Gå til innhold

Sikkerhet med BankID


Anbefalte innlegg

Frende forsikring er ute med tips for utenlandsferie hvor det bl.a. sies "Skal du bruke BankID? Ikke vær pålogget wifi i det hele tatt, bruk heller mobilt bredbånd." Dette kommer som sluttkommentar i en sak som advarer mot åpne (ukrypterte) wifi.

Er bankID så usikker at tilbydere av wifi kan gjøre man in the midle attacks? Etter hva jeg kan forstå er svaret ja. Det burde faktisk være relativt enkelt å stille seg selv imellom om man har administrativ tilgang til routeren hvor folks trafikk går igjennom.

 

Man trenger kontroll på DNS-server. Greieste veien til dette er å lage sin egen, og tilby den via DHCP. Siden mange bruker googles DNS kan det være kjekt å dst-nat'e disse ip'ene til sin egen DNS server.

Herfra er det to veier.

1)

I DNS må man endre slik at bankid objektet lastes fra en webserver man har kontroll på - altså et falskt bankid-objekt. Man sørger altså for at DNS for bankid peker til en annen server enn den offisielle. Det vil antagelig gi en sertifikatadvarsel hos brukeren. Mange brukere reagerer ikke på advarsler og går videre. Hvis man ønsker å unngå dette kan man dst-nat'e ip'ne til root CA til sin egen root CA. Hvor mye skal til for å lage en falsk root CA?

 

2)

I DNS må man endre slik at nettbankens webside går til en webserver man har kontroll på. Der ligger en lett modifisert utgave av nettbankens side. Folk er sjelden så våkne at de oppdager mangelen på httpS i urlen. Dermed slipper man å tenke på sertifikater. Den modifiserte banksiden laster en falsk bankid uten httpS.

 

Med falsk bankID objekt lastet inn hos brukeren vil brukeren kunne skrive inn sitt fødselsnummer, engangskode og passord. Brukeren kan så få en feilmelding om at noe gikk galt, prøv igjen. Brukeren vil da gjerne komme med en ny engangskode.

Nå gjelder det for hackeren manuelt å benytte seg av de to engangskodene raskt, mens de er gyldige.

 

Samme fremgangsmåte kan brukes for andre tofaktorautentiseringer.

 

Så, man løper altså en sikkerhetsrisiko hver gang man ikke er påpasselig å sjekke at det står httpS i url'en hver gang man skal gi fra seg informasjon.

 

Så kommer spørsmålet: blir det noe sikrere om man bruker mobilt bredbånd?

Et bedre sikkerhetstips er kanskje å høre med arbeidsgiver om de kan tilby ferievpn til sine ansatte. Jeg har satt opp slik tjeneste hos mine kunder og oppfordret de til å informere de ansatte om tilbudet. Men er det utro tjenere hos arbeidsgivers nettleverandør er man jo like langt. Det hele blir et spørsmål om hvem man skal stole på. Jeg tenker at det er bedre å stole på EN nettleverandør enn tilfeldige leverandører der man reiser.

  • Liker 1
Lenke til kommentar
Videoannonse
Annonse
Med mindre man driver som nettleverandør selv så må man stole på noen, spørsmålet blir da som du sier hvem skal man stole på. Men jo, er enig med deg at det er bedre å stole på EN enn alle de man kobler til der man reiser. Men mobilt bredbånd er vel litt sikere vil jeg tro, det skal vel mer til for en angiper å få kontoll over et slikt nettverk. Men hvis man skal sørge for at det er sikrere så må man hvertfall skru av wifi helt eller så er man like langt, en angriper kan jo sette opp et falskt wifi nettverk hvor som helst egentlig og har du wifi aktivert så kan det kobles til automatisk uten at du merker det. 

 

Jeg har ikke hørt om noen som har satt opp et falskt mobilt nettverk før, men det er sikkert mulig det også og da er du vel også like langt. Men da må man jo kansje vite hvilken leverandør "målet" bruker og klone den på en eller annen måte? Så når alt kommer til alt så er det bedre å stole på EN leverandør hele tiden (les VPN) enn å riskikere å møte på feil nettverk, er min mening hvertfall. Blir litt det motsatte av lotto egentlig, med VPN så vinner du mest sannynlig hver gang, men bruker du det ikke kan du risikere å tape.

