Artikel top billede

Sådan kan NemID beskyttes mod "Man in the middle" angreb

Vi kan hjælpe bankerne, siger nystartede Codesealer.

Indførslen af NemID og dermed engangskodeord har styrket sikkerheden i danske netbanker. Men det er en stakket frist.

”Som sikkerhedsmand mener jeg klart, at engangspassword er vejen frem. Englænderne indførte det for snart tre år siden, og de havde et kraftigt dyk i antallet af netbanktyverier. Men efter et år begyndte antallet igen at stige. Hvorfor? Ganske simpelt fordi de kriminelle bare finder på mere raffinerede metoder til at stjæle fra os,” siger Lars Neupart, der er indehaver af sikkerhedsfirmaet Neupart A/S.

Han peger på de såkaldte Man-in-the-middle eller Man-in-the-browser-angreb, som NemID heller ikke er sikret imod. Men det er der måske råd for. Det nystartede sikkerhedsfirma Codesealer byder ind med en løsning.

”Man kan ikke forhindre den type angreb 100 procent, men deres teknik er den bedste, jeg har set, indtil videre, og derfor valgte jeg at hjælpe dem” siger Lars Neupart, der er med i Codesealers advisory board.
 

Vi gør NemID mere sikker

Codesealer blev stiftet i denne uge, og administrerende direktør Nicolaj Højer Nielsen mener, at firmaets patenterede løsning er den manglende sikkerhedsbrik i netbanker med NemID.

”Før NemID skulle de kriminelle bare have fat i vores brugernavn, kodeord og en nøglefil. Det kunne de gøre ved at sende vedhæftede filer eller lokke os ind på en hacket hjemmeside. Når de havde skaffet sig oplysningerne, kunne de i ro og mag tømme vores konto fra deres egen computer, og sende pengene ud af landet via muldyr,” forklarer Nicolaj Højer Nielsen.

Nu skal de kriminelle også opfange vores engangskodeord. Men det har de hurtigt formået at omgå.

”Der er udviklet programmer, som kan købes lovligt og billigt i Østeuropa, som kan lægge sig mellem banken og brugeren og få det til at se ud som om, at man er i færd med at overføre 100 kroner til mormor, men i virkeligheden overfører man 10.000 kroner til en bagmand,” forklarer Nicolaj Højer Nielsen om malware i stil med Zeus.

”Vores patenterede teknik ligger i baggrunden og opfanger, hvis der er nogen, der forsøger at pille ved forbindelsen mellem banken og brugeren eller ved indholdet af hjemmesiden, når den vises