Keyloggere fundet på mindst 15 danske biblioteker

Illustration: Prasit Rodphan/Bigstock
It-kriminelle er ikke bange for at komme ud i verden og lave on-premise-angreb. Det viser sig nu, at computerne på en række danske biblioteker har været inficeret med keyloggere, der lader de kriminelle få adgang til brugernes brugernavne og kodeord.

Mindst 15 biblioteker har haft keyloggere på sine offentligt tilgængelige computere.

Det skriver TV 2.

De kriminelle anslås at have stjålet op til syv millioner kroner fra danskere ved hjælp af keyloggere, der kopierer, hvad brugeren skriver på computeren, så den kriminelle får adgang til brugernavn og kodeord til både mail, Facebook og NemID.

Læs også: Dansk open source-system skal beskytte biblioteks-pc'er mod lyssky besøgende

Kim Vinther Pedersen er en af de 18 danskere, der har fået afluret sin kode.

»Det er skræmmende, at det sker på landets biblioteker. Man har sovet i timen. 165.000 kroner tog de fra min lønkonto og prøvede at sælge aktierne også - så de har jo tømt kontoen. Rub og stub. Det var en voldsom oplevelse. Det er personnummer, det er alle ens koder – også dem fra banken. Jeg var rasende,« siger Kim Vinther Pedersen til TV 2.

Persondata i skraldespanden

Det lykkedes også hackere at få adgang til et lager af personoplysninger i en kommunal skraldespand, hvor it-chefen efterfølgende erkender, at papirerne burde have været makuleret.

Hvordan hackerne har haft held med at omgås to-faktor-godkendelsen med NemID's nøglekort står ikke klart.

Læs også: Synaptics afviser keylogger og patcher for: 'potentielt, lokalt tab af fortrolighed'

I Aarhus Kommune kører et projekt med navnet OS2borgerPC, der netop har fokus på, at bibliotekscomputere skal være sikre for borgerne.

Se video om OS2borgerPC-projektet her:

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (31)
Matthias Smed Larsen

Det er et vildt problematisk fænomen med keylogging af biblioteks-computere da de i høj grad bruges af ikke it-kyndige borgere som kan have svært ved at overskue en evt. overtagelse af deres konti, eller mindrebemidlede borgere som ikke ligefrem har brug for den slags. Tit ser jeg folk på mit lokalbibliotek der tjekker e-boks, skat, skriver jobansøgninger og meget andet på bibliotekets computere fordi de ikke har en derhjemme, og de burde være garanteret en vis form for tryghed (om end jeg godt ved at man aldrig er 100% sikker).

Dog virker det som om at det er næsten umuligt at sikre en computer hvor man frit kan indsætte et USB-drev, noget som mange biblioteker tilllader hvis man f.eks. skal printe egne dokumenter eller vil gemme noget man har lavet/downloadet på en biblioteks-PC. Er der nogen af de mere sikkerheds-kyndige V2-læsere der kunne forestille sig en mulig løsning der ikke reducerer brugervenligheden alt for meget? Ting som sandboxing tror jeg vil være uoverskueligt for den gennemsnitlige person, medmindre det sker "usynligt" i baggrunden.

Simon Mikkelsen

Man kan altid få bedre sikkerhed og der kan også gøres en del ting uden det går ud over brugervenligheden. Men i en verden hvor der ligger kode som kan opdateres i både CPUer og andre chips, er der aldrig en garanti for at en maskine ikke er inficeret. Det gælder i særdeleshed når der ikke er puttet lim i samtlige USB-porte, selvom en computer stadig er ret sårbar når personen foran tastaturet er ondsindet.

Det store spørgsmål for mig er, som artiklen nævner, hvordan det er lykkedes at komme uden at 2-faktor i NemID. Det skulle jo netop beskytte her.

Man kunne forestille sig, computeren sende sin trafik gennem end ondsindet 3. part, som taster brugerens brugernavn/kodeord/nemid ind i en netbank. Brugeren får det normale billede fra netbanken tilbage, men i stedet for at man overfører 100 kr til moster Oda eller sender et brev til sin bankrådgiver, overfører "hackeren" hele kontoens indhold til sig selv - men viser et skærmbillede om at moster Oda har fået de 100 kr. Dette kan gøres sværere med fx certifikat-pinning, men der er ikke mange der bruger det endnu.

Kjeld Larsen

Jeg læste godt om problemet på TV2 i morges. En stakkels mand der var blevet hacket. De havde med hans CPR nummer og NemID password kunne overføre 165000 kr fra hans bank til hans. Stakkels mand... Men netop hvordan kan de det - det kræver jo (mig bekendt) også at de har nøgle kortet. Det er vel hele sikkerheden i NemID at man skal have og vide noget... Så hvordan?

Ang. sikkerhed på bibliotekerne. Der burde jo kunne laves en Kiosk mode, som sletter den aktuelle profil og processer, når der logges af. Riskikoen opstår vel profilen genbruges.

Evt. en VDI løsning, hvor hele maskinen nedlægges ved log-off/on. Hvis det er lavet ordenligt, vil det være helt transparent for den enkelte bruger.

Ved at slette profil og processer, så burde det stadig være muligt at mounte et USB drev.

Burde de mest simple antivirus programmer ikke også fange key loggers?

Kan man forestille sig at den simple og sikre brug af system ikke har været særligt gennemtænkt før det er blevet stillet til rådighed..?

Bjarne Nielsen

Hvis man logger ind på ens e-bank, skat eller andet fra en offentlig PC på en webcafe eller biblioteket, så har man næsten fortjent at blive plyndret.

Det har du langt hen ad vejen ret i, men "overskuds-Danmark" sætter egen økonomi og bekvemmelighed over andres sikkerhed, så det er desværre ikke nogen undskyldning, at man ikke har egen hardware, eller ikke føler sig tryg ved den.

Skulle det være tilfældet, så er svaret entydigt, at så må man gå på en webcafe eller biblioteket, for at betjene sig selv.

Hans Nielsen

"Dog virker det som om at det er næsten umuligt at sikre en computer hvor man frit kan indsætte et USB-drev"

Andet OS, eller former for bokse kan løse det problem. Læste da en artikkel om det her på V2. Men tror ikke at det er manglende på PC / tablet som er et problem for mange der bruger de her løsninger. Det er prisen og dermed fravalg af internet eller printer.

Men løses det kan det. Hvis man gjorde kommunalbestyrelsen direkte økonomisk og strafmæssigt ansvarlig for misbrug af brugers data og login, så skete det i morgen

Hans Nielsen

Hvis man logger ind på ens e-bank, skat eller andet fra en offentlig PC på en webcafe eller biblioteket, så har man næsten fortjent at blive plyndret.

Det har du langt hen ad vejen ret i, men "overskuds-Danmark" sætter egen økonomi og bekvemmelighed over andres sikkerhed, så det er desværre ikke nogen undskyldning, at man ikke har egen hardware, eller ikke føler sig tryg ved den.

Skulle det være tilfældet, så er svaret entydigt, at så må man gå på en webcaf


Nu tror jeg ikke jeg vil blive plyndret hvis jeg satte min PC til på et åbent net. Da jeg har teknisk indsigt til at forhindre dette.
Men hvorfor mener du mener at mennesker der ikke har den indsigt, eller har råd eller adgang til egen PC eller netværk. At de fortjener at blive plyndret. Viser jo nok mere om din indsigt, moral og etik, som jeg synes kan sammenlignes med dem som udføre angrebene.
Du synes formentlig også at mennesker der går byen og bliver stangstive, fortjener at blive overfaldet eller berøvet.

Helge Svendsen

Du synes formentlig også at mennesker der går byen og bliver stangstive, fortjener at blive overfaldet eller berøvet.

Ja, det er fuldstændig det samme. 100%. Jeg er også ond ved dyr.

Man burde kunne logge ind på biblioteket med NemID. Man burde også kunne færdes i alle dele af store byer uden at blive slået ned.

Det betyder jo ikke, at det er forbudt at tænke sig om.

Henrik Størner

Det store spørgsmål for mig er, som artiklen nævner, hvordan det er lykkedes at komme uden at 2-faktor i NemID. Det skulle jo netop beskytte her.

De kan have bestilt et nyt nøglekort og hugget det når postbuddet kom forbi. De fleste banker tillader at man logger ind uden papkortet, så de har jo let kunnet se at der var penge nok til at det var umagen / risikoen værd.

Sten Larsen

Mange biblioteker bruger CPR som brugernavn og logger du på på biblioteket for at bestille bøger, hjælper det ikke, at du check'er for HTTPS, når der er en keylogger.

Med et CPR kan enhver bestille både nyt nemid-kort og ny kode.
Dette sendes til privatadressen, som nemt kan findes, når man har CPR.

Det kræver så kun adgang til postkassen, at fiske både kort og kode.
Derefter logger du på diverse banker, og når der er hit, ser du, hvilket mobilselskab, der fakturere offeret. Så bestiller du et nyt sim-kort, som også fiskes op af postkassen. Nu kan du også håndtere SMS-verificering.

Der sendes godt nok nogle mails fra både NemID og mobilleverandør, men vælger du et tidspunkt, hvor det er mindre sandsynligt, at offeret tømmer postkasse/er på nettet, har du frit spil (fx ferie).

Jeg har erfaret, at
- Postkassen er et yderst svagt led i sikkerheden
- Alle accepterer CPR som identifikation
- at NemId kun logger transaktioner, hvis du selv slår det til
(Og uden log kan du kun se hvor mange gange andre har udgivet sig som dig - Du kan ikke se hvor)
- at man kan slå automatisk fremsendelse af nemid-kort/-kode fra
- at man kan hente både nemid-kort og -kode på borgerservice
- at afhentning af nemId hos borgerservice er tidsmæssigt lidt mere besværligt, men sikkerheden er væsentlig højere - kan ubetinget anbefales
- at man ALTID og OVERALT skal være online (mail & SMS), for det kan gå ret stærkt

Hans Nielsen

Det betyder jo ikke, at det er forbudt at tænke sig om.


Det er her at kæden hopper af for dig. Og du kommer til at virker som dem der også mener at det er kvinders egen skyld at de udsætte for sexsikane og voldtækt. For de kan bare tænke som om, ikke.

Der er ikke mange, men nogle der af forskellige årsager ikke har adgang til Internet, printer, pc,. De samme mennesker har sikkert en høj andel af dem, som ikke er gode til EDB og lignende. Så min opfattelse, af din kommentar er: man skal træde dem som i forvejen ligger ned.
Kan du se det nu ?

Da samfundet har krævet at de skal bruge Internet alligevel, og det efterhånden også betragtes som en livsvigtigt ting, som vand og el. Så må samfundet sikre sig, at de også har sikkert adgang til Internet.

OBS Hvis du spiser svinekød fra Industriproduktion, så støtter du nogle som er tæt på at være "er også ond ved dyr." :-(

Michael Jørgensen

"Det store spørgsmål for mig er, som artiklen nævner, hvordan det er lykkedes at komme uden at 2-faktor i NemID. Det skulle jo netop beskytte her."

Det kan lade sig gøre hvis personen har et billede af sit nøglekort til at ligge i skyen, altså på sit google drev/photos eller lignende. Eftersom keyloggeren allerede har logget brugernavn og password kan personen nemt logge ind og kigge billederne igennem.

Helge Svendsen

OBS Hvis du spiser svinekød fra Industriproduktion, så støtter du nogle som er tæt på at være "er også ond ved dyr.

Apropos det med kæder, der hopper af..

Hvis du vil stole på big mother velfærds samfundet til at passe på dig i alle situationer, så skal du passe på, når du kommer derhen, hvor rækkevidden ikke er til stede.

Eks. på internettet.

Dine perfide ideer om, hvad jeg synes om kvinder, vold og andet kan du beholde for dig selv. Jeg gider ikke engang kommentere det.

Ulrik Suhr

Det kan lade sig gøre hvis personen har et billede af sit nøglekort til at ligge i skyen, altså på sit google drev/photos eller lignende. Eftersom keyloggeren allerede har logget brugernavn og password kan personen nemt logge ind og kigge billederne igennem.

