Wake up, regering/banker! Hjælp borgerne mod NemID-misbrug

Om behovet for:

  • Borgerens sikkerhedscenter
  • Obligatoriske login-rutiner
  • Bedre systemer
  • Øget fokus fra universiteterne

Tilføjet 4. maj 2012: Forsvarsminister Nick Hækkerup varsler på forsiden af Berlingske i dag, at risikoen for et netbaseret angreb (cyberkrig) på Danmark er øget. Læs blot denne vinkel med ind, når jeg i det følgende fortæller om, hvorledes NemID-strukturen giver øget sårbarhed i relation til kriminelle.

Det er på høje tid, at regeringen og bankerne tager konsekvensen af, at NemID for den kriminelle verden over udgør en sand honningkrukke. Det er alt andet en rettidig omhu forsat at fokusere allermest på egne fordele (effektivisering) ved NemID-infrastrukturen, når borgeren fortsat er efterladt som en hare fanget i lyskasternes skær.

Borgerne skulle fra dag 1 have været sikret effektiv hjælp, når det lykkes for kriminelle at få snablen i honningkrukken. Og banker og det offentlige burde have været klogere end at lave en infrastruktur, hvor én nøgle, NemID, giver adgang til honningskrukken.

Nyt angreb i gang

Netop nu kører igen et angreb, men Nets (tidligere PBS) beroliger. Kun 10 kunder er ramt.

Sidst – det var i februar – var “kun” 8 kunder i Danske Bank ramt. Den gang havde banken skruet ned for egne varselssystemer, lullet ind i freden som banken oplevede efter lanceringen af NemID. Nu er der skruet op igen for systemer og procedurer, der skal sikre mod bedrag, i alle banker. Resultatet: 10 ramte denne gang! (hvis det er slutresultatet).

Fremskriv røver/soldater-historien, og se hvem der vinder, medmindre at der sker drastiske ændringer af NemID-infrastrukturen.

Borgerens sikkerhedscenter

Folk vil få frastjålet ikke blot deres penge, men også deres identitet, hvilket vil give borgerne yderligere bøvl med at få spolet historien tilbage til, før det skete.

Der burde helt fra starten have været sikret borgerne ét kontaktpunkt, når NemID-sikkerheden blev brudt. Et sted fyldt til randen med den ekspertise, der skal til for at håndtere banker, Riberslignende organisationer, netbutikker og andre steder, hvor borgeren kommer i klemme grundet tabte penge/frastjålet ID.

Den borgerlige regering svigtede sit ansvar, men den nye regering, og ikke mindst Margrethe Vestager, synes lige så prædikende om digitaliseringens velsignelser. Hvorfor skal der “lig på bordet” inden noget, der burde være logik for burhøns, etableres? Altså et sikkerhedscenter, der varetager borgernes tarv.

Dit ansvar

Igen hører vi sangen om, at det bedste du og jeg kan gøre, er at holde pc’en opdateret med antivirus. Som om der ikke findes noget, der hedder zero day angreb, altså helt nye typer ondartet kode, som antivirussen endnu ikke har lært at genkende.

Igen hører vi, at borgere får smittet deres pc via besøg på ganske almindelige websteder, altså ikke som i gamle dage, hvor smitten typisk kom fra websteder forbundet med visse menneskelige svagheder.

Helt almindelige blogs, som blogførere selv får “hostet”, er blevet et af stederne, hvor det lykkes for kriminelle at smide ondartet kode ind, når bloggens ejer ikke har orket at sikre de nødvendige konstante opdateringer af blogsoftwaren.

Fra berømt til berygtet

Danmark er berømmet for at have skabt en effektiv it-infrastruktur, både i det offentlige og i finanssektoren (Dankort) og NemID.

Vi kan så krydse fingre for, at Danmark ikke ender med at blive berygtet for at med netop den effektive infrastruktur at have man skabt de ideelle betingelser for hardcore kriminelle.

NemID er nøglen til stort set alle bankkonti i Danmark og til afgørende offentlige systemer, der som bekendt også kører milliardudbetalinger rundt i systemet.

Næste trin

Næste trin må være, at få et eller flere sikkerhedscentre, hvor borgerne kan henvende sig, op at stå. Lige om hjørnet venter jo også den tvungne digitalisering fra det offentliges side, men selvfølgelig skal bankerne være med til at spytte i kassen.

Øgede offentlige udgifter, øgede bankomkostninger? Mon ikke det vil koste endnu mere, hvis  man stæser rundt med individuel brandslukning, udført at folk, der ikke er eksperter på området?

Obligatorisk standard

NemID-konceptet ser effektivt og smukt ud på papiret, men det holder ikke i længden. Alene det, at der IKKE er en obligatorisk standard for indlogning har lagt en bombe under sikkerheden. Nogle steder afkræves man f.eks. alle tre faktorer (brugernavn, password og nøglekortsnummer) ved indlogning, andre steder nøjes med med de to første faktorer, og så først ved enkelte transaktioner skal der også nøglekortsnummer til.

