Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 23. september 2005.
En trojansk hest og et program, der registrerer tryk på tastaturet, er nok til, at en hacker kan stjæle den digitale signatur. Det åbner
mulighed for identitetstyveri i hidtil uset omfang.
De seneste dages byger af angreb fra virussen Bagle kan være mere farlige, end det umiddelbart ser ud til. Bagle åbner nemlig bagdøre på inficerede pc'er, og det giver mulighed for, at personer med onde hensigter kan stjæle den digitale signatur ud af hænderne på en dansker, der træder uforsigtigt ind i den digitale selvbetjeningsverden. Her øges mængden af stærkt personfølsomme oplysninger samtidig dag for dag, og den kombination bekymrer sikkerhedseksperter.
- Det kræver ikke meget mere end et par tastetryk, før en hacker har fri og uhindret adgang til det hele, siger it-
sikkerhedskonsulent Peter Kruse fra sikkerhedsfirmaet CSIS.
Han har selv har haft succes med at stjæle en persons digitale signatur - med personens samtykke.
- Det er en meget enkelt proces, hvor man kan skaffe sig den totale kontrol med alt, hvad der foregår på brugerens maskine. Dermed kan man fuldstændigt overtage en anden persons identitet, siger Peter Kruse, der i forsøget sendte testpersonen en trojansk hest på en mail, og derefter aflurede tastetryk for til sidst at downloade signaturen.
Herefter loggede han ind på ToldSkats website og havde fri adgang til alle økonomiske oplysninger om testpersonen.
- Det viser, at signaturen ikke er mere sikker end den pc, den ligger på, siger Peter Kruse.
Fidusen med at bryde ind via en bagdør og en såkaldt keylogger er velkendt og har tidligere været brugt til et netbank-
tyveri. Her fik en dansker lænset sin konto, fordi en hacker havde stjålet hans nøgle til netbanken og opsnappet hans tastetryk. Hackeren blev dog hurtigt fanget.
Endnu har der ikke været meldt om tyverier af den digitale signatur, men mængden af personfølsomme oplysninger på nettet øges konstant med nye tjenester. Eksempelvis på sundhed.dk, hvor man kan se sine hospitalsbehandlinger i det nationale landspatientregister.
Netop den stigende mængde af personfølsomme oplysninger bekymrer sikkerhedseksperten Preben Andersen fra DK-CERT. Han understreger, at sikkerheden i selve den digitale signatur er god, og at risikoen er minimal, hvis man sikrer, at pc og applikationer er opdaterede.
- It-krimininalitet er oftest drevet af et økonomisk motiv, og jeg tvivler på, at nogen gider bryde ind for at flytte en persons børn over i en anden børnehave. Men når oplysningerne bliver meget personlige, begynder tanken om identitetstyveri at blive meget ubehagelig, siger Preben Andersen.
Den lette adgang til personfølsomme oplysninger foruroliger også sikkerhedseksperten Steen Pedersen fra Ementor. Han efterlyser en central logning af brugen af den digitale signatur, så man til enhver tid kan se, hvor den har været brugt og hvornår.
- Problemet er, at de fleste ikke er klar over det, hvis deres pc er inficeret med en sikkerhedsbrist. Der kan gå lang tid, før man opdager, at signaturen misbruges og spærrer den, siger Steen Pedersen.
TDC, der distribuerer den digitale signatur, er helt på det rene med, at en bagdør og et program, der registrerer tryk på tastaturet, er nok til at stjæle en anden persons identitet. Umiddelbart kan firmaet ikke gøre ret meget ved problemet, fordi risikoen ikke direkte er forbundet til signaturen, men derimod til brugerens pc, som TDC ikke har kontrol over.
Til gengæld arbejder TDC med løsninger, som skal gøre det sværere at stjæle signaturen - blandt andet en USB-nøgle med en signatur til brug for folk, der ikke tør efterlade signaturen på deres pc.
- Vi arbejder hele tiden på at gøre signaturen mere robust over for misbrug med standardværktøjer, som det her må siges at være. Men det bedste, vi kan gøre, er, at opfordre brugerne til et højt sikkerhedsniveau og så spærre signaturen, hvis vi får mistanke om misbrug, siger Morten Storm Petersen, afdelingsleder i TDC Certificering.
Indtil videre er 442.000 digitale signaturer udstedt. De kan bruges på mere end 90 forskellige websites.
Tema om digitale signaturer,
side 24-25
Ugen i Virus og Spam, side 26
