Rådet for Større IT-sikkerhed: Umuligt at opdage NemID-phishing

10. februar 2012 kl. 15:5014
Rådet for Større IT-sikkerhed efterspørger mere åbenhed om NemID-konstruktionen.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Når NemID-brugere bliver udsat for phisingangreb, har de ikke en ærlig chance for at sikre sig mod falske NemID-forespørgsler. Sådan lyder det fra formanden for Rådet for Større IT-sikkerhed Christian Wernberg-Tougaard.

»Det er helt umuligt at gennemskue for borgeren, det kan jo være lavet meget elegant,« siger Christian Wernberg-Tougaard til Version2.

Ifølge Christian Wernberg-Tougaard kunne angrebet minde om det hacker-angreb, som Nordea kunder for nyligt blev udsat for. Bare automatiseret, og derfor endnu sværere for brugerne at gennemskue.

»Det er et problem, at der ikke er en offentlighed, om hvordan det her gjort. Der er ikke nogen der er blevet præsenteret for, hvordan det her angreb er blevet gennemført. Det betyder at det er vanskeligt at komme med nogle gode forslag til, hvordan det kan gøres anderledes,« siger Christian Wernberg-Tougaard.

Artiklen fortsætter efter annoncen

Han efterlyser at der kommer meget mere åbenhed om hele NemID-konstruktionen. Der er brug for nytænkning om, hvordan man laver sikker digital autentificering.

14 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
13
13. februar 2012 kl. 11:21

Hej, Åbenhed er sikkert godt, men er problemet ikke snarere end mangel på åbenhed, at NemID har fokuseret udelukkende på bankernes (og statens) problem frem for borgernes? For Nordea og Danske Bank er tabet af 3/4 mio. sikkert håndører, mens det for en borger formegentlig et noget større problem. Det vil nok være langt dyrere for NemID at lave en bedre løsning end at afskrive de tab.

Staten (og bankerne) har ikke haft brug for, at borgerne har høj sikkerhed og har entydigt fokuseret på en single-sign-on løsning som gav (rimelig) sikkerhed for staten og bankerne. At systemet så kan medføre helt uoverstigelige konsekvenser for borgeren har man så valgt at se stort på.

Jeg er ikke i tvivl om hvad borgerne ville svare, hvis man spurgte om de ønskede den teknisk bedste løsning som kan frembringes til at sikre deres penge og underskrift fremfor en løsning som var lidt nemmere og bruge, men ellers på det jævne med sikkerheden. Men det har ikke været målet med NemID.

  • Martin
11
12. februar 2012 kl. 12:54

Til andet end bank transaktioner ?

Og hvad er omkostningen hvis alle sundhedskort skal nyudstedes med chipkort.

Så ja der er mere sikre løsninger men det kompromiterings niveau der skal til for at bryde NemID er så højt at det er svært at se hvordan man kan lave et generelt system der kan sikre mod både generel kompromittering plus live spearfishing.

Og hvis man skal vente så lang tid som den demo viser så er det ubrugeligt i alle samenhænge andet end privat...

Og hvis man in the middel kan spoofe enduserens ip overfor bank/offentligheds systemet hvordan kan man så sikre noget system hvor endusersystemet er fuldt kompromiteret ?

Og mindrere end 20 vellykkede angreb er en rimligt godt system... Men det er så svært at gennemføre at for at det kan betale sig er angriberen tar så meget at det bemærkes, så kan det anmeldes og spores.

Fx som hvis man laver en Iban overførsel sender banken en skriftlig kvitering. Hvis en anden sundhedsperson tilgår dine oplysninger får man besked via brev.

Uanset hvad så er det ikke nemt at vedvarende at trække informationer. Så man kan i de tilfælde hvor der er tydelige tegn på at systemet er kompromiteret kompensere den hvis konto er blevet lænset. Hvis de har taget de forholdsregler der skal tages ved brug af fx. online banking ... Dvs antivirus og firewall.

Det er nemt nok at sige at noget ikke er sikkert nok men hvad er så alternativet, som er billigt, nemt og hurtigt nok til at bruges generelt...

14
13. februar 2012 kl. 15:20

Hvad er omkostningen ved at undlade det?

Man kan jo fundere over hvorfor også svenskerne (ligesom tyskerne) har en chipkort løsning?

Det er pudsigt nok også dem der ikke har samme frekvens af IT skandaler som vi har.

