Indførslen af NemID og dermed engangskodeord har styrket sikkerheden i danske netbanker. Men det er en stakket frist.
”Som sikkerhedsmand mener jeg klart, at engangspassword er vejen frem. Englænderne indførte det for snart tre år siden, og de havde et kraftigt dyk i antallet af netbanktyverier. Men efter et år begyndte antallet igen at stige. Hvorfor? Ganske simpelt fordi de kriminelle bare finder på mere raffinerede metoder til at stjæle fra os,” siger Lars Neupart, der er indehaver af sikkerhedsfirmaet Neupart A/S.
Han peger på de såkaldte Man-in-the-middle eller Man-in-the-browser-angreb, som NemID heller ikke er sikret imod. Men det er der måske råd for. Det nystartede sikkerhedsfirma Codesealer byder ind med en løsning.
”Man kan ikke forhindre den type angreb 100 procent, men deres teknik er den bedste, jeg har set, indtil videre, og derfor valgte jeg at hjælpe dem” siger Lars Neupart, der er med i Codesealers advisory board.
Vi gør NemID mere sikker
Codesealer blev stiftet i denne uge, og administrerende direktør Nicolaj Højer Nielsen mener, at firmaets patenterede løsning er den manglende sikkerhedsbrik i netbanker med NemID.
”Før NemID skulle de kriminelle bare have fat i vores brugernavn, kodeord og en nøglefil. Det kunne de gøre ved at sende vedhæftede filer eller lokke os ind på en hacket hjemmeside. Når de havde skaffet sig oplysningerne, kunne de i ro og mag tømme vores konto fra deres egen computer, og sende pengene ud af landet via muldyr,” forklarer Nicolaj Højer Nielsen.
Nu skal de kriminelle også opfange vores engangskodeord. Men det har de hurtigt formået at omgå.
”Der er udviklet programmer, som kan købes lovligt og billigt i Østeuropa, som kan lægge sig mellem banken og brugeren og få det til at se ud som om, at man er i færd med at overføre 100 kroner til mormor, men i virkeligheden overfører man 10.000 kroner til en bagmand,” forklarer Nicolaj Højer Nielsen om malware i stil med Zeus.
”Vores patenterede teknik ligger i baggrunden og opfanger, hvis der er nogen, der forsøger at pille ved forbindelsen mellem banken og brugeren eller ved indholdet af hjemmesiden, når den vises i brugerens browser,” siger Nicolaj Højer Nielsen, der har stiftet Codesealer sammen med Martin Staal Boesgaard.
Danskerne kan ikke finde ud af at opdatere
Codesealer bliver altså ikke et forbrugerprodukt, som hr. og fru. Jensen skal købe. Det skal installeres direkte på bankernes servere, og det er der en god grund til.
”Vi er et usynligt produkt for forbrugeren. Hvis der er noget, der skal downloades, så ved vi historisk, at det aldrig lykkes. Selv om alle godt ved, at de skal huske at opdatere Windows og alle deres programmer, så er der alligevel altid nogen, som ikke gør det, og hvis en tredjedel ikke opdaterer, så er vi lige vidt,” siger Nicolaj Højer Nielsen.
Ifølge den administrerende direktør går mange banker i dag ud fra, at over 50 procent af deres kunders computere er kompromitteret. Derfor giver det god mening, at centralisere sikkerhedsindsatsen.
Helt konkret skubbes en Java-applet ud til brugeren, når han klikker ind på sin netbank. Appletten skal ikke signeres og kan derfor skubbes ud til brugerne i baggrunden - uden at de lægger mærke til det. Appletten ændrer sig cirka hvert femte minut og er unik fra bruger til bruger, hvilket giver de kriminelle et meget mindre vindue at operere i. Codesealer hævder, at firmaets patenterede teknologi i paksis gør det umuligt at hacke den applet, som sendes ud til kunden.
Codesealer blev officielt stiftet i denne uge, men der er arbejdet på teknikken i tre-fire år. I 2011 er der aftalt testperioder med flere banker – også danske.