Pærelet at narre NemID fra dig med klonede hjemmesider

En vilkårlig hjemmeside kan bruges til at franarre dig dine NemID-oplysninger - og dermed få adgang til din netbank. Det afslører Ingeniøren og Version2 i dag i en videodokumentar. Sikkerheden i NemID bør øges, mener eksperter.

Med få dages indsats, en smule fantasi og værktøjer, der er frit tilgængelige på internettet, kan en relativt ukyndig it-kriminel franarre dig dine NemID-oplysninger og få adgang til bl.a. netbank, selvangivelsen eller detaljerede oplysninger om medicinforbrug og behandling på sundhed.dk.

Det dokumenterer Ingeniøren og Version2 i dag i en video, hvori et fiktivt angreb præsenteres trin for trin.

Se også: Video: Så let kan kriminelle franarre dig dit NemID

NemID anvendes i dag på et stigende antal hjemmesider, f.eks. biblioteker, datingtjenester og nyhedsmedier. Den stigende udbredelse betyder, at brugerne ikke ænser, om de er inde på en ægte eller en falsk side.

Det kan it-kriminelle udnytte til at etablere en falsk hjemmeside, f.eks. for et bibliotek, hvor NemID-oplysningerne lokkes ud af borgeren, påpeger Ulf Munkedal, direktør i it-sikkerhedsvirksomheden FortConsult:

»Det er et reelt designproblem i dag, og DanID skal have gjort noget ved det, inden trusselsbilledet for alvor indhenter dem. De skal finde en måde at løse det her på, så man ikke bare i flæng taster NemID ind alle steder,« siger han.

Forsker: Et realistisk angreb

Forsker i it-sikkerhed ved IT-Universitetet Joe Kiniry er enig og fastslår, at angreb af den type - kaldet man-in-the-middle - er realistiske:

»Det er helt sikkert et problem. Og det bliver formentlig udnyttet allerede nu med man-in-the-middle-angreb. Lige så snart det her bliver mere udbredt - og nogen for alvor begynder at udnytte situationen - vil der blive gjort noget ved problemet,« siger han.

At NemID er sårbart over for angreb via falske hjemmesider viste sig også i september, da otte Nordea-kunder blev narret til at indtaste deres login på en efterligning af Nordeas netbank.

Men som Ingeniøren dokumenterer, kan andre hjemmesider også bruges til at narre NemID ud af borgerne og derved give kriminelle adgang til netbanker og over 220 offentlige og private hjemmesider.

Eksperter: Sårbarhed kan mindskes

Det er langt fra kun NemID, der risikerer man-in-the-middle-angreb. Også de store kreditkortselskaber og andre leverandører af online-betalingstjenester har forsøgt at løse brugernes problem med at vide, om man befinder sig på en lovlig hjemmeside for indtastning af kreditkortoplysninger, eller om oplysningerne i virkeligheden er ved at blive indtastet på en ondsindet side, forklarer Ulf Munkedal.

For at komme den usikkerhed til livs anvendes der i betalingskortsammenhæng nu flere steder et særskilt pop-up-vindue, når brugeren ønsker at betale med kort på nettet. På den måde skal brugeren blot tjekke, at der står f.eks. 'visa.com' i browserens adressefelt - for det skal der stå, uanset i hvilken butik, man handler, for at der er tale om en lovlig transaktion. Og den løsning mener Ulf Munkedal godt kunne overføres til NemID:

»Hvis man gik over til at bruge et pop-up-vindue fra en autoriseret kilde, så ville det i hvert fald hjælpe på sikkerheden,« siger han og bakkes op af Joe Kiniry.

DanID: Forsvar vil gå ud over brugeroplevelsen

Chef for Center for Digital Signatur under Digitaliseringsstyrelsen Palle H. Sørensen, der er den daglige ansvarlige for NemID og den kontrakt, der er indgået med leverandøren DanID, erkender, at Ingeniørens simulerede angreb er muligt.

»Men vi laver en løbende trusselsvurdering, og hvis vi kan se, billedet ændrer sig, så er der nogle mekanismer, vi kan tage i brug,« siger han - uden at ville gå i detaljer med, hvilke mekanismer, der er tale om med henvisning til sikkerheden.

DanID erkender i en skriftlig udtalelse til Ingeniøren, at angrebene er mulige, men vil ikke øge sikkerheden endnu:

'Vi har mulighed for at imødegå denne trussel, men ikke uden at det går ud over brugeroplevelsen.'

Læs også: DanID afviser kritikken: »Et teoretisk scenarie«

Denne historie er fra Version2's søstermedie Ingeniørens trykte avis, der udkommer fredag

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (58)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Nobel

Bla. det problem har Stephan Engberg, jeg, samt adskillige andre (kan ikke huske alle de gode, men desværre spildte kræfter) prøvet at gøre opmærksom på i flere år, men uden der har nogen der ville høre efter.

