Sikkerhedsekspert: Skjult NemID-kode på din pc er en rigtig dårlig idé
Meget tyder på, at DanID har skjult programkode i billedfiler i forsøget på at gøre arbejdet sværere for hackere, som ville angribe NemID.
Fremgangsmåden er også kendt som 'security by obscurity' og går ud på, at man kan øge sikkerheden, hvis man holder sin løsning hemmelig eller skjult. Men det er ikke en metode, der hører hjemme i en løsning som NemID, mener lektor og sikkerhedsekspert Joseph Kiniry fra IT-Universitetet.
»Blandt it-sikkerhedseksperter er der stærk enighed om, at security by obscurity er en rigtig dårlig idé. Vi stoler ikke på det,« siger Joseph Kiniry til Version2.
Joseph Kiniry bakkes op af det amerikanske institut for standarder og teknologi, NIST, der ved flere lejligheder udtrykkeligt har anbefalet ikke at bruge security by obscurity.
»Et systems sikkerhed bør ikke afhænge af hemmeligholdelse af implementeringen eller systemets komponenter,« skriver NIST således i sin "Guide to general server security."
Indholdet af den Java-applet, som bruges til login med NemID, kom i fokus torsdag, efter antivirussoftware fra McAfee reagerede på indholdet af nogle af de filer, som bliver gemt lokalt på brugerens pc, når han logger på med NemID.
En pakket fil, som bruges til at distribuere blandt andet billedfiler sammen med Java-appletten, har vist sig at indeholde fire filer, der er camoufleret som GIF-billedfiler, men som i virkeligheden indeholder programkode til Windows, Unix og Mac.
Selve den binære kode har været vanskelig at analysere, hvilket indikerer at programmørerne er gået langt for at gøre det så vanskeligt som muligt at skille koden ad og analysere den. Der er heller ikke brugt standardværktøjer til at camouflere koden. Udviklerne har tilsyneladende brugt deres egenudviklede metoder til at camouflere programkoden.
»Jeg har aldrig set et firma bruge så mange mandetimer på at lave security by obscurity,« siger Joseph Kiniry.
En gruppe af Joseph Kinirys studerende på ITU har for nylig kigget på programkoden i NemID-appletten, men ikke på billedfilerne. Al programkoden i appletten er dog gjort vanskelig at afkode med almindelige reverse engineering-værktøjer.
»Det er ikke et overraskende syn fra en organisation, som arbejder med sikkerhed, men ikke har stor erfaring,« siger Joseph Kiniry.
Problemet med at forsøge at højne sikkerheden ved at lægge slør over, hvad der foregår inde i softwaren, er, at ingen udefra har mulighed for at se, om det foregår sikkert. Hverken skurkene eller de personer, der skal beskyttes af sikkerheden.
Det betyder, at brugerne udelukkende skal stole på, at leverandøren har lavet systemet så sikkert, at det ikke kan hackes. Og når security by obscurity som i det aktuelle tilfælde, akkompagneres af larmende tavshed fra Nets DanID, betyder det, at det bliver det stadig sværere at afvise den mulighed, at den skjulte kode i GIF-billedfilerne ikke stammer fra Nets DanID, men fra hackere.
»Alternativet er at designe et system, hvor du kan offentliggøre alle detaljer og kildekoden. Det er det, der bliver gjort med alle åbne krypteringsstandarder. Så har du mange øjne til at se på systemet, og du får brugernes tillid,« siger Joseph Kiniry til Version2.
Fremgangsmåden med at sløre sikkerheden via security by obscurity er ikke velset blandt it-sikkerhedsfolk, fordi det ikke er sikkerhed som en del af et sikkert design, men derimod blot en satsning på, at de kriminelle ikke kan gennemskue, hvad der foregår bag sløret.
»Hvis du bruger standardmetoder til security by obscurity, så hæver du overliggeren en smule og holder de dummeste kriminelle væk. Hvis du går endnu videre med security by obscurity, så hæver du den endnu mere, men du kan aldrig holde alle ude. De beslutsomme kriminelle vil altid kunne opnå det, de vil,« siger Joseph Kiniry.
Sikkerheden i NemID er for alvor kommet i fokus, efter otte kunder hos Nordea fik stjålet penge fra deres netbanker som følge af et phishing-angreb, hvor de blev lokket til at udlevere deres login-oplysninger i et såkaldt man-in-the-middle-angreb.
DanID har afvist, at denne type angreb skulle betyde, at sikkerheden ikke er tilstrækkelig i NemID, fordi angrebet er afhængigt af, at de kriminelle kan lokke brugeren til at følge et link.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
