Hacking - Netbank-tyve snyder NemId

[poulb]

http://epn.dk/teknologi2/computer/sikkerhed/article2691527.ece.

Kan dette lade sig gøre på en Ubuntu eller OSx PC ?

Jeg kom i en diskussion, hvor jeg fagligt må melde pas, da jeg ikke er programør på det niveau virus idag kodes.

Min ven [det er han endnu ] mener at Linux overfor dette ikke er et hak bedre end Windows. Kun undgået p.g.a den lille markedsandel.

Kan jeg få nogle argumenter...
Tak
vh
Poul

[NickyThomassen]

Din ven har ret

Jeg ved så ikke om det var sådan et argument du håbede på?
Omend det heldigvis er mere omfattende at installere malware af den type på et Linux-system, så kan det sagtens lade sig gøre hvis brugeren af systemet vel at mærke enten surfer nettet som root, eller er villig til at skrive root's adgangskode så malwaren kan blive installeret. Derefter vil det gå som i Windows.

Det med at undgå IT-problemer ved at bruge et ikke-standard system hedder forresten "security through obscurity".
http://en.wikipedia.org/wiki/Security_through_obscurity

Det i sig selv hæver sikkerheden betragteligt, men nu er Linux jo heldigvis (eller desværre i disse tilfælde) ret godt dokumenteret.

[Stra]

Det har intet med den lille andel at brugere at gøre, men sandsynligheden for at det sker på en Ubuntu maskine er selvfølgelig mindre, hvis man kun installerer fra PPA eller pakkearkiverne.

Yderligere informationer om problemet http://www.version2.dk/artikel/breaking-netbanktyve-bryder-gennem-nemid-igen-stjaeler-700000-43471

[poulb]

Din ven har ret

Jeg ved så ikke om det var sådan et argument du håbede på?

Nej - nærmest det modsatte... som du korrekt fornemmede.
vh
poul

[poulb]

Din ven har ret
Jeg ved så ikke om det var sådan et argument du håbede på?
Omend det heldigvis er mere omfattende at installere malware af den type på et Linux-system, så kan det sagtens lade sig gøre hvis brugeren af systemet vel at mærke enten surfer nettet som root, eller er villig til at skrive root's adgangskode så malwaren kan blive installeret. Derefter vil det gå som i Windows.

Surfe som root er vel ikke et problem, da jeg kun bruger "root" sporadisk ved f.eks via synaptics. Men kan der ikke i f.eks Firefox-profilen skrives Javakode som kan kompromitere under normal "userID" - eller skal kompromiterende kode installeres som xpi. Så vil jeg 100% sikkert opdage det, da jeg jo vil blive bedt om at acceptere det.

Det med at undgå IT-problemer ved at bruge et ikke-standard system hedder forresten "security through obscurity".
http://en.wikipedia.org/wiki/Security_through_obscurity

Hvis et system kompromiteress af et spejlende system som sender kode i synkron med indtastningerne, skal der vel som minimum være en aktiv proces som via en åben port kommunikerer selvstændigt ud på en IP - et eller andet sted på nettet. Kan en sådan process ikke monitreres ?
Jeg har tidligere brugt en firewall kaldet "Zone Alarm" som gav mig mulighed for at følge alle processer som åbnede en port til nettet. Jeg har ikke kunnet finde et egnet "port"-monitrerings system

Det i sig selv hæver sikkerheden betragteligt, men nu er Linux jo heldigvis (eller desværre i disse tilfælde) ret godt dokumenteret.

"security through obscurity" gælder vil kun så længe offeret er tilstrækkelig uinteressant. På baggrund af det sidste angreb på NemID fremføres nu...
Citat: Rådet for Større IT-sikkerhed efterspørger mere åbenhed om NemID-konstruktionen.
NemID var altså interessant nok !!!
Vh
Poul

[NickyThomassen]

Det har intet med den lille andel at brugere at gøre, men sandsynligheden for at det sker på en Ubuntu maskine er selvfølgelig mindre, hvis man kun installerer fra PPA eller pakkearkiverne.

Nej, det er vi mere eller mindre enige i. Jeg tog kun stilling til om en bruger af et Linux-system potentielt kunne udnyttes ligesom en Windows-bruger, og ikke om hvad grunden til at det åbenbart ikke er sket endnu er. Men selvfølgelig, jo mere brugt et stykke software er, jo flere kræfter må man gå ud fra at der bliver brugt på at misbruge det. Så fejl og mangler der ikke tidligere var opdaget, bliver fundet. Se fx en obskur fejl som denne http://arstechnica.com/business/news/2011/12/huge-portions-of-web-vulnerable-to-hashing-denial-of-service-attack.ars

Hvis man spekulerer lidt over citatet

Security is, as we all know, a process, not a product

( http://www.securityfocus.com/columnists/188 )

Så tror jeg at en del af svaret skal findes der. Har man først fundet ud af at installere Linux og bruge det i dagligdagen, så taler sandsynligheden for at man kender nok til sikkerhed til at man undgår de farlige situationer (en pointe han også gør i artiklen). Resten af svaret ligger så i overlegen software (hvis det er tilladt at mene det?), hvor noget så simpelt som filrettigheder ikke eksistere i Windows og firewalls og antivirus først er blevet inkluderet efter 25-30 år på markedet.