Og nu så har man søsat IT sikkerhedsbranchens svar på IC4 og først nu bliver man opmærksom på de problemer der på ingen måde burde være en overraskelse.

"Vi har mulighed for at imødegå denne trussel, men ikke uden at det går ud over brugeroplevelsen."

Fed holdning at have - tænk hvis bilbranchen havde samme indstilling:

Ja vi har mulighed for at lave biler med bremser, men så ville de blive tungere og sværere at bruge når der skal være en ekstra pedal, så det har vi droppet.

  • 25
  • 3
Benni Bennetsen

For det første betvivler jeg desværre danskernes IT kompetencer og deres evne, i den brede befolkning, til at være i stand til at vurdere om der nu står det rigtige oppe i adresse linien. For det andet, så vil det jo heller ikke være det store problem at simulurere, at der fx står nemid.nu i adresse-linien.. kan allerede nu se overskriften med at de er blevet hacket fordi nogen har købt nemid.dk eller blot nemld.dk eller nemld.nu osv..

Christian, nu tog det jo altså også mange år at få sikkerheds-seler i bilerne ;=)

  • 4
  • 0
Erik Jacobsen

For nogle år siden kiggede jeg med fra sidelinien på et mindre firma, der skulle modtage betaling med dankort. Der var ganske skrappe krav til fx eget aflåst serverrum. Det var bøvlet, så det er nok derfor man i dag hellere bruger en udbyder, der har styr på de ting.

Nu er dankort jo kun penge, medens nemid er (...gerne vil være...) hele dit liv, og dine penge.

Derfor ville jeg tro, at hvis man vil bruge nemid, så er kravene mindst på linie med kravene om at bruge dankort. Jeg har kigget efter oplysninger om dette, ganske kort, men har ikke kunnet finde noget. Er der nogen der ved noget?

Mit mareridt er golfklubben, der har deres side hosted hos en lille udbyder, hvor kontoen bliver hacket, og dermed agerer golfklubben Man In The Middle. Det skal vel ikke kunne lade sig gøre. Vel?

  • 3
  • 0
Erik Jacobsen

Webcam? Hvis man skal overtage et webcam, skal man helt indpå offerets maskine, forbi de forhindringer, som operativsystem, og andre programmer, sætter op.

Det vi (ehm, i hvert fald jeg) beskriver her, er ting, der foregår helt udenfor offerets maskine.

  • 10
  • 2
Jesper Lund

Er ikke helt med på hvorfor brugeren skulle være garanteret en sikker transaktion når blot der står "visa.com" i et givent adressefelt.

Hvis det er 3D Secure (Verified by Visa, MasterCard Securecode) der tænkes på i version2 artiklen kan jeg heller ikke se hvordan dette skulle forbedre sikkerheden. 3D Secure har præcist det samme problem som NemID: du kan ikke i praksis kontrollere at du kommunikerer med den rigtige server. NemID bruger en indlejret Java applet, 3D Secure bruger en indlejret webside. Verifikation af sidens certifikat er praktisk umulig i begge tilfælde.

  • 7
  • 0
Jesper Lund

Når man indtaster de første logind oplysninger, bruger man man et forkert brugernavn og adgangskode. Hvis siden så spørger om den generede nøgle fra nøgleviser eller fra papkort...vupti..BUSTED AS FAKE. Hvor svært kan det være?

Se videoen igen. Din metode giver ikke nogen ekstra sikkerhed, blot mere besvær for dig (og flere linjer i DanIDs logfiler).

(hint: MiTM hackeren taster dit forkerte uid/pwd ind på den rigtige NemID side, og dette giver en fejl, som gengives over for dig på den falske NemID side, ligesom det sker med OTP challenge).

  • 10
  • 1
Esben Sune Rasmussen

Sikkert et dumt spørgsmål, men hvordan har hackere fået et ægte certifikat? Kan ikke lige se i videoen om det er et ok certifikat? Kan hackere erhverve sig ægte certifikater der ikke kan bruges til at spore dem efterfølgende?

  • 4
  • 1
Jesper Lund

Sikkert et dumt spørgsmål, men hvordan har hackere fået et ægte certifikat? Kan ikke lige se i videoen om det er et ok certifikat? Kan hackere erhverve sig ægte certifikater der ikke kan bruges til at spore dem efterfølgende?

Nemt, du vælger bare en af de CA'er hvor eneste validering er en email sendt til domænet. Certifikatet betaler du med et stjålent kreditkort eller eventuelt et prepaid kreditkort som ikke kan spores tilbage til dig.

  • 3
  • 1
Baldur Norddahl

1) Hvem siger der er brug for et certifikat? Der er massere der vil hoppe på selvom der ingen hængelås er.

2) Hvis det er golfklubens server som er hacket så har hackeren naturligvis fuld adgang til certifikat med mere. Men hvem vil også forvente at en golfklub har SSL beskyttet deres side?