 

Edit: Hvilken artikkel er det du refererer til forresten?

Endret av strike_
Lenke til kommentar

Eg har lite tru på at bruk av mobildata er særleg mykje tryggare.

 

Det å sette opp eit falskt wifi-nettverk krever berre ein PC med wifi.

Å sette opp eit falsk GSM nettverk koster ca $ 500, som ikkje er særleg dyrt. Fordelen med eit falskt GSM nettverk er at dersom brukarane trur at mobilnettverket er tryggare og derfor i større grad bruker dette nettverket til kommunikasjon som dei vil holde privat, samt at brukaren i mykje mindre grad har kontroll på kva GSM sendar mobilen koblar seg opp mot.

Lenke til kommentar

Jeg har sett saken referert i diverse medier de siste dagene. Bl.a. her

https://www.hegnar.no/Nyheter/Naeringsliv/2019/07/Denne-sommertabben-kan-koste-deg-dyrt

 

Man trenger ikke sette opp et falsk wifi. Wifi kan være så ekte det bare vil. Poenget er at en person med skumle intensjoner har administrativ tilgang. Jeg har over 100 hotelldøgn (og under 50 hjemmedøgn) så langt i år. Flere ganger har wifi-frekvens vært så forstyrret på mitt hotellrom at jeg har sett på muligheten til å endre denne, og i de fleste tilfeller har det vært fritt frem med default passord for å komme inn på hotellets router for å endre innstillinger slik at jeg fikk stabilt nett. Altså kan man risikere at nettverksadministrator på hotellet man besøker er en annen, eller t.o.m en tidligere gjest ved hotellet. De kan t.o.m være en som bare satt utenfor på trappa i noen minutter for flere år siden.

Jeg antar at forholdene på cafeer og resturanter ikke er særlig anderledes.

 

Nå hører det med at de jeg nettene jeg har vært innom og justert litt også bruker så simpelt utstyr at de mangler muligheten til f.eks. dst-nat på utgående forbindelser. Dermed vil en gjest som skal gjennomføre dette ha behov for å koble en ekstra boks til hotellets nett. Det kan være f.eks den minste mikrotik'en som er mindre enn en mobiltelefon og kan gjemmes hvor som helst hvor det finnes en stikkontakt. F.eks i himling eller bak et skap.

 

Falske mobilnett krever investering i utstyr, men det er ikke vanskelig. Det er jo ikke mer enn 2-3 år siden det dukket opp en haug av falske basestasjoner i oslo, om jeg minnes rett. Slikt utstyr kan stå i en parkert bil, hvor som helst. Det er bare nasjonalt at telefonen knytter seg opp til sim-leverandørens nett. Så fort man er utenlands velges tilsynelatende sterkeste nett. Noe overraskende velger t.o.m norske telenor-mobiler ikke nødvendigvis svenske telenor-basestasjoner når de kommer til sverige. Bi-effekten av det er at utlendinger ofte har bedre dekning enn lokale, ettersom utlendingene stadig hopper til beste basestasjon, uavhengig av nett, mens de lokale ikke får bedre dekning enn den deres tilbyder gir på akkurat det stedet. Men sansynligheten for at noen skal benytte bankID mens de passerer en falsk basestasjon er ikke særlig stor. Man må sørge for at basen er sterkeste sender der folk vil sette seg og betale regninger. Det er ikke nødvendigvis så enkelt når mange hoteller har ekte basestasjon på taket.

 

Jeg tenkte videre på det jeg skrev i går. Er det virkelig så enkelt å lage en falsk root-CA som å nat'e CA'nes ip til sin egen server? Gjør browsere noen sjekk om root-CA'n de har kontakt med er ekte? Hvordan gjøres i så fall den sjekken?

Lenke til kommentar
Gjest Slettet-t8fn5F

Du trenger ikke bruke mobil eller være tilkoblet WiFi for å bruke BankID. Da har du sannsynligvis innstalert en app som emulerer kodebrikken. Det skal du ikke trenge i 2019. BankID er et program som ligger på simkortet.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...