Rådet for Større IT-sikkerhed: Umuligt at opdage NemID-phishing

Rådet for Større IT-sikkerhed efterspørger mere åbenhed om NemID-konstruktionen.

Når NemID-brugere bliver udsat for phisingangreb, har de ikke en ærlig chance for at sikre sig mod falske NemID-forespørgsler. Sådan lyder det fra formanden for Rådet for Større IT-sikkerhed Christian Wernberg-Tougaard.

»Det er helt umuligt at gennemskue for borgeren, det kan jo være lavet meget elegant,« siger Christian Wernberg-Tougaard til Version2.

Læs også: Netbanktyve bryder gennem NemID igen: Stjæler 700.000

Ifølge Christian Wernberg-Tougaard kunne angrebet minde om det hacker-angreb, som Nordea kunder for nyligt blev udsat for. Bare automatiseret, og derfor endnu sværere for brugerne at gennemskue.

»Det er et problem, at der ikke er en offentlighed, om hvordan det her gjort. Der er ikke nogen der er blevet præsenteret for, hvordan det her angreb er blevet gennemført. Det betyder at det er vanskeligt at komme med nogle gode forslag til, hvordan det kan gøres anderledes,« siger Christian Wernberg-Tougaard.

Han efterlyser at der kommer meget mere åbenhed om hele NemID-konstruktionen. Der er brug for nytænkning om, hvordan man laver sikker digital autentificering.

Læs også: Hård kritik fra IT-sikkerhedsråd: NemID skal forbedres

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (14)
Thue Kristensen

Der er vel ingen som har forstand på computere, som havde forventet at NemID skulle kunne stoppe et angreb når computeren var blevet overtaget af en virus. Det problem kan man simpelthen ikke løse, så vidt jeg ved. Så på den måde har NemID vel ikke fejlet.

Måden som brugerne kan sikre sig på er, ved at beskytte deres computer. Opdatere deres programmer mod sikkerhedshuller, køre antivirus, etc.

Problemet er, at DanID har fremturet med at det altid var åh så sikkert at bruge NemID, selv når man brugte NemID på en fremmed computer. Folk har ikke for alvor forstået at det ikke kunne være 100% sikkert.

For eksempel deres forslag om at bruge NemID til at logge ind før man kunne bruge internettet på en offentlig computer på biblioteket. Man bør man ikke bruge NemID på computere som man ikke er helt sikker på ikke er sikre, og det udelukker en offentlig computer på biblioteket.

Jeg er faktisk overrasket over at der så vidt vides ikke har været nogle angreb endnu, som gør brug af at et NemID-login på fx gentofte-bibliotek.dk også kan bruges til at tømme din bank-konto.

Henrik Madsen

Hvordan forestiller du dig at disse pengekonto lænsere skulle lænse min konto hvis jeg brugte det tyske Chiptan system ?

http://www.youtube.com/watch?v=U7PnC1S-j4I

Eneste måde jeg kan se er hvis de stjæler din chiptan enhed, dit dankort og kender dit login til banken og det må siges at være en smule mere svært end at sende en mail med en fake link og få folk til at taste koden ind så serveren i Ukraine automatisk kan lænse din konto.

Henrik Madsen

Thue Kristensen

Nej, den ville være sikker. Fordi så er "computeren" chiptan-dimsen, og computeren er derfor ikke overtaget. Og modsat min PC, så ville brugerne ikke køre alverdens snavs på chiptan-computeren.

Det ville sådan set være en udemærket løsning. Hvis du kunne overtale danskerne til at bruge en så relativt besværlig løsning. Forhåbentligt kommer vi dertil en dag.

Henrik Madsen

Thue vi er faktisk nogle stykker som har tigget om at få en eller anden dims med en del af vores digitale signatur på lidt ala Chiptan.

Desværre har DanID jo ikke engang implementeret den lovede løsning som de som sagt lovede for snart 2 år siden.

Chiptan til computeren og en app til mobilen som kunne begrænses så man kun kan kigge sin saldo og lave overførsler på f.eks 5000 Kr. På den måde ville det ikke være besværet værd for tyveknægtene at angribe mobilen og umuligt at angribe computeren.

