Artikel top billede

Sådan kan NemID beskyttes mod "Man in the middle" angreb

Vi kan hjælpe bankerne, siger nystartede Codesealer.

Indførslen af NemID og dermed engangskodeord har styrket sikkerheden i danske netbanker. Men det er en stakket frist.

”Som sikkerhedsmand mener jeg klart, at engangspassword er vejen frem. Englænderne indførte det for snart tre år siden, og de havde et kraftigt dyk i antallet af netbanktyverier. Men efter et år begyndte antallet igen at stige. Hvorfor? Ganske simpelt fordi de kriminelle bare finder på mere raffinerede metoder til at stjæle fra os,” siger Lars Neupart, der er indehaver af sikkerhedsfirmaet Neupart A/S.

Han peger på de såkaldte Man-in-the-middle eller Man-in-the-browser-angreb, som NemID heller ikke er sikret imod. Men det er der måske råd for. Det nystartede sikkerhedsfirma Codesealer byder ind med en løsning.

”Man kan ikke forhindre den type angreb 100 procent, men deres teknik er den bedste, jeg har set, indtil videre, og derfor valgte jeg at hjælpe dem” siger Lars Neupart, der er med i Codesealers advisory board.
 

Vi gør NemID mere sikker

Codesealer blev stiftet i denne uge, og administrerende direktør Nicolaj Højer Nielsen mener, at firmaets patenterede løsning er den manglende sikkerhedsbrik i netbanker med NemID.

”Før NemID skulle de kriminelle bare have fat i vores brugernavn, kodeord og en nøglefil. Det kunne de gøre ved at sende vedhæftede filer eller lokke os ind på en hacket hjemmeside. Når de havde skaffet sig oplysningerne, kunne de i ro og mag tømme vores konto fra deres egen computer, og sende pengene ud af landet via muldyr,” forklarer Nicolaj Højer Nielsen.

Nu skal de kriminelle også opfange vores engangskodeord. Men det har de hurtigt formået at omgå.

”Der er udviklet programmer, som kan købes lovligt og billigt i Østeuropa, som kan lægge sig mellem banken og brugeren og få det til at se ud som om, at man er i færd med at overføre 100 kroner til mormor, men i virkeligheden overfører man 10.000 kroner til en bagmand,” forklarer Nicolaj Højer Nielsen om malware i stil med Zeus.

”Vores patenterede teknik ligger i baggrunden og opfanger, hvis der er nogen, der forsøger at pille ved forbindelsen mellem banken og brugeren eller ved indholdet af hjemmesiden, når den vises i brugerens browser,” siger Nicolaj Højer Nielsen, der har stiftet Codesealer sammen med Martin Staal Boesgaard.
 

Danskerne kan ikke finde ud af at opdatere 

Codesealer bliver altså ikke et forbrugerprodukt, som hr. og fru. Jensen skal købe. Det skal installeres direkte på bankernes servere, og det er der en god grund til.

”Vi er et usynligt produkt for forbrugeren. Hvis der er noget, der skal downloades, så ved vi historisk, at det aldrig lykkes. Selv om alle godt ved, at de skal huske at opdatere Windows og alle deres programmer, så er der alligevel altid nogen, som ikke gør det, og hvis en tredjedel ikke opdaterer, så er vi lige vidt,” siger Nicolaj Højer Nielsen.

Ifølge den administrerende direktør går mange banker i dag ud fra, at over 50 procent af deres kunders computere er kompromitteret. Derfor giver det god mening, at centralisere sikkerhedsindsatsen.

Helt konkret skubbes en Java-applet ud til brugeren, når han klikker ind på sin netbank. Appletten skal ikke signeres og kan derfor skubbes ud til brugerne i baggrunden - uden at de lægger mærke til det. Appletten ændrer sig cirka hvert femte minut og er unik fra bruger til bruger, hvilket giver de kriminelle et meget mindre vindue at operere i. Codesealer hævder, at firmaets patenterede teknologi i paksis gør det umuligt at hacke den applet, som sendes ud til kunden.

Codesealer blev officielt stiftet i denne uge, men der er arbejdet på teknikken i tre-fire år. I 2011 er der aftalt testperioder med flere banker – også danske.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere