Så let kan hackere omgå NemID's hemmelige GIF-filer og tømme din netbank

10. oktober 2012 kl. 10:4426
Så let kan hackere omgå NemID's hemmelige GIF-filer og tømme din netbank
Illustration: Jesper Stein Sandal.
Et plug-in til 495 dollars til en populær trojaner gør det muligt at angribe en netbank direkte fra brugerens egen pc og gør dermed NemID's hemmelige checksum ubrugelig.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

LONDON: It-kriminelle skal blot betale 495 dollars for et plug-in til en populær trojaner som eksempelvis Citadel, og så kan de omgå én af de sikkerhedsforanstaltninger, som blandt andet bruges i den danske log-in-løsning NemID.

»Hvis du køber VNC-plug-in'et, så kan du få fuld kontrol over brugerens desktop og interagere med hans netbank fra hans egen pc,« fortalte sikkerhedsekspert Uri Rivner fra sikkerhedsfirmaet Biocatch i en demonstration af et moderne netbankangreb på sikkerhedskonferencen RSA Conference Europe 2012.

I forvejen skal en nystartet it-kriminel blot betale 2.399 dollars for grundpakken til Citadel-trojaneren og de tilhørende værktøjer, som gør det muligt at udføre et angreb mod eksempelvis de fleste danske netbanker.

Selve trojaneren kan spredes via drive-by-downloads, hvor brugeren blot skal besøge et inficeret websted for selv at blive inficeret gennem sikkerhedshuller i browseren, Flash eller Java. Den proces kan endda være selvforstærkende, for ofte finder de kriminelle, at der er FTP-adgang fra en inficeret pc til en webserver, som derefter kan udnyttes til at inficere endnu en hjemmeside.

Artiklen fortsætter efter annoncen

Det specielle ved VNC-plug-in'et er, at det gør det muligt at udføre et man-in-the-browser-angreb fra brugerens egen pc. Det vil sige, at det fra bankens side vil se ud, som om alle transaktioner i netbanken sker fra brugerens pc.

Det undergraver én af de sikkerhedsforanstaltninger, som ellers skulle hjælpe med efterforskningen af misbrug af den danske NemID-løsning.

NemID benytter sig af en Java-applet, som Version2 tidligere har vist indeholder programfiler, der var skjult som umiddelbart harmløse GIF-billedfiler. Programfilerne bliver brugt til at lave en særlig checksum ud fra hardwaren i brugerens pc.

Nets DanID, der står bag NemID-løsningen, har ikke villet afsløre, præcis hvad oplysningerne bruges til, ud over at det skal hjælpe med at identificere, hvorfra en transaktion er blevet udført.

Version2 har tidligere dokumenteret, hvordan det er muligt at omgå to-faktorsikkerheden i NemID ved at udføre et såkaldt man-in-the-middle-angreb, hvor en hacker narrer brugeren til at forsøge at logge på sin netbank.

Hackeren opsnapper log-in-oplysningerne og viser brugeren en falsk udgave af bankens hjemmeside.

»Jeg får en besked om, at banken er ved at tjekke sine sikkerhedsindstillinger, og det kan tage lidt længere end normalt at logge på,« forklarer Uri Rivner.

I virkeligheden er hackeren i færd med at logge ind på netbanken med brugerens egne oplysninger. I det scenarie, Version2 skitserede, brugte hackeren en anden pc til angrebet, men med et plug-in som det til Citadel kan det gøres fra brugerens egen pc, uden brugeren opdager det.

»Banker, der forlader sig på at kunne genkende en bestemt enhed, står over for en ny trussel med denne type angreb,« siger Uri Rivner.

Brugeren kan snydes til at udlevere flere koder fra sin kodegenerator eller fra NemID-kortet, eller hackeren kan give brugeren en fejlmeddelelse om, at bankens hjemmeside er nede, når brugeren har udleveret sin kode.

På den måde køber hackeren sig også tid, før brugeren selv opdager, at der er flyttet penge fra kontoen.

Denne type angreb er imidlertid afhængig af, at hackeren kan ændre den hjemmeside, som brugeren får vist i browseren. Det er i dag forholdsvis trivielt for de fleste netbanker, men det er muligt at højne sikkerheden.

»En god løsning er at bruge randomization og kryptere hele netbanken. Svindlerne er afhængige af at bruge ting, der er konstante, så hvis man kan lægge noget tilfældighed ind bag kulisserne, kan man forhindre dem i at ændre siderne,« siger sikkerhedsekspert Uri Fleyder fra RSA.

Version2's rejse og deltagelse i RSA Conference Europe 2012 er betalt af RSA.

26 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
20
11. oktober 2012 kl. 00:41

It-kriminelle skal blot betale 495 dollars for et plug-in til en populær trojaner som eksempelvis Citadel

IT-kriminelle betaler vel ikke for deres software...

23
11. oktober 2012 kl. 11:31

IT-kriminelle betaler vel ikke for deres software...

Jo da, hvis de vil have supporten og opdateringer ... Jeg tror mange softwarefirmaer kunne lære af deres effektivitet indenfor malwareudvikling. Der er både pakkeløsninger, køb 3 exploits og få 2 gratis, support 24/7 på email og IRC, opdateringer i et år osv.

Hvorfor? fordi god support og kvalitet giver glade kunder som køber igen og køber mere, skræmmende enkelt og ligetil.

Gad vidst hvornår non-malware virksomheder indser dette?

16
10. oktober 2012 kl. 19:59

En anden god løsning er at droppe java.

12
10. oktober 2012 kl. 17:36

..men det har vel aldrig (før) været god praksis, at basere et så centralt sikkerhedssystem som nemid på et tolket programmeringssprog. Det skal sgu da skrives i RIGTIG kode, f.eks. c eller assembler. Eller jeg bare blevet for gammel?

Man kan sgu da ikke uddelegere sikkerheden til en eller anden tilfældig fortolker, lavet af et eller andet tilfældigt firma.

c eller assembler, til nød pascal, og så en app på klienten. Bøvlet? ja! sikkert? næsten!

17
10. oktober 2012 kl. 21:35

c eller assembler, til nød pascal, og så en app på klienten. Bøvlet? ja! sikkert? næsten!

For der har aldrig været buffer overflows, double-frees, heap corruption angreb på grund af pointer-fejl (og så videre) i nogle af de benævnte sprog, vel?

Mit favoritsprog er stadig C++ på grund af performance og fleksibilitet, men at påstå at nogle af de sprog ville have ført til en mere sikker løsning en NemID er decideret latterligt, og rammer fuldstændig ved siden af problemstillingen - at NemID er implementeret i Java har [b]intet[/b] med dets MITM-sårbarhed at gøre.

19
10. oktober 2012 kl. 22:29

Måler må da for pokker være at få et offentlig signatur-system baseret på en åben standard og ikke konkret priviligeret kode leveret af et privat firma - hvad enten det så er Java, C++ eller noget andet.

100% enig med at en åben standard (og åben kode, til national infratruktur duer security through obscurity bare ikke) er det vigtigste.

Vil dog stadig mene at native kode ikke er vejen frem... men sådan set heller ikke Java eller andet (pga. smartphones, tablets og så videre).

15
10. oktober 2012 kl. 19:05

..men det har vel aldrig (før) været god praksis, at basere et så centralt sikkerhedssystem som nemid på et tolket programmeringssprog.

Det er nu ikke noget problem, når sproget er en standard. Det virker både med Oracle's og Apache's implementering.

Der hvor det går galt er, når man baserer sådanne systemer på hjemmedesignede løsninger og ikke de åbne standarder der allerede findes. Og dernæst anvender hardware til authentication.

11
10. oktober 2012 kl. 16:14

Hold kæft en ligegyldig nyhed.

13
10. oktober 2012 kl. 18:36

Hold kæft en ligegyldig nyhed.

Absolut ikke

Disse overskrifter er nødvendige for at gøre hr. og fru Jensen opmærksomme på at der ER et problem. Politikerne messer jo blot :"Stol på os"

K

22
Indsendt af Henrik B Sørensen (ikke efterprøvet) den tor, 10/11/2012 - 09:02

Jeg tror desværre ikke, at Hr. og Fru Jensen læser Version 2. Og hvis de gør det, så er det ikke sikkert, at de forstår indholdet :-(

9
10. oktober 2012 kl. 13:09

Man kunne vel også reverse engineere protokollen, og så lave en modificeret applet som 100% automatiseret talte direkte med nets' servers. Så når brugeren tastede sin engangskode ind for at overføre 100kr til sin ven, eller for at logge på et spillesite, så blev der i virkeligheden overført 6000kr til en anden bankkonto. Uden at den IT-kriminelle behøvede at sidde online og lave MitM-angrebet manuelt.

Ja, java-appletten og gif-filerne er obfuskeret, men man kan ikke obfuskere appletten godt nok til at gøre det umuligt for en motiveret angriber. Der er lige så nytteløst som DRM - hvis brugeren kan se filmen på sin computer, så må han også kunne dekryptere den. Og NemID er en svag form for DRM, da den kun er baseret på software.

7
10. oktober 2012 kl. 12:13

Jeg kan ikke se det her har det mindste med GIF-filerne at gøre. Det er vel ikke overraskende kode der kører på eller er forbundet til en PC der er overtaget, ikke kan skelne mellem brugerens handlinger, og et program der kører som brugeren (eller bedre).

Det er på ingen måde unikt til NemID. Meen det er naturligvis længe siden vi har tændt faklerne og samlet høtyvene sammen her på version2.

5
10. oktober 2012 kl. 11:29

Vil brugeren ikke kunne se, når angriberen fjernbetjener pc'en med vnc? Eller kan det ske uden at det kan ses på skærmen?

8
10. oktober 2012 kl. 12:32

Vil brugeren ikke kunne se, når angriberen fjernbetjener pc'en med vnc? Eller kan det ske uden at det kan ses på skærmen?

Det var også min tanke - sidst jeg anvendte VNC (nogle år siden!), var det i hvert fald en "shared desktop experience". Er der kommet versioner der kan lave en ny Windowstation/session, uden den primære brugere der er logget ind opdager det?

Ellers vil det ikke være ret anvendeligt til netbank angreb, IMHO :)

2
10. oktober 2012 kl. 11:08

error.gif er en 32 bit elf fil og kan ikke indlæses af min 64 bit Linux maskine...der er ikke en 64 bit variant, så dette hardware tjek findes ikke til 64 bit Linux brugere.

1
10. oktober 2012 kl. 10:51

Det kommer vel ikke som en overraskelse for nogen. Jeg er ret sikker på at det har været oppe at vende her på version2.dk at man kunne bruge offerets egen pc til angrebet.

10
10. oktober 2012 kl. 13:09

Nej det kommer ikke rigtigt bag på nogen. Alt kan hackes...