Det er ofte den simpleste forklaring der er den rigtige... tror også det er et billed af papkortet som er problemet.

Det sagt så tror jeg ikke man kan sikre en pc. mod angreb hvis man har fysisk adgang. Der findes også HW som man kan sætte mellem keyboard/mus som snupper data og sender det uden selve systemet er komprimtieret.

Løsningen er ikke ligetil, men der er en del som kunne gøres:
for at benytte en pc på biblioteket skal man være oprettet i deres lokale bruger base som er verificeret. Syntes også en kiosk mode mht. profiler ville være en start.

Mobil verificering syntes dog den bedste løsning mht. overførsel af penge. og gerne med geo lokation (er faktisk noget gmail og andre praktisere). Jeg er dog selv tilhænger af en løsning hvor transaktionen gennemføres men flagges i den modtagende bank hvor man skal ved personligt fremmøde kan hæve pengene :) gerne med fingeraftryk eller ligende...
Det vil måske lette arbejdet for politiet ved de mindre IQ stærke forbrydere.

Hans Nielsen

Apropos det med kæder, der hopper af..


Nu gav jeg med vilje ikke en glad smile, da jeg ikke synes det er noget at grine af. Og nej du er ikke ansvarlig for "dyremishandlingen" af især søer som bliver bunden i store dele af deres liv. Fordi den påstået miljøminister gentagne gange har givet dispensation for nye EU regler, til gamle svinestalde. Men hvis du besøgte en sådan, så tror jeg du vil vælge lidt mere økologisk svinekød :-)

Men du giver mig så ret i resten, at du er en gamel mandlig sexsit som mener at det også er kvindernes og offres egen skyld :-)
Se lige smiley,

Men prøv lige at tænke over dit udsagn igen og find din empati. Er det den hjemløses/fattige egen skyld at han ikke har en bærbar PC og eget net. Og må benytte sig af offentlige tjenester, som ikke er sikker ?

Morten Vinding

Andet OS, eller former for bokse kan løse det problem.


Tror det er hardware keyloggers der bliver brugt. Det har jeg i hver fald set på et bibliotek før.

Men løses det kan det. Hvis man gjorde kommunalbestyrelsen direkte økonomisk og strafmæssigt ansvarlig for misbrug af brugers data og login, så skete det i morgen


Hvis man gjorde dem ansvarlig ville de bare holde op med at tilbyde computerere på læsesalene.
Det er så nemt at råbe "det er samfundet skyld".

Michael Nielsen

Køb en billig bærbar, forbind til det trådløse net, og det er knapt så nemt at stjæle data fra dig, men dog ikke umuligt.

Men altid altid, opdatere software, brug firewalls, osv, hvis du nogen sinde bruger offentlige netværk.

Jeg husker en gang en der installerede windows fra scratch, men glemte at hive netværks stikket - han var hacket, før han overhovedet fik windows færdig installeret - bare en tanke.

Martin Sørensen

På mit lokale bibliotek er alle maskiner lukket inde i kasser så man kan ikke komme til nogle af portene. Jeg ved ikke om der er mulighed for på en eller anden måde at sætte egen usb nøgle til eller om man skal bede personalet om det, men ellers kunne en løsning jo være udelukkende at eksponere et enkelt USB stik som kunne bruges til filoverførsel. Hvis det sidder et synligt sted, f.eks. lige foran monitoren, så kan man hurtigt se om der sidder noget i stikket eller ej inden man går i gang med at bruge computeren.

Nicolaj Rosing

Helge du er helt galt på den. Selvom du har ‘teknisk indsigt’ nok til at føle dig sikker på ikke at blive udsat for denne form for forbrydelse så kan jeg love dig for at jeg kender folk i branchen som kunne lægge din computer ned på ingen tid og stjæle din indentitet hvis de gad. Det der er ‘sund fornuft’ for dig er ikke noget man kan bruge som argument i en sag som denne hvor vi taler om systemer med en kompleksitet som de færreste i samfundet forstår hvordan fungerer. Og husk lige på at det ikke er frivilligt om man vil have en Nem konto. Det er noget man skal også selvom man ikke læser Version2 og har teknisk indsigt

Øyvind Mo

ellers kunne en løsning jo være udelukkende at eksponere et enkelt USB stik som kunne bruges til filoverførsel. Hvis det sidder et synligt sted, f.eks. lige foran monitoren, så kan man hurtigt se om der sidder noget i stikket eller ej inden man går i gang med at bruge computeren.