Jeg ville sgu gerne have sådan en chiptan, også selvom den kostede 500 Kr. Eneste yderligere krav skulle være at jeg IKKE ønsker at installere noget på min maskine ligesom med NemID ..

Desværre sker dette ikke, NemID skruer lidt op for sikkerheden og erklærer at NU er sikkerheden genskabt og så går der måske 3-6 mdr før hackerne finder en måde at omgå det på og så står vi samme sted idag og ringen er sluttet.

Henrik Madsen

Jesper Udby

NemID er en fælles login-løsning for alle bankerne. De har oven i købet formået at sælge den til "befolkningen" og derved fået det offentlige som medsponsor.
Der er sgu smart - der må være nogen der griner deres røv i laser hele vejen hen til... banken :-)

Anonym

Drømme om, at man kan have et fælles logon-system for næsten alt, er en umulig opgave. Det kan simpelthen ikke lade sig gøre, og jo mere man udvider løsningen, jo mere usikker bliver den.
Man solgte drømmen, på en troll ( løgn ) om at NemID skulle levere en sikker identifikationsløsning, som skulle kunne identificerer alle borgere.
Der er ikke tale om identificering i forbindelse med NemID, men en udredning af 3'die person, så selv DET har man ikke villet løse.

Alle, herunder IT- & Telestyrelsen / Digitaliseringsstyrelsen, og nok samtlige IT-ordfører, samt andre implicerede er blevet gjort opmærksom på, at det ikke er muligt at identificerer sikkert, gennem NemID's metode. Ej heller er NenID en sikker logon løsning.
Det er ikke noget det skal tænke dybt over, for det er de informeret om, længe inden NemID skulle lanceres.

Alligevel, finder NemID støtte i hele folketinget, på trods af at der er redegjort for hvor usikkert og forkert det er.
Årsagen kan kun være, at man jo allerede har indført en række løsninger, f.eks. Digital Tinglysning, som er helt afhængigt af at NemID er sikkert.
Der er simpelthen brugt ufattelige summer, på alle de afhængigheder der er opstået i forbindelse med at man har valgt NemID.
At valget af NemID, bygger på en løgn om at det er sikkert, er noget man gør alt hvad man kan, for at skjule. Uanset hvad det må koste, så er det vigtigste, at man fortsætter med NemID, om så det koster alle Danskere deres ejendom, eller alle Danskere deres personlige integritet.

Det er simpelthen det vigtigste, at gøre løgnen til sandhed, uanset omkostningen.
F.eks. kan man ikke tilbagerulle Digital Tinglysning, for man har i sin tro på NemID skulle være sikkert, destrueret alle de gamle tinglysningsbøger, så de findes simpelthen ikke.
Tilsvarende, har man åbnet for alle personlige oplysninger, f.eks. igennem Skat's system, og derfor kan man ikke samtidigt indrømme at NemID ikke er sikkert, for så indrømmer man jo at man har smidt folks personlige oplysninger i grams.

Det er årsagen til, at vi på TV kan opleve en fra Danid / Netz, stå og negligerer at NemID er usikkert. Herunder beskylder han direkte brugerne for at opføre sig uansvarligt, selvom han VED at det er noget NemID som produkt SKAL kunne imødegå, og at ansvaret derfor ligger hos NemID ikke hos brugerne.

Når man bygger sit produkt på en løgn, så vil det gå galt.
At man i Danmark, kan hoppe på en sådan løgn, anser jeg som et udtryk for ualmindelig dårlig opdragelse.
Kejserens nye klæder, blev skrevet af en Dansk forfatter, der tydeligvis ikke har fundet forståelse hos de ansvarshavende politikere, embedsmænd, teknikere / udviklere og forskere, der har skabt NemID.

Selv når man foreholder dem deres Troll, er man flabet og fræk nok til bare at negligerer og kalde andre for dumme.
Et udtryk for arrogance og ligegyldighed man skal lede længe efter, og som kun kan finde sted, fordi man føler sig hævet over almindelige love og regler, simpelthen fordi man har magt til at ændre love og regler, så de beskytter den løgn man bygger sit produkt på.