3) Hvem gider lave en fakeside for en bank? Det gør bare folk mistænksomme. Lav en fakeside for en offentlig myndighed. Ingen kender de rigtige domæner for diverse offentlige myndigheder og ingen forventer at en offentlig myndighed har kompetence nok til at vælge SSL.

  • 17
  • 1
Jon Linde

Desværre har "comodo hackeren" vist at det er muligt at få adgang til rigtige certifikater. Dette skete for relativt nyligt da han fik udstedt en række certifikater til bl.a. microsoft og google domæner fra certifikatudstederen DigiNotar i Holland (nu lukket).

Dette resulterede (selvsagt?) i branchepanik og kritiske patches fra Microsoft og andre browserproducenter (Apple mangler vist stadig).
Denne patch gik ud på at fjerne DigiNotar fra listen af udstedere som browseren stolede på.

Certifikatautoriteterne har siden da strammet kraftigt op på deres sikkerhed.

  ******  

Men: I dette tilfælde kan de faktisk have registreret domænet på helt legal vis og derefter bestilt et domænevalideret certifikat fra en vilkårlig certifikatudsteder. Hermed får de (igen, på helt legal vis) adgang til et ægte SSL certifikat.
(Eller også har de til denne demonstration lavet et selvsigned certifikat som er installeret i demomaskinens browser, men det vil kun virke til demonstration)

At brugeren er dum (?) nok til ikke at opdage at det er et helt forkert domæne er brugerens eget problem... ...og dog:

Hvis alle seriøse websites benyttede EV certifikater (Extended Validation), ville brugeren dels få en tydelig, visuel indikation af at det er et EV certifikat (Grøn adressebar) og dels vil organisationens navn fremgå af certifikatet som også vises i adressebaren.
Når organisationens navn ikke længere er "din_lokale_kommunes_bibliotek" men derimod "Hansen og Hund Hacking I/S" bør brugerens alarmklokker ringe... og ringe højt.

Alle "rigtige" certifikatautoriteter vil lave en forholdsvis grundig validering af certifikatansøgningen, når der er tale om et EV certifikat. Det vil ikke stoppe en tilstrækkelig dygtig hacker/svindler, men organisationsnavnet i certifikatet vil stadig være forkert.

Behøver jeg at sige at det ikke er lykkedes mig at finde et NemID website som benytter EV-certifikater?

Hvis man gerne vil se et website med et EV certifikat, kan man blot kigge på https://www.fairssl.dk/
(Og ja, jeg er relateret til FairSSL, så alt hvad der står herover bør derfor læses med passende kritiske øjne.)

  • 3
  • 2
Baldur Norddahl

Certifikatautoriteterne har siden da strammet kraftigt op på deres sikkerhed.

Har de? Alle 200 eller hvor mange der er efterhånden?

EV certifikater er svindel. Brugerne kender ikke forskellen og det giver ingen ekstra sikkerhed overfor hackede udbydere såsom Diginotar. Ingen ekstra sikkerhed i forhold til stjålne kundecertifikater.

I forhold til NemID er der tilmed det problem at brugeren ikke ved om en given organisation er den rigtige i forhold til en myndighedsopgave. Antag at borger.dk er hacket, hvem ved at det IKKE er det rigtige sted at søge kontanthjælp?

Kreative hackere kan lokke naive danskere til hvad som helst, og en grøn vs. hvid bar er bare spild af penge.

  • 5
  • 1
Lars Sommer

Georg: Kortets serienummer kommer jo til at stå læsbart for angriberen, i den tid der går efter brugeren har afsendt korrekt login, og før brugeren præsenteres for vinduet med serienummeret og nøglen. Det kræver at angriberen kan taste det hurtigt ind, ja.

  • 4
  • 1
Lars Sommer

Har I nogle gode løsningsforslag til problemet?
DanID siger jo selv at de har "nogle mekanismer, vi kan tage i brug". De vil ikke ud med hvilke.

Her er et par mulige løsninger, eller delløsninger, der måske går ud over brugeroplevelsen, og måske har andre huller. Det er lige frit fra tankerne, før morgenkaffen ,-)

  • Spørg efter brugerens nøgle via en SMS i stedet for via skærmbilledet; "Nøgle 4410: Du er ved at logge ind på Danske Netbank"

  • Send brugeren en SMS efter gyldigt login: "Du benyttede nøgle nr 2350 til login på Herlev Bibliotek d.14. oktober kl 09:27"

  • Mulighed for at se komplet historik over nøglebrug på borger.dk

  • Loginsikkerhed ala Facebook; Hvis du kommer fra en ny/fremmed IP-adresse, så skal du igennem et ekstra lag (f.eks. via SMS).

Kan I flere og bedre? .-)

  • 4
  • 2
Martin Jensen

Hej,

Der er et par stykker der beskriver hvordan man får fat i falske certifikater, og lister omstændige måder hvorpå man med skæg og blå briller kan opnå disse.

En hacker har typisk ikke tid til sådan leg og. Han bruger bare en PKI løsning, og genererer dem selv - hvorefter han importerer sin egen CA som trusted root på klienten.