Bare det var så nemt at være sikker...
Desværre er der grundlæggende og kendte problemer med selve USB-standarden, som betyder at man ikke kan stole på en computers integritet, hvis en mulig angriber nogensinde har haft adgang til en USB-port. Wired har en gammel og god artikel om dette, og mig bekendt er der ikke sket noget dramatisk med hardware/OS for at løse dette grundlæggende problem:
https://www.wired.com/2014/07/usb-security/

Liz Nardozza fra USB Implementers Forum (standardkomiteen) er i den linkede artikel citeret for at sige:
“Consumers should always ensure their devices are from a trusted source and that only trusted sources interact with their devices,”

Sten Larsen

"at man kan slå automatisk fremsendelse af nemid-kort/-kode fra"
Hvordan gør du det ?

"Det kræver da også 2-faktor for at bestille et nyt nøglekort"!

-oOo-

Tak for kommentarerne, som gav anledning til fornyet kontakt til nemid-support med følgende oplysninger:

  • Man kan IKKE slå afsendelse af nyt kort fra, men man kan bestille et ekstra, så der går lang tid før, der fremsendes et til postkassen.
    (Jeg fik i nov. 17 af nemid-support oplyst, at de nu havde slået postfremsendelse fra)

I november 2017 kunne man få tilsendt kort via kontakt til support og oplysning af CPR. Dette er ikke længere muligt, da det er for usikkert

Bo Fristed

Her i Aarhus Kommune har vi (også) haft vores erfaringer med keyloggere.

Vi har naturligvis altid arbejdet for at borgerne trygt kan anvende vores publikumsmaskiner (bl.a. på bibliotekerne), og det er ikke noget nyt, at kriminelle har set disse maskiner som en god indgang.

Vi konstaterede de første keyloggere i starten af 2016, og har derefter iværksat en række initiativer.

Vi bruger en Ubuntubaseret platform med central håndtering og overvågning. Platformen er udviklet sådan, at maskinen – efter en brugers logout – renses for al aktivitet brugeren har gennemført. Det vil sige, at en ny bruger på maskinen møder en helt frisk maskine, og - hvis brugeren sørger for at logge sig ud - intet efterlader.

Derudover har vi foretaget følgende:

  • Igangsætning af procedurer for daglige manuelle eftersyn.
  • Information på skærmene om at det er vigtigt at brugeren logger ud.
  • Udvikling af sikkerhedsmodul – et advissystem der sender besked hvis tastaturet trækkes ud.
  • Udvidelse af sikkerhedsmodul til håndtering af software keykoggere.
  • Udvikling af funktionalitet der automatisk logger brugerne ud (advarer efter 4 min. inaktivitet og logger ud et minut efter).
  • Design af fysisk kabinet der hindrer isætning af eksternt udstyr.
  • Jævnlige fysiske eftersyn er fastholdt.

Vi har ikke konstateret keyloggere - eller andre angreb på vores publikumsmaskiner - efter de fysiske kabinetter er monteret, og vi har blokeret USB-stik m.v. på maskinerne. (Vi har klippet spidserne af USB-ledninger og limet dem i hullerne).

Vores netværk er separeret, så der er adskillelse mellem publikumsmaskinerne og vores administrative netværk.

Personer med kriminelle hensigter vil nok finde på nye måder at angribe os på, men vi fortsætter med forebyggelse, monitorering og så afhjælpning hvis nogen skulle slippe indenfor.

Det er nemlig vigtigt for os, at borgere, der ikke har anden adgang til PC'er og/eller internet, trygt kan få opfyldt sine digitale behov. Bibliotekerne skal (jf. Biblioteksloven) sikre fri og lige adgang til information, og derfor vil vi gøre alt vi kan, for at vi fortsat kan yde denne service.

Se evt. mere her: https://os2.eu/blog/hackerne-angriber-os

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017