Hvis ikke folk har på rygraden, at 1-2-3 sådan er det altså altid, vil de heller ikke være på vagt overfor andre mønstre, andre skærmbilleder. Bankers argumentation med “kundevenlighed” er ris til systemets behind, og en af konsekvenserne af den manglende standard har jeg tidligere skrevet om her.

Nets-organisationen DanID, som står bag NemID, beskriver de anvendte mekanismer ved det nuværende angreb her, og meget ligner det foregående.

Nye teknologiske løsninger

Og så min kæphest. Lad borgeren, der ønsker det, få flere NemID’er med vandtætte skotter imellem, f.eks. et til netbanken, et til det offentlige, og et til alle de private virksomheder, som Nets også sælger løsningen til.

Og lad borgeren, der ønsker det, betale for en helt skræddersyet sikker teknologisk løsning, som IKKE er afhængig af den usikre kommode, som en pc er. Jeg er den første kunde.

Hvis universiteterne så også lige kunne skrue op på ekspertise på disse områder, så feltet ikke i samme grad er overladt til “eksperter” fra sikkerhedsleverandører, ville det også gavne. På høje tid. Grrrr.

9 responses to “Wake up, regering/banker! Hjælp borgerne mod NemID-misbrug

  1. Jeg er nok lidt paranoid, når det gælder sikker login på en bank, eller andre steder hvor man kan stjæle værdier fra mig.

    Alle processer ud over de mest nødvendige skal stoppes når min apps kontakter min bank. Det hele skal kører i ram og programmet må ikke efterlade spor på maskinen. Det er så bekvemt at alt kører i en browser, men jeg tror der er for mange fejlkombinationer med en browser.

    Jeg er bare ikke sikker på at sandbox’s og andre smarte teknologier ikke kan omgås, jeg vil bare ikke have noget som køre ved siden af, som ikke er livs nødvendigt for systemet skal kunne fungere.

    Det vil måske ændre moderne systems brugervenlighed, måske vil smarte ting gå fløjten.

    Jeg er fuld klar over at intet kan gøres 100% sikkert!

    Jeg startede med elektronisk banking over modem til en modem pool hos banken. Jeg følte det var sikkert og den fornemmelse vil jeg gerne have igen.

    Jeg benytter de systemer som findes i dag, men jeg føler mig bestemt ikke tryg.

  2. Det kunne jo mitigeres ved at udgive en NetID browser der kun kan surfe til NetID’s autoriserede kunder, med eget/lukket SDNS.

  3. Jeg tror, at mange får et forkert indtryk, når banker (og NemID/DanID) taler om sikkerhed.

    Sikkerhed er, når banken undgår angreb eller undgår at egne systemer kompromitteres af udefra kommende kilder.

    Alt andet er stort set bankerne uvedkommende.

    Kunden/brugeren af NemID er i den forbindelse et faremoment, men kun som en sekundær overvejelse i det omfang, at kunden vil være i stand til at kompromittere bankens sikkerhed.

    Altså beskytter banken sig mod kundens misbrug, men ikke kunden mod misbrug. En “korrekt” gennemført transaktion er i princippet “korrekt” (og farefri) for banken – uanset hvem, der udfører transaktionen.

    At der kun eksisterer ét eneste system – godt eller skidt – gør kun udgifterne mindre.

    På det punkt er DanID sikkert en ønskedrøm; sikkerheden for brugeren er der næppe ofret de helt store resurser på.

    “Køb en antivirus” synes at være højdepunktet af bankernes omsorg for kundernes sikkerhed. At det, i dagens verden, kan være en virkningsløs indsats, er ikke så væsentligt. For bankernes sikkerhed.

    Bankerne betaler for at opretholde den synsvinkel. I form af at holde kunderne skadesløse for evt. “tabte beløb”, men ikke for alle de følgeomkostninger, der måtte opstå ved at (forsøge at) ophæve virkningerne af et “bedrageri” eller identitetstyveri; omkostninger i tid og penge for den ofte sagesløse bruger.

    Småpenge, sammenlignet med, hvad et system koster, hvis det også skal sikre brugerne.

    Politikerne synes også at acceptere, at borgerne stiltiende tildeles offerrollen og i sidste ende bærer alle omkostningerne ved NemID.

  4. Go pointe Dorte og Kurt F. Hansen
    Jeg fik også et popup med den nye mailware men som softwareingeniør slettede jeg popup menuen og efter følgende scannede min PC for mailware så udover de 10 der er officielle fordi vedkommende ikke selv har kunne løse problemet og Kurt’s tolkning af bankernes sikkerheds iver er lige min ord igen.

  5. Også ud fra jeres kommentarer kunne jeg ønske, at de medier, der har seernes/læsernes/lytternes store opmærksomhed snarest gik i gang med et dybdegående tjek af situationen. I stedet for, at det hver gang blot bliver til et bløp om et nyt angreb, og derefter synker problematikken ned i mørket igen.
    Hvorfor gider medierne ikke?

  6. Efter alle de historier man har hørt – og stadigvæk hører, kan jeg godt forstå at folk bliver en smule paranoide.

    Et vigtigt element jeg finder i bankerne system er, som Kurt nævner er, at bankerne skal fokuserer på kunden undgår misbrug, i stedet for kundens misbrug.