På nøjagtigt samme måde som f.eks. Verisign gør.

Glem det fantasi om hvordan med nær-magi kan snyde med SSL.

Hvis en angriber har adgang til din computer, så skal der slet ikke så meget til.

Jeg vil gerne levere CA certifikat til root store, samt certifikater på et par bankdomæner for at demonstrere dette - men jeg har ikke lyst til at håndtere misforståelserne omkring det, så det må være en øvelse man selv laver... ;-)

Alt det kræver er adgang til maskinen. Ikke alle browsere kræver administrative rettigheder for at importere en trusted root, så det er super nemt.

  • 2
  • 5
Michael Lykke

Når man indtaster de første logind oplysninger, bruger man man et forkert brugernavn og adgangskode. Hvis siden så spørger om den generede nøgle fra nøgleviser eller fra papkort...vupti..BUSTED AS FAKE. Hvor svært kan det være?

Så det du siger er at for at kunne logge ind med NemID så skal man bruge tid på først at lave et forkert login(Som burde give nogle alarmklokker i NemID's ende hvis det sker ofte), derefter gå tilbage og foretage et nyt rgtigt login, finde dit forældede papkort frem, lede efter den rigtige kode og indtaste det.... Alt sammen for at have en sikkerhed der ikke er bedre... Den lader vi lige stå et øjeblik.

I øvrigt virker det jo ikke... Som der bliver demonstreret i videoen så indtaster "hackeren" jo brugernavnet selv og hvis han der ser at det er forkert kan hans software jo sende en fejlbesked tilbage til dig... Så du vil ikke kunne se om den er falsk eller ej.

  • 4
  • 2
Søren Andersen

[rant]
Brugeroplevelsen!?! BRUGEROPLEVELSEN!!? Er de på crack hos DanID eller hvad? Ja undskyld mit udbrud, men sådan en kommentar kan virkelig bringe mit pis i kog! Beskyt mine personlige oplysninger først, og DERNÆST kan I bekymre jer om brugeroplevelsen, jer derinde hos DanID! Jeg gider jo heller ikke køre i en super lækker bil...der er lavet a pap! /(&#%/&%/#¤ Aaaargh!!!
[/rant]

  • 6
  • 2
Michael Lykke

Hvis man gerne vil se et website med et EV certifikat, kan man blot kigge på https://www.fairssl.dk/
(Og ja, jeg er relateret til FairSSL, så alt hvad der står herover bør derfor læses med passende kritiske øjne.)

Men lettere "bekymrende" at der i det tilfælde står "FairSSL ApS (NOTyours ApS)" - To forskellige firmanavne er ikke noget der virker betryggende for mig og slet ikke et mærkeligt navn som NOTyours :)

  • 1
  • 1
Thomas Nielsen

SMS duer i hvert fald ikke. Jeg har temmelig ofte været ude for at SMS har været forsinket i endog meget lang tid, for da slet ikke at nævne den lille finte, at ikke alle steder i Danmark har mobildækning og derfor heller ikke kan sikres at modtage SMSer.

  • 5
  • 1
Thomas Ehler

For 2 uger siden modtog jeg en mail der viste sig at være en "Verified by Visa" scam. Linket viste sig at føre til en hjemmeside som lå hos Godaddy.com. godaddy.com er, bla. Certifikat udbyder!

Så certifikater fra dem vil jeg ikke stole på. Deres interne sikkerhed er klart ikke i orden.

  • 2
  • 3
Geert Gissing

Jeg syntes at NemID skulle acceptere at det faktisk er muligt.

Men eksemplet kræver jo at 'hackeren' har lavet en klonet side af f.eks. Danske bank. Altså for at det kan foregå i real-time.

NemID'et kan jo kun bruges en gang. Og man må sige at ellers kan det ikke lade sig gøre.

Efter min mening kræver det derfor at noget ekstra fra BANKERNES side. Nemlig at disse dels sikrer at der ikke findes den slags 'kloner', men også at de sørger for en dialog med kunden, i retning af at være opmærksom på INTERNET-ADRESSEN ER KORREKT. Altså et brev fra bankerne, med en advarsel om dette fænomen, og hvor man fortæller dem præcis hvad der skal stå i adressefeltet. SÅDAN!

  • 1
  • 3
Jarnis Bertelsen

Jeg spekulerer over hvad i min post der får den til at hælde mod nedadvendt tommelfinger.

Du fik en thumb-down, fordi din betragtning er off-topic og forstyrrer debatten. Den diskutterede sårbarhed kræver netop ikke at angriberen har adgang til din lokale maskine, men kan klares med en falsk server, helst med et falsk certificat.

  • 5
  • 1
Thue Kristensen

Efter min mening kræver det derfor at noget ekstra fra BANKERNES side. Nemlig at disse dels sikrer at der ikke findes den slags 'kloner', men også at de sørger for en dialog med kunden, i retning af at være opmærksom på INTERNET-ADRESSEN ER KORREKT. Altså et brev fra bankerne, med en advarsel om dette fænomen, og hvor man fortæller dem præcis hvad der skal stå i adressefeltet. SÅDAN!