[eyvind]

Men - hvis du som jeg bruger en 2 GB memorystick med et linux styresystem, der så ikke bruges til noget andet en at gå i banken og andet hvor jeg behandler personlige koder / oplysninger...........................kan der ikke komme nogen ind og "drille"
Det er et lille EEEbuntu 2 standard Live med persistens.
Den er default sat til at gå direkte til netbank og klar til indtastning af bruger og adgangskode, ved klik på cromium-browser.

[NickyThomassen]

Surfe som root er vel ikke et problem, da jeg kun bruger "root" sporadisk ved f.eks via synaptics. Men kan der ikke i f.eks Firefox-profilen skrives Javakode som kan kompromitere under normal "userID" - eller skal kompromiterende kode installeres som xpi. Så vil jeg 100% sikkert opdage det, da jeg jo vil blive bedt om at acceptere det.

En del af sikkerheden omkring Linux kommer netop i at den daglige brug sker med en bruger der ikke kan ændre systemet, og at man køre pakkehåndteringen som root med jævne mellemrum ændrer heldigvis ikke ved det. Men jeg er mere i tvivl om der kan installeres noget igennem Firefox. Umiddelbart tror jeg godt at det kan lade sig gøre, men det burde ikke kunne give andre problemer end at Firefox opfører sig lidt underligt, netop fordi at man skal acceptere at software bliver installeret med sin kode.

Kan en sådan process ikke monitreres ?
Jeg har tidligere brugt en firewall kaldet "Zone Alarm" som gav mig mulighed for at følge alle processer som åbnede en port til nettet. Jeg har ikke kunnet finde et egnet "port"-monitrerings system

Med tanke på den bedre kontrol man har over hvilket tjenester der kører i baggrunden, så ville jeg ikke mene at det er nødvendigt. Men du kunne fx prøve med at pakkesniffer-program som wireshark, eller ganske enkelt med denne kommando i en terminal:

Kode: Vælg alt

netstat -an

Den giver en del output som kan være besværligt at læse direkte i terminalen, men resultatet kan gemmes i en fil med følgende kommando:

Kode: Vælg alt

netstat -an > ~/Skrivebord/porte

Bruger du engelsk skal Skrivebord lige ændres.

Men det er værd at nævne at Linux har indbygget firewall, du kan se mere her
https://secure.wikimedia.org/wikipedia/en/wiki/Iptables
Artiklen er lidt lang i det, det vigtigste er at der kun lyttes på porte som et program har åbnet.

"security through obscurity" gælder vil kun så længe offeret er tilstrækkelig uinteressant. På baggrund af det sidste angreb på NemID fremføres nu...
Citat: Rådet for Større IT-sikkerhed efterspørger mere åbenhed om NemID-konstruktionen.
NemID var altså interessant nok !!!

Spørgsmålet er måske også om NemID ikke altid vil være være et mål for hackere? Men ellers har du ret, "security through obscurity" virker nok bedst hvis man ikke er så spændene et mål

[lath]

Bonus kommentar der lige reparer på en udbredt misforståelse:

iptables programmet er ikke firewallen i Linux distributioner.

Firewallen er en del af Linux, altså kernen.

iptables er lige som ufw, gufw og andre firewall programmer et administrationsprogram til firewallen inde i kernen.
For at være lidt teknisk så snakker programmet med kernen via noget der hedder Netlink (AF_NETLINK) sockets.

Det burde vel være muligt at finde en pakke med et program der vises hvilke forbindelser der er ud og indad set fra computeren - og jeg formoder at det gerne må være med desktop integration.
Den findes helt sikkrt blandt de 30.000+ pakker der er, men jeg kender ikke lige navnet på den.

der findes en del programmer til at søge efter pakker: synaptics, ara (terminal), xara-gtk, og packagesearch

Klik på apt linket for at installere pakken. Det virker kun hvis du har apturl pakken installeret, og bruger firefoxen.
Du installere apturl således:

Kode: Vælg alt

sudo apt-get --assume-yes install apturl

/Lars

[NickyThomassen]

Bonus kommentar der lige reparer på en udbredt misforståelse:

iptables programmet er ikke firewallen i Linux distributioner.

Firewallen er en del af Linux, altså kernen.

Oh, der kan man bare se.
Jamen jeg takker for uddybelsen

[lath]

De seneste 2 angreb kan NemId ikke sig imod - det er umligt, sådan som de (DanId, der er ejet af Nets - tidligere PBS, som er ejet af bankerne i Danmark) har konstrueret den.

Det vigtigste er at den private nøgle er opbevaret hos DanId, så det er muligt for DanId at udgive sig for at være dig, og hæve dine penge (identitetstyveri) - og det er uden at du kan bevise at du ikke har logget ind.