IMHO burde man ligge alle offentlige IT-projekter i svensk regi - så kunne det være det gik lidt bedre :)

Hvis i vil vide mere om den svenske løsning (og hvorfor den er bedre end den danske- behøver i bare læse her: http://www.version2.dk/blog/problemet-med-nemids-generelle-sikkerhed-43480

8
Indsendt af Thomas Hansen (ikke efterprøvet) den lør, 02/11/2012 - 10:38

Drømme om, at man kan have et fælles logon-system for næsten alt, er en umulig opgave. Det kan simpelthen ikke lade sig gøre, og jo mere man udvider løsningen, jo mere usikker bliver den. Man solgte drømmen, på en troll ( løgn ) om at NemID skulle levere en sikker identifikationsløsning, som skulle kunne identificerer alle borgere. Der er ikke tale om identificering i forbindelse med NemID, men en udredning af 3'die person, så selv DET har man ikke villet løse.

Alle, herunder IT- & Telestyrelsen / Digitaliseringsstyrelsen, og nok samtlige IT-ordfører, samt andre implicerede er blevet gjort opmærksom på, at det ikke er muligt at identificerer sikkert, gennem NemID's metode. Ej heller er NenID en sikker logon løsning. Det er ikke noget det skal tænke dybt over, for det er de informeret om, længe inden NemID skulle lanceres.

Alligevel, finder NemID støtte i hele folketinget, på trods af at der er redegjort for hvor usikkert og forkert det er. Årsagen kan kun være, at man jo allerede har indført en række løsninger, f.eks. Digital Tinglysning, som er helt afhængigt af at NemID er sikkert. Der er simpelthen brugt ufattelige summer, på alle de afhængigheder der er opstået i forbindelse med at man har valgt NemID. At valget af NemID, bygger på en løgn om at det er sikkert, er noget man gør alt hvad man kan, for at skjule. Uanset hvad det må koste, så er det vigtigste, at man fortsætter med NemID, om så det koster alle Danskere deres ejendom, eller alle Danskere deres personlige integritet.

Det er simpelthen det vigtigste, at gøre løgnen til sandhed, uanset omkostningen. F.eks. kan man ikke tilbagerulle Digital Tinglysning, for man har i sin tro på NemID skulle være sikkert, destrueret alle de gamle tinglysningsbøger, så de findes simpelthen ikke. Tilsvarende, har man åbnet for alle personlige oplysninger, f.eks. igennem Skat's system, og derfor kan man ikke samtidigt indrømme at NemID ikke er sikkert, for så indrømmer man jo at man har smidt folks personlige oplysninger i grams.

Det er årsagen til, at vi på TV kan opleve en fra Danid / Netz, stå og negligerer at NemID er usikkert. Herunder beskylder han direkte brugerne for at opføre sig uansvarligt, selvom han VED at det er noget NemID som produkt SKAL kunne imødegå, og at ansvaret derfor ligger hos NemID ikke hos brugerne.

Når man bygger sit produkt på en løgn, så vil det gå galt. At man i Danmark, kan hoppe på en sådan løgn, anser jeg som et udtryk for ualmindelig dårlig opdragelse. Kejserens nye klæder, blev skrevet af en Dansk forfatter, der tydeligvis ikke har fundet forståelse hos de ansvarshavende politikere, embedsmænd, teknikere / udviklere og forskere, der har skabt NemID.

Selv når man foreholder dem deres Troll, er man flabet og fræk nok til bare at negligerer og kalde andre for dumme. Et udtryk for arrogance og ligegyldighed man skal lede længe efter, og som kun kan finde sted, fordi man føler sig hævet over almindelige love og regler, simpelthen fordi man har magt til at ændre love og regler, så de beskytter den løgn man bygger sit produkt på.

7
10. februar 2012 kl. 22:33

NemID er en fælles login-løsning for alle bankerne. De har oven i købet formået at sælge den til "befolkningen" og derved fået det offentlige som medsponsor. Der er sgu smart - der må være nogen der griner deres røv i laser hele vejen hen til... banken :-)

2
10. februar 2012 kl. 17:36

Hvordan forestiller du dig at disse pengekonto lænsere skulle lænse min konto hvis jeg brugte det tyske Chiptan system ?

http://www.youtube.com/watch?v=U7PnC1S-j4I

Eneste måde jeg kan se er hvis de stjæler din chiptan enhed, dit dankort og kender dit login til banken og det må siges at være en smule mere svært end at sende en mail med en fake link og få folk til at taste koden ind så serveren i Ukraine automatisk kan lænse din konto.