Men problemet er jo netop, at samme login du bruger på Herlev Bibliotek også giver adgang til Danske Bank. Så ligemeget hvor meget bankerne oplyser om deres adresse, så er brugeren stadig sårbar hvis han ikke kan huske Herlev Biblioteks adresse. Og der er 130 forskellige sider som bruger NemID - Skal min bedstemor huske på den præcise adresse for alle dem? Ifølge et svar jeg har tidligere har fået fra DanID, så er der slet ikke en liste tilgængelig over de adresser som NemID bruger.

Det der er brug for er, at der er præcis EN adresse hvor man må taste sit NemID ind. Denne adresse skal så stå med fed på toppen af papkortet,inklusiv https://. Det sikrer den kompetente slutbruger 100%, og giver selv den den naive slutbruger en chance for at lære hvordan han sikrer sig.

  • 4
  • 0
Claus Nielsen

En mulig lappeløsning på problemet kunne være at have en positivliste over sider, hvor man kan lave login.
NemID Appletten skal så kunne tjekke at brugeren befinder sig på en sådan side inden der kan indtastes noget som helst.
Hvis listen opdateres løbende og ligger på et lille antal vel-overvågede servere burde det kunne fungere.

  • 0
  • 8
Jesper Mørch

Problemet med NemID er hele arkitekturen bag den konstruktion.

OTP er sådan set udmærkede, men ikke når de træder i stedet for en sikker forbindelse.

Hele den uheldige konstruktion består i at NemID er og bliver et login til Nets, som derefter handler på vegne af dig.

Det betyder at vi som forbrugere skal vænne os til at stole på MitM-angreb på vores fortrolige data-kommunikation. I en verden hvor folk i forvejen lægger deres liv til åbent skue og krænger deres sjæl ud på Facebook, Twitter o.lign. virker det måske ikke så skræmmende, men, på de sociale medier bestemmer man SELV hvem man vil stole på.

Den samfundsskadelige konstruktion i NemID er, at staten tvinger os som forbrugere til at stole på en "blackbox" som er styret af en økonomi-orienteret virksomhed med et eneste mål, nemlig profitmaksimering for enhver pris!! Andre aktører har ikke en chance for at kunne byde ind, og den reelle sikkerhed er langt dårligere end den var med lokalt gemte certifikater. Certifikat-nøglen til min netbank ligger stadig udelukkende på en USB-pen, selvom den ikke har fungeret siden januar i år. Min digitale signatur (som udløber næste sommer) har potentialet for at give mig en P2P-krypteret forbindelse, hvor kun endepunkterne er i besiddelse af krypteringsnøglen.

Den rent krypteringsmæssige side af forbindelsen er måske bedre mellem Nets og de instanser de kommunikerer med, end den er/var det med digital signatur/netbank-nøgle. til gengæld svarer NemID principielt stadig til at jeg beder min bankrådgiver om at gå på apoteket for mig...

Den eneste måde NemID kan sikres forsvarligt på, er ved at fjerne samtlige centrale nøgler og give samtlige brugere et certifikat, de selv genererede nøglepar til, første gang de tog certifikatet i brug - altså en konstruktion i stil med den digitale signatur.

Men, med den tendens der er til overvågnings-liderlighed hos det offentlige og deres samarbejdspartnere, har den slags meget lange udsigter. Og, det er ikke engang den eneste overvågnings-konstruktion i det digitale Danmark. Rejsekortet er endnu et eksempel på den syge overvågnings-tankegang der ligger dybt integreret i flere af de digitale beslutninger som er blevet vedtaget og ført ud i samfundet de sidste år.

Så længe vi har beslutningstagere med den slags tilbøjeligheder, vil vi se samfundsskadelig teknologi blive integreret i lovgivningen til skade for både samfundets borgere og hele samfundsøkonomien!

Mvh. og god weekend :o)

  • 13
  • 1
Erik Bruus

Hej. Kender en der havde et abonnement hos en teleudbyder, kan ikke lige huske hvilken. For at logge in på sin egen abonnementside, skulle man logge ind med brugernavn, og adgangskode, og så fik man en SMS som ekstra sikkerhed for at man nu var den man var. Det tastede man så ind på hjemmesiden, og så var man på. Lidt ligesom nemid, men bare meget mere sikkert. Ja mht, hastighed, så gik der nogle gange 5 min inden SMS´en kom. Det kan godt i længden være træls, men det må kunne løses. mvh, Erik.

  • 0
  • 2
Claus Nielsen

Forsinkelsen på en SMS er betinget af aktiviteten lokalt på mobiltelefonnetværket, om din telefon rent faktisk har forbindelse til nettet lige nu og af hvordan teleudbyderen dimensionerer og håndterer sin SMS-server.

