet at gøre opmærksom på i flere år, men uden der har nogen der ville høre efter.

Og nu så har man søsat IT sikkerhedsbranchens svar på IC4 og først nu bliver man opmærksom på de problemer der på ingen måde burde være en overraskelse.

"Vi har mulighed for at imødegå denne trussel, men ikke uden at det går ud over brugeroplevelsen."

Fed holdning at have - tænk hvis bilbranchen havde samme indstilling:

Ja vi har mulighed for at lave biler med bremser, men så ville de blive tungere og sværere at bruge når der skal være en ekstra pedal, så det har vi droppet.