Henrik Madsen

3
10. februar 2012 kl. 17:46

Nej, den ville være sikker. Fordi så er "computeren" chiptan-dimsen, og computeren er derfor ikke overtaget. Og modsat min PC, så ville brugerne ikke køre alverdens snavs på chiptan-computeren.

Det ville sådan set være en udemærket løsning. Hvis du kunne overtale danskerne til at bruge en så relativt besværlig løsning. Forhåbentligt kommer vi dertil en dag.

4
10. februar 2012 kl. 18:13

Thue vi er faktisk nogle stykker som har tigget om at få en eller anden dims med en del af vores digitale signatur på lidt ala Chiptan.

Desværre har DanID jo ikke engang implementeret den lovede løsning som de som sagt lovede for snart 2 år siden.

Chiptan til computeren og en app til mobilen som kunne begrænses så man kun kan kigge sin saldo og lave overførsler på f.eks 5000 Kr. På den måde ville det ikke være besværet værd for tyveknægtene at angribe mobilen og umuligt at angribe computeren.

Jeg ville sgu gerne have sådan en chiptan, også selvom den kostede 500 Kr. Eneste yderligere krav skulle være at jeg IKKE ønsker at installere noget på min maskine ligesom med NemID ..

Desværre sker dette ikke, NemID skruer lidt op for sikkerheden og erklærer at NU er sikkerheden genskabt og så går der måske 3-6 mdr før hackerne finder en måde at omgå det på og så står vi samme sted idag og ringen er sluttet.

Henrik Madsen

1
10. februar 2012 kl. 17:04

Der er vel ingen som har forstand på computere, som havde forventet at NemID skulle kunne stoppe et angreb når computeren var blevet overtaget af en virus. Det problem kan man simpelthen ikke løse, så vidt jeg ved. Så på den måde har NemID vel ikke fejlet.

Måden som brugerne kan sikre sig på er, ved at beskytte deres computer. Opdatere deres programmer mod sikkerhedshuller, køre antivirus, etc.

Problemet er, at DanID har fremturet med at det altid var åh så sikkert at bruge NemID, selv når man brugte NemID på en fremmed computer. Folk har ikke for alvor forstået at det ikke kunne være 100% sikkert.

For eksempel deres forslag om at bruge NemID til at logge ind før man kunne bruge internettet på en offentlig computer på biblioteket. Man bør man ikke bruge NemID på computere som man ikke er helt sikker på ikke er sikre, og det udelukker en offentlig computer på biblioteket.

Jeg er faktisk overrasket over at der så vidt vides ikke har været nogle angreb endnu, som gør brug af at et NemID-login på fx gentofte-bibliotek.dk også kan bruges til at tømme din bank-konto.

9
11. februar 2012 kl. 10:44

Problemet er nemt at se.

Der er en gruppe af os, der har advaret om hvor dårligt sikkerhedsmæssigt NemID er.

Jeg har hold et fordrag om det, været meget udbasuerende, og prøvedet at kontakte de relevante authoriteter for at få opmærksomhed på at hele løsningen i sin grundsten er forfejlet..

Men der er ingen måde i verden man kan nå autoriteterne (aka politikere m.m.), hvis man ikke er berømt, har mange penge, eller siger hvad de ønsker at høre..

Jeg forudsage dette angreb, for næsten 2 år siden, jeg beskrev endda hvordan det ville forgå. Men ingen gider høre..

NemID vil nu lave en masse krumpspring for at forsøge at gøre deres løsning mere sikker, men den er fundamentalt usikker, og det kan kun løses ved et fuld redesign!

10
12. februar 2012 kl. 01:48

Ja vi er mange der har forudsagt man-in-the-middle angreb som værende det mest sandsynlige scenarie hvorved sikkerheden i NemID ville blive omgået.

Det mest overraskende er at beslutningstagerne tilsyneladende er overraskede når det så rent faktisk sker.

5
10. februar 2012 kl. 21:22

@Thue, det er sådan set rigtigt nok. Ingen låsesmed kan - uanset, hvor dygtig vedkommende er - sikre dit hus mod indbrud, hvis du selv afleverer nøglen til indbrudstyven eller undlader at låse døren.

6
10. februar 2012 kl. 22:24

Jørgen, netop derfor er det jo katastrofalt, at vi tvinges til "frivilligt" at overlade A-nøglen til DanID.