Og så kommer der udgiften.
Når jeg om kort tid flytter til udlandet vil jeg gerne kunne logge på min danske bank, myndigheder mm. uden at skulle betale for SMS hver eneste gang.

  • 1
  • 0
Jesper Mørch

Glimrende sammenfatning Jesper, kan du ikke sende den videre til Christiansborg?

Tak Christian
Jeg har vist egentlig bare tilstræbt at koge 1½ - 2 års negativt ladet debat om NemID ned til noget forståeligt - og indtil videre er debatten blevet forskånet for "nyttige idioter" og lignende, så vi slipper for den "støj" som ellers fjerner fokus fra problemstillingen.

Som du selv nævner i trådens første indlæg, er vi en del der i flere år har begrædt den totale inkompetance blandt de beslutningstagere som agerer "nyttige idioter" for de lobbyister der ønsker monopol på at styre og kontrollere hele samfundet.

Jeg har faktisk overvejet at gå ind i politik - og nu burde jeg kunne få stemmer blot på at have en teknisk og / eller naturvidenskabelig baggrund og dermed blive den eneste af slagsen på Borgen :o)
- Men! Jeg mangler stadig at finde et parti jeg så også rent faktisk kan blive enig med på både grundholdning og mærkesager ;o)

  • 5
  • 0
Niels Terp

Det har i nogen tid stået klart at NemID er sårbart for man-in-the-middle angreb. Det kommer (forhåbentlig) ikke som nogen overraskelse for nogen som ved bare lidt mere om EDB end hvordan de tænder for computeren. Ej heller burde det være nogen overraskelse for DanID eller NETS.

Personligt var jeg meget mere glad for den gamle Digital Signatur, der krævede misbrug da i det mindste at nogen hackede sig igennem min firewall og div. sikkerhedssoftware. Ikke just nogen nem opgave - men jeg er så også en af de "heldige" som selv har et rimeligt dybtgående kendskab til teknikken (datamatiker).

Når jeg kun erklærer mig delvist enig, er det fordi at en angriber jo altså kun kan anvende en franarret kode een gang - så eksemplet med biblioteket er nok ikke særlig attraktivt for potentielle svindlere. Skulle det lykkes nogen at komme ind på min netbank og stjæle noget dækker banken. Som det også skete for nyligt, hvor et mindre antal Nordea kunder fik deres konti lænsede.

Jeg synes faktisk at det er et langt større problem, at det private firma DanID genererer koderne - så en programør hos DanID kunne sikkert rimeligt nemt generere et antal falske nøglekort som han kunne gå i gang med at bruge. Identitetstyveri, hvor man pludselig opdager at en anden person har "overtaget" ens identitet er et voksende problem - og der er som bekendt brådne kar i alle lejre.

Jeg vil gerne understrege, at jeg ikke har nogen som helst konkret mistanke til DanID eller nogen af deres ansatte. Jeg konstaterer alene at muligheden foreligger.

Bankerne kunne selv gøre meget, ved f.x. at kræve en ny NemID kode for hver enkelt transaktion. Så var man ude over problemet med at en bedrager kunne sende en fejlmeddelelse tilbage med besked om at logge på tidligere. Det ville også begrænse mulighederne for uretmæsige overførsler - hovedparten af gange hvor jeg logger på min netbank er det kun for at tjekke saldo og status på BS-betalinger.

Som det er lige nu (i Nordea) bliver jeg ved overførsler kun bedt om at gentage mit password - det er ærlig talt ikke specielt intelligent !

Men overordnet set håber jeg at både myndighederne og befolkningen snart indser, at det ikke findes nogen 100 % skudsikker metode til at sikre korrekt identifikation på internettet, i hvert fald ikke før vi alle kan bruge kvantekryptering !

  • 3
  • 1
Thue Kristensen
  • 0
  • 0
Rasmus Løj

Jeg må indrømme jeg har svært ved at forstår hvorfor i kun er efter NemID. Som jeg ser problemstillingen, er det hele SSL modellen der er ikke er fantastisk. Det ville være lettere at løse problemet i browseren. Så browseren stollede mere på nogen certificator end andre. Jeg tror ikke på EV certs er løsningen. Men måske mere en central database, hvor brugere delte oplysninger om certificator. Som f.eks. med "Perspectives" til Chrome og Firefox som vidt jeg husker. Og der er andre gode projekter der ude.

At bruge personlige certs kunne løse nogen problemer. Men jeg kan nu godt lide nemID da det ikke er afhængig af en bestemt platform eller teknologi. - Og ikke mindst nem at flytte fra en device til en anden.

Mvh.
Rasmus

  • 0
  • 1
Peter Makholm

Har I nogle gode løsningsforslag til problemet?


Ikke så lavteknologisk som den nuværende løsning (papkort). Men en lommeregner-baseret løsning vil let kunne lappe på det konkrete angreb.