Det værste er at NemId bliver tvunget ned over os fra staten som eneste løsning til at logge ind. Tænk på hvad identitetstyveri gør det muligt at lave at ravage i en person liv her: Tænk låne penge i andre personers navn.

Vi mangler faktisk bare et angreb der hæver milliader af kr fra 100.000'er af danskeres konti, lader folk flytte rundt omkring, sælger deres huse for 1 krone/stk. Sådan et angreb er muligt hvis det ført lykkedes black hats at komme ind i DanIds servere og få fat i alle private nøgler, for så kan de generere alle de pap-kort koder de har brug for.

Et antivirusprogram opdagede for nyligt at en jar fil (som kun bør indeholde javakode) indeholdt native kode i billede filer (*.gif filer) inde i *.jar filen.
Antivirus programmet markerede den som virus/malware, da det er en meget anvendt metode af black hats.
Læs artiklerne:

• http://www.version2.dk/artikel/-mcafee-advarer-om-virus-i-nemid-32702
• http://www.version2.dk/artikel/derfor-udloeser-nemid-applet-en-virusalarm-32733
• http://www.version2.dk/artikel/login-applet-til-nemid-camouflerer-exe-fil-som-gif-32706
  Exe fil skal forstås som gif filer der er maskinkode til Windows, Mac OS X, og Linux.
  Koden indsamler oplysninger og dig og din computer.
  Bemærk at det her kode kan udskiftes til en trojansk hest fra Politiets EfterretningsTjeneste (PET) et fremmed lands efterretningstjeneste, eller en black hat. Bemærk at trojaner-koden skal naturligvis stadig supportere Nemid, for ellers virker NemId ikke.
• http://www.version2.dk/artikel/danid-ja-vi-staar-bag-de-fire-skjulte-programfiler-i-nemid-32745
• http://www.version2.dk/artikel/itu-lektor-om-skjult-kode-i-nemid-en-rigtig-daarlig-ide-32720
• http://www.version2.dk/artikel/danid-vi-holder-sikkerheden-hemmelig-goere-livet-surt-de-kriminelle-32772
• http://www.version2.dk/artikel/mcafee-til-danid-lad-vaer-med-skjule-programfiler-som-gif-billeder-32747

Læs alle kommentarerne til hver artikel: de giver næsten endnu mere information end selve artiklen
I 3. link dissekeres gif filerne offentligt, som de malware filer man berettiget kan betragte dem som.

• På det tidspunkt vidste man ikke om det var noget DanId havde lavet, eller det var noget blackhats havde lavet - altså at Nemids servere var blevet hacket, og at alle NemId brugere dermed var blevet inficeret med malware på alle Windows,Mac OS X, og Linux systemer der findes.

Du bør bruge et seprerat brugernavn i ubuntu til NemId. husk at statrte dpkg-reconfigure, og vælg at andre brugere ikke skal kunne se dine filer i /home (ingen spionage fra andre brugerkonti til filer i din /home mappe). Endnu bedre er et helt styresystem i Virtual Box.
Bedst er at bruge f.eks. Lubuntu med f.eks. firefox der starter på din banks nemid login side og så Java, og ikke mere på en gammel computer (husk at køre softwareopdatering før login).

God læsning.

/Lars

[eyvind]

Endnu bedre er et helt styresystem i Virtual Box.

Eller en pendrive med styresystem der booter op via USB > firefox / cromium direkte til net bank.................som jeg gør.
Den pendriver surfer aldrig på nettet eller mailer - kun bankbesøg.

[NickyThomassen]

Ja, en løsning som NemID udgør i sig selv et stort sikkerhedsproblem. Jo flere æg man placere i én kurv, jo større chance er der for at man mister dem alle.

For nogle år siden læste jeg om en fyr der var taget på 6 måneders studietur i udlandet, bare for at komme hjem til en kæmpe gæld og retsmæssige konsekvenser. Det vidste sig at en tyv var gået ned i den lokale kirke, og havde fået en kopi af fyrens dåbsattest på hans glatte ansigt. Men huskede efterfølgende i kirken at tyven havde snakket om at han havde fået stjålet alle sine ting. Med dåbsattesten kunne tyven så købe et pas på den lokale politigård (det var inden borgerservice overtog), og et pas er alt hvad man skal bruge for at oprette en massiv gæld.

Politiets efterforskning fandt, så vidt jeg husker, ikke tyven, og fyren stod mere eller mindre alene med ansvaret om at bevise at det faktisk ikke var ham der havde lånt alle de penge. Og det på trods af at politiet efterforskede sagen.

Pointen er, at dette kunne én tyv gøre imod én anden fyr, tænk så på hvad en gruppe af hackere kan få ud af NemID.

[eyvind]

Og det mærkelige ved nemID er at brugernavnet er givet på forhånd................personnummer.
Personnummer bruges næsten alle steder.

[Stra]

Og det mærkelige ved nemID er at brugernavnet er givet på forhånd................personnummer.
Personnummer bruges næsten alle steder.

Du kan vælge dit eget brugernummer og så anvende det i stedet for personnummer. Ændres hos nets, under din konto.