mboost-dp1

PBS A/S

NemID-sikkerhed igen under lup

- Via Version2 - , indsendt af thimon

Hos Version2 har de gennem længere tid kigget nærmere på sikkerheden i den digitale signaturløsning NemID, og påpeger nu, at den skjulte checksum, der laves ud fra ens hardware, også kan omgås.

I NemID applikationen bliver der genereret et checksum ud fra den hardware man har i sin computer, hvilket skal gøre det sværere at udføre et “man in the middle”-angreb.

Løsningen for en kriminel er dog simpel, angrebet udføres blot fra brugerens computer. Mange af de trojanere der i dag er i omløb, er modulære i deres opbygning og ved at tilkøbe en udvidelse, er det muligt at fjernstyre brugerens pc.

Ved at snyde brugeren til at tro ens netbank reagerer langsomt, eller fejler efter indtastning af sin NemID-nøgle, kan den kriminelle i baggrunden bruge nøglen via brugerens pc, til at tilgå netbank og frarøve brugeren penge.





Gå til bund
Gravatar #1 - Fjolle
11. okt. 2012 07:24
Ville brugeren ikke opdage hvis ens computer automatisk begyndte at logge ind og overføre penge fra ens netbank?
Gravatar #2 - Chucara
11. okt. 2012 07:41
#1: Nøgleordet her er 'i baggrunden'. Det er ikke synligt fra brugeren, da ens netbank ikke bliver renderet i ens browser (udover det, man selv foretager sig).
Gravatar #3 - Hekatombe
11. okt. 2012 07:46
Jeg undre mig over hvorfor dette er en nyhed, det er vel ikke overreskende for nogen at en trojaner kan udføre handlinger på en brugers computer uden hans viden.
Udover det, så laves checksummen på computeren, så der er vel ikke noget som forhindre en angriber i at angive et falsk checksum?
Gravatar #4 - cryo
11. okt. 2012 07:46
Som jeg også skrev på version 2, har det her ikke rigtig noget med NemID at gøre. Hvis en computer er overtaget er der ikke meget et program kan gøre for at skelne brugeren fra mallwaren.

#3 netop, men jeg tror der ligger noget anti-NemID bag ;)
Gravatar #5 - LordMike
11. okt. 2012 09:12
#3
Lige udover at du skal reverse-engineere protokollen som NemID kommunikerer med, og så finde ud af at lægge din nye checksum ind. :P

At få NemID til selv at gøre det (køre det fra brugerens maskine) er mange gange lettere.

Problemet opstår så når du skal bruge, den virkelige sikkerhed i NemID, en engangskode. Den skal immervæk komme fra brugeren af.
Gravatar #6 - lordsasa1
11. okt. 2012 09:13
#3: Hekatombe

Enig!
Gravatar #7 - ES
11. okt. 2012 10:10
Løsningen er simpel - opdater AV scanner og lav en fuld scan, samt:

Log på netbank uden nøglekort, verificer konto. Log af.
Log på netbank med nøglekort, overfør penge. Log af.
Log på netbank med nøglekort, verificer konto. Log af.
- hvis man altså har lyst/behov, og så mange penge på ét system at bankens sikkerhedsnet ikke dækker ;ø)
Gravatar #8 - støv
11. okt. 2012 11:25
#7 i ja, det er vel nok simpelt! meget simplere at få brugerene til det end at tilbyde en løsning med reel sikkerhed.

(bemærk: sarkasme kan forkomme i ovenstående)
Gravatar #9 - FeedMe
11. okt. 2012 11:48
Frarøve?

Der kan vel ikke være tale om røveri når brugeren ikke ved det eller bliver udsat for trusler....
Gravatar #10 - Hekatombe
11. okt. 2012 12:35
ES (7) skrev:
Log på netbank uden nøglekort, verificer konto. Log af.

Okay, lad os sige at det lykkes,

ES (7) skrev:
Log på netbank med nøglekort, overfør penge. Log af.


Hvordan reagere man så, hvis man har indtastet sin engangskode og derefter webserveren kommer med en midlertidig fejl f.eks. 500?

ES (7) skrev:
Log på netbank med nøglekort, verificer konto. Log af.


Og hvordan reagere man hvis det eneste man får en midlertidig fejl f.eks. 500?
Gravatar #11 - arne_v
11. okt. 2012 13:00
støv (8) skrev:
det er vel nok simpelt! meget simplere at få brugerene til det end at tilbyde en løsning med reel sikkerhed.


Vil du uddybe hvad en løsning med reel sikkerhed (hvilket i konteksten må betyden en løsning som beskytter mod misbrug når banken tilgåes fra en PC inficeret med malware) dækker over?
Gravatar #12 - Pally
11. okt. 2012 23:08
arne_v (11) skrev:
Vil du uddybe hvad en løsning med reel sikkerhed (hvilket i konteksten må betyden en løsning som beskytter mod misbrug når banken tilgåes fra en PC inficeret med malware) dækker over?

- Bruger browser ind på webshop og vælger at købe en dims
- Webshop redirecter betaling til bank
- Bank viser side, der beder brugeren indtaste beløb + random tal
- Bruger taster dette ind på en disconnected token
- Disconnected token beregner en keyed hash
- Bruger taster keyed hash ind på websiden
- Banken verificerer og godkender

Tilsvarende for web-banking: ved overførsel skal der indtastes beløb + konto.

Fidusen er en disconnected token. Problemet er at det er dyrere, mere kompliceret, bøvlet rent logistisk og formodenlig helt hen i skoven for folk med bestemte handicaps.

Edit: tilføjet link til eksempler på tokens der kan noget i den stil:
http://www.vasco.com/products/client_products/esig...

Edit 2: rettet slå-fjel
Gravatar #13 - PinHigh
11. okt. 2012 23:36
Pally (12) skrev:
Fidusen er en disconnected token. Problemet er at det er dyrere, mere kompliceret, bøvlet rent logistisk og formodenlig helt hen i skoven for folk med bestemte handicaps.


Altså præcis som med papkortet.....
(inklusiv den del med handicap..... De er fucking små de tal, når kortet skal ud i strakt arm..... ;-)
Gravatar #14 - arne_v
12. okt. 2012 01:54
#12

Brug af en ekstra computer som ikke er inficeret er en god beskyttelse mod en computer som er inficeret.

(jeg vil tillade mig at kalde en token dims med tastatur for en computer)
Gravatar #15 - arne_v
12. okt. 2012 01:57
PinHigh (13) skrev:
Altså præcis som med papkortet.....


Med lidt snille kan pap kortet godt bringes til at fylde mindre end:

http://www.vasco.com/products/client_products/esig...


Size: 75 x 46 x 13 mm
Gravatar #16 - ES
12. okt. 2012 11:32
Hekatombe (10) skrev:
Okay, lad os sige at det lykkes,

ES (7) skrev:
Log på netbank med nøglekort, overfør penge. Log af.


Hvordan reagere man så, hvis man har indtastet sin engangskode og derefter webserveren kommer med en midlertidig fejl f.eks. 500?

ES (7) skrev:
Log på netbank med nøglekort, verificer konto. Log af.


Og hvordan reagere man hvis det eneste man får en midlertidig fejl f.eks. 500?


Prøver med en anden maskine/forbindelse - hvis en sådan forefindes, ellers:
Kontakt bankens support - de skal jo (også) have noget at lave ;ø)
Gravatar #17 - jhm
12. okt. 2012 14:27
Jeg oplever ofte at netbank er lang tid om at svare ved login, så en hacker har skam rigeligt med tid før jeg bliver nervøs...

Jeg forstår i øvrigt stadig ikke hvorfor at NemID ikke kender forskel på store og små bogstaver i kodeordet, det er da noget bekymrende i forhold til at have et sikkert kodeord...
Gravatar #18 - Manofsciencemanoffaith
12. okt. 2012 18:02
Ackri (17) skrev:
Jeg forstår i øvrigt stadig ikke hvorfor at NemID ikke kender forskel på store og små bogstaver i kodeordet, det er da noget bekymrende i forhold til at have et sikkert kodeord...


Det er med vilje, fordi det ikke har den store betydning for sikkerheden. Et tegn eller to mere øger sikkerheden mere end store/små bogstaver.
Gravatar #19 - arne_v
12. okt. 2012 18:08
#17

Det er vel en kombination af:
- forskel på store og små bogstaver giver problemer for hr. og fru Jensen segmentet
- kompleksiteten er kun polynomisk i antal valide tegn men eksponentiel i længde
Gravatar #20 - arne_v
12. okt. 2012 18:09
#18

Der skal nok 2 tegn til. Ellers er det nogle meget korte passwords.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login