En mulighed er at "det der skal tastes ind på webstedet" er en hash-sum af blandt andet hostnavnet for webstedet, en challenge samt noget modsvarende papkort-koden. Det kræver bare en lille USB-dims der over for computeren virker som et tastatur.

Det vil løse det konkrete problem med at en kode kan bruges på ikke-tiltænkte websteder. Dermed skal angriberen konkret "reimplementere" min netbank for at kunne angribe min netbank.

Det vil dog ikke løse alle "works as designed" problemerne med at NemID er en blanko-adgang tyil hele mit offentlige virke og ikke kun til en inddæmmet del af min økonomi.

  • 0
  • 0
Geert Gissing

Det er ikke helt korrekt det du siger. Login på Herlev Bibliotek er jo netop ikke det samme som i Danske Bank. Hver NemID kode fungerer jo netop kun een gang.
Og jeg vil sige at hvis kan hacke dig ind på min konto på Herlev Bibiliotek, er jo ikke så kritisk. Af forskellige grunde. Du skal jo blandt andet også have mit lånerkort/sygesikringsbevis.
Det er kritisk i en bank, fordi pengene hurtigt kan overføres til en anden konto. Men du kan ikke "snuppe" NemID'et jeg bruger i biblioteket, og dernæst bruge det i banken. For så er det udløbet.
Og det er kritisk fordi det er penge.

  • 1
  • 4
Michael Nielsen

Rasmus Løj 4. nov. 2011 - 13.54

Jeg må indrømme jeg har svært

Jeg må indrømme jeg har svært ved at forstår hvorfor i kun er efter NemID. Som jeg ser problemstillingen, er det hele SSL modellen der er ikke er fantastisk. Det ville være lettere at løse problemet i browsere

NemID har kostet Danske borgere ca 2 millarder kroner at lave, og skulle være et sikker system. SSL har ikke kosted de Danske borger noget og lover intet andet end CA'en siger at det site du besøger ejer det certikat det bruger..

Begrænsingerne i SSL er velkendte, men det er ikke SSL der har problemet, men vi bruger det forkert for denne slags transaktion - vi skal bruge client side og server side certifikater... Men det gør vi ikke, vi bruger kun server side.

@Har i nogle løsninger...

Ja, jeg har beskrevet dem til bevistløshed i disse fora...

Løsninge er at bruge noget som ChipTAn (fra tyskland), eller en krypto terminal.

Bruger man disse løsninger så er

  1. Nedbrud hos DanID løst, det er et offline system, og ikke afhængig af en central server.
  2. MITM er næsten umulig.
  3. Kunden har kontrollen over transaktionen.

I kan søge på beskriverlserne her og på andre fora, hvor det omhandler NemID.

Prisen for disse løsninger er ikke væsentlig dyrere end NemID er blevet, men det er ikke en cash cow for en eller anden virksomhed, som NemID er - 1 dkk per transaktion eller 3dkk/bruger/år... det er sgu en ripoff.

Samt det skaber ikke en ny monopol, som DanID er, men det er muligt med multiple udbydere, som giver konkurrence på markedet... Samt bankerne kan udstede deres egne terminaler, hvis brugeren ønsker en speciel sikret løsning.

  • 2
  • 1
Martin Storgaard Dieu

Det værste er at det kun fylder 5 linjer kode, hvis jeg gad kunne man også formatere links mv. sådan at de også virker. Og evt lave formen om når man skal logge ind sådan at den gemme det du indtaster og så sender dig videre til Version2's login system, hvorefter man bliver logget ind som normalt...
Men det vil jeg ikke bruge tid på...

Så det "gode" ved den jeg har lavet er at den også opdatere og ligner den side man har valgt på en prik. SÅ nye posts osv kommer også med på siden...

  • 0
  • 0
Martin Kofoed

Det er ikke helt korrekt det du siger. Login på Herlev Bibliotek er jo netop ikke det samme som i Danske Bank.

For angriberen er det netop det samme, jo.

Den intetanende bruger logger på fake-udgaven af Herlev Bibliotek. Imens anvender angriberen de selvsamme credentials til at logge på offerets netbank. Eller en offentlig myndighed efter eget valg. Eller et hvilket som helst andet site, der anvender NemID til authentication.

Så man kan sige, at "one authentication mechanism to rule them all" er en svaghed i sig selv. Det er korrekt, at MitM fungerer for mange auth-løsninger. NemID giver bare så mange flere muligheder for at lokke credentials ud af brugerne (i dette tilfælde en mail fra et bibliotek).

Og det var præcis én af de ting, mange her på V2 advarede imod ved et centraliseret monopol.

  • 2
  • 0
Rasmus Løj

Løsninge er at bruge noget som ChipTAn (fra tyskland), eller en krypto terminal.

Ingen tvivl om at det er en udmærket løsning. Personligt har jeg bare ikke lyst til at skulle have endnu en device på mig, for at kunne komme i banken. Det er slemt nok med nøglekortet, men det kan da dog ligge i min pung. Hvis problemet bliver løst i browseren i stedet, løser det jo også en række andre udfordringer.