Michael Nielsen

Problemet er nemt at se.

Der er en gruppe af os, der har advaret om hvor dårligt sikkerhedsmæssigt NemID er.

Jeg har hold et fordrag om det, været meget udbasuerende, og prøvedet at kontakte de relevante authoriteter for at få opmærksomhed på at hele løsningen i sin grundsten er forfejlet..

Men der er ingen måde i verden man kan nå autoriteterne (aka politikere m.m.), hvis man ikke er berømt, har mange penge, eller siger hvad de ønsker at høre..

Jeg forudsage dette angreb, for næsten 2 år siden, jeg beskrev endda hvordan det ville forgå. Men ingen gider høre..

NemID vil nu lave en masse krumpspring for at forsøge at gøre deres løsning mere sikker, men den er fundamentalt usikker, og det kan kun løses ved et fuld redesign!

Jakob Damkjær

Til andet end bank transaktioner ?

Og hvad er omkostningen hvis alle sundhedskort skal nyudstedes med chipkort.

Så ja der er mere sikre løsninger men det kompromiterings niveau der skal til for at bryde NemID er så højt at det er svært at se hvordan man kan lave et generelt system der kan sikre mod både generel kompromittering plus live spearfishing.

Og hvis man skal vente så lang tid som den demo viser så er det ubrugeligt i alle samenhænge andet end privat...

Og hvis man in the middel kan spoofe enduserens ip overfor bank/offentligheds systemet hvordan kan man så sikre noget system hvor endusersystemet er fuldt kompromiteret ?

Og mindrere end 20 vellykkede angreb er en rimligt godt system... Men det er så svært at gennemføre at for at det kan betale sig er angriberen tar så meget at det bemærkes, så kan det anmeldes og spores.

Fx som hvis man laver en Iban overførsel sender banken en skriftlig kvitering. Hvis en anden sundhedsperson tilgår dine oplysninger får man besked via brev.

Uanset hvad så er det ikke nemt at vedvarende at trække informationer. Så man kan i de tilfælde hvor der er tydelige tegn på at systemet er kompromiteret kompensere den hvis konto er blevet lænset. Hvis de har taget de forholdsregler der skal tages ved brug af fx. online banking ... Dvs antivirus og firewall.

Det er nemt nok at sige at noget ikke er sikkert nok men hvad er så alternativet, som er billigt, nemt og hurtigt nok til at bruges generelt...

Martin Leopold

Hej,
Åbenhed er sikkert godt, men er problemet ikke snarere end mangel på åbenhed, at NemID har fokuseret udelukkende på bankernes (og statens) problem frem for borgernes? For Nordea og Danske Bank er tabet af 3/4 mio. sikkert håndører, mens det for en borger formegentlig et noget større problem. Det vil nok være langt dyrere for NemID at lave en bedre løsning end at afskrive de tab.

Staten (og bankerne) har ikke haft brug for, at borgerne har høj sikkerhed og har entydigt fokuseret på en single-sign-on løsning som gav (rimelig) sikkerhed for staten og bankerne. At systemet så kan medføre helt uoverstigelige konsekvenser for borgeren har man så valgt at se stort på.

Jeg er ikke i tvivl om hvad borgerne ville svare, hvis man spurgte om de ønskede den teknisk bedste løsning som kan frembringes til at sikre deres penge og underskrift fremfor en løsning som var lidt nemmere og bruge, men ellers på det jævne med sikkerheden. Men det har ikke været målet med NemID.

  • Martin
Klavs Klavsen

Hvad er omkostningen ved at undlade det?

Man kan jo fundere over hvorfor også svenskerne (ligesom tyskerne) har en chipkort løsning?

Det er pudsigt nok også dem der ikke har samme frekvens af IT skandaler som vi har.

IMHO burde man ligge alle offentlige IT-projekter i svensk regi - så kunne det være det gik lidt bedre :)

Hvis i vil vide mere om den svenske løsning (og hvorfor den er bedre end den danske- behøver i bare læse her: http://www.version2.dk/blog/problemet-med-nemids-generelle-sikkerhed-43480

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017