    Til gengæld finder jeg det stærkt problematisk, at det i dag ikke er lovpligtigt, at der skal være installeret anti-virus software på brugernes computere. Dette ville mindske de tilfælde af økonomisk kriminalitet der har været og samtidig gavne industrien.

  7. @Philip

    Jeg er ked af at sige det, men når du skriver:

    “Til gengæld finder jeg det stærkt problematisk, at det i dag ikke er lovpligtigt, at der skal være installeret anti-virus software på brugernes computere. Dette ville mindske de tilfælde af økonomisk kriminalitet der har været og samtidig gavne industrien.”

    så har du desværre misforstået problematikken, for såkaldt anti-virus er kun en sovepude, og kun et fix for at prøve at lappe på specielt et meget usikkert operativsystem.

    Herudover, så skal vi huske på at et af hovedargumenterne i sin tid for at lave hele konstruktionen var at borgerne ikke var i stand til at holde rede på egen sikkerhed, og NemID skulle kunne bruges fra en vilkårlig computer og blah blah blah – så klinger det altså hult at begynde at tale om antivirus nu.

    Problemtikken omkring NemID er meget større og meget mere kompleks da der dels er tale om en løsning der teknisk er elendig, dels er tale om et decideret overgreb af befolkningen og en øget overvågning, så at tale om “en smule paranoide” er en stråmand.

    Men lad mig lige ridse en række (ikke udtømmende) alvorlige fejl op ved NemID:


    NemID er IKKE en digital signatur, og direkte ulovlig i henhold til lov om elektroniske signaturer.

    Borgeren er ikke selv herre over egen nøgle.

    NemID kan ikke operere med forskellige sikkerhedsniveauer.

    NemID kan ikke separeres til forskellige områder.

    NemID er følsomt (meget) over for MiM angreb.

    NemID gør brug af usikker teknologi (Java).

    NemID er opbygget (bevist) som en statstrojaner, hvor borgeren ikke er sikret mod overvågning.

    NemID kan misbruges af efterretningsvæsen (er indrømmet i et $20 spørgsmål)

    NemID er deponeret hos et privat fortagende, hvis primære mål er at tjene penge – det kan gøre en bekymret fsva. sikkerheden.

    NemID er bygget op efter et “security by obscurity” princip, måske fordi man er bange for at udstille hvor ringe det er lavet.

    Holdningen til sikkerhed er generelt stærkt bekymrende hos DanID, når man bla. siger til bekymrede bruger at de bare skal ignorere graverende fejlmeddelelser – dvs. al den opdragelse der har været af brugerne til at tænke sikkerhed bliver smidt ud med badevandet.

    NemID er en one-size-fits-all løsning, hvilket betyder at DanID prøver at sælge modellen til alt, det være sig bank, skat, tinglysning, teleselskaber, on-line spil og en masse andre private aktører som f.eks. dating-sites – hvis nu en af disse misbruger (eller et brådent kar hos dem) sin position, ja så er Pandoras æske virkelig åben, og resultatet kan blive fatalt.

    NemID er et single-point-of-failure og når NemID bliver alvorligt kompromitteret, eller selve DanID bliver hacket, så risikerer hele landet at blive sat i stå, eller bombet mange år tilbage.

    Så dette her skal tages meget alvorligt, og når Dorte spørger til mediernes manglende tilstedeværelse, så mener jeg at hun påpeger et meget beklageligt punkt, for dette her er hamrende alvorligt, men desværre så glimrer den kritiske forfølgelse af dette ved sit totale fravær i de danske medier, som ser til at være mere interesseret i en uendelig række ligegyldigheder som betalingsring og lignende.

    Men hvordan mobiliseres pressens og politikernes årvågenhed?

  8. I dag er der et omfattende forsøg på phishing fra nogen, der udgiver sig for at være Nets, eller rettere, der synes at være flere forsøg i funktion.

    På Twitter har Christian Jessen vist foto af phishingforsøget mod ham https://twitter.com/#!/ChristianJessen/status/202269118198591489/photo/1

    Jeg selv har modtaget et i samme boldgade, men ikke helt ens. Jeg trues med, at der lukkes for ens dankort/visakort/mastercard, hvis ikke jeg klikker sig ind og afleverer….. ja, afleverer de data, der kan bruges til at købe m.v. i mit navn.

    I øvrigt erfarer Version2 i dag, at Nets vil flytte driften op til Oslo http://www.version2.dk/artikel/nets-vil-flytte-nemid-drift-fra-aarhus-til-oslo-45421
    Det giver vel en vis sandsynlighed for, at der ved driftsforstyrrelser/angreb bliver lidt mere forvirring i kommunikationen.

    I øvrigt vil jeg også endnu en gang pege på, at skiftet fra det velkendte navn PBS til Nets m.v. ikke har gjort sikkerhedssituationen vedr. NemID bedre http://bizzen.blogs.business.dk/2012/02/20/pbss-idiotiske-navneskifte-til-nets-oger-risiko-ved-nemid/

Comments are closed.