  • 0
  • 0
Jesper Mørch

Hvis problemet bliver løst i browseren i stedet, løser det jo også en række andre udfordringer.

Det er meget let at løse. Vi skal bare have ændret arkitekturen tilbage til noget PKI-lignende igen, så man benytter et lokalt lagret certifikat og dermed sin egen private (og hemmeligholdte) nøgle, i stedet for at logge ind med et kodeord og et papkort hos DanID, som derefter foretager sig alt på vegne af borgeren.

Certifikatet og dermed nøgleparret kan implementeres i et USB pen-drev med en lille CPU, som genererer nøgleparret på baggrund af DanIDs offentlige nøgle første gang den tilgås.
Man kunne blive promptet af en Java-applet, som bad om væsentlige oplysninger, heriblandt navn og email-adresse, og herefter synkroniserede med DanID, så den offentlige nøgle kunne placeres og løbenummeret aktiveres hos DanID.

Den slags er relativt enkelt at implementere, og ville dermed kunne kryptere hele forbindelsen mellem klient-maskine og de relevante instanser, f.eks. netbank og SKAT. Det kunne f.eks. ske ved at kryptere en symmetrisk engangs-nøgle med de offentlige og private nøgler. Så sikres det nemlig også med rimelig sandsynlighed (bedre end med NemID) at der er tale om den rigtige bruger. Men, det vigtigste her bliver, at certikatet autentificerer brugeren, og ligger på et eksternt USB-drev.

Ved at indbygge et display i pen-drevet kunne den f.eks. generere en kode svarende til papkoret (og svarende lidt til de RSA-tokens som har været benyttet til secure-login mange steder, bare med den forskel at denne token også indeholder dit personlige certifikat), som skulle indtastes sammen med personlig kode etc.

Hvis de beslutningstagere som "udtænkte" NemID faktisk havde tænkt sig om, i stedet for at gøre hvad de kunne for at blive en statsligt monopoliseret gate-keeper med snablen DYBT nede i de offentlige kasser. Hvis de havde det, ja, så ville vi nok have haft et system lidt i stil med det jeg har skitseret. Det er sikkert, det er enkelt og det fungerer.

  • 4
  • 0
Jon Linde

Men lettere "bekymrende" at der i det tilfælde står "FairSSL ApS (NOTyours ApS)" - To forskellige firmanavne er ikke noget der virker betryggende for mig og slet ikke et mærkeligt navn som NOTyours :)

Du har aldrig hørt om et binavn til et virksomhedsnavn? ;-P

Det dobbelte navn viser netop at certifikatudsteder også har kontrolleret det danske CVR register på CVR.DK

  • 0
  • 0
Michael Lykke

Du har aldrig hørt om et binavn til et virksomhedsnavn? ;-P

Det dobbelte navn viser netop at certifikatudsteder også har kontrolleret det danske CVR register på CVR.DK

Jo, det har jeg men nu snakkede vi om at det skulle gøre tingene tydelige for folk og give dem en kombination af sikkerhed og tryghed - Jeg finder det ikke betryggende at der fremgår to forskellige firmanavne og mange almindelige brugere vil have svært ved at gennemskue det.

Forstår du pointen nu? ;)

  • 0
  • 0
Henrik Madsen

Når jeg kun erklærer mig delvist enig, er det fordi at en angriber jo altså kun kan anvende en franarret kode een gang - så eksemplet med biblioteket er nok ikke særlig attraktivt for potentielle svindlere.

Det kræver da ikke mere end een PapID kode at ændre sin postadresse.

Identitstyveri er dermed nemt, banditterne fanger een kode og ændrer adressen hvorefter de bestiller et nyt papkort som sendes til "din" nye adresse og vupti så har de alle de koder de har brug for.

Var det ikke Operation X som viste at man sagtens kan skrue en ekstra postkasse op ved siden af en masse andre postkasser i en opgang og give den et fiktivt nummer og når posten så kommer så får man breve deri.

  • 1
  • 0
Henrik Madsen

Ingen tvivl om at det er en udmærket løsning. Personligt har jeg bare ikke lyst til at skulle have endnu en device på mig, for at kunne komme i banken. Det er slemt nok med nøglekortet, men det kan da dog ligge i min pung. Hvis problemet bliver løst i browseren i stedet, løser det jo også en række andre udfordringer.

Et eller andet sted er jeg rimeligt ligeglad med øget sikkerhed forhold til banken, der får jeg mine penge tilbage hvis det bliver hacked og derfor vil banken sørge for at sikkerheden er i orden, fordi de ellers mister penge.

Jeg er sgu mere nervøs for NemID i forhold til alt det andet.

Identitetstyveri, lækkede oplysninger om skatteforhold, sygdomshistorik og så videre, er noget jeg bekymrer mig mere om, end lidt penge som jeg alligevel får tilbage.

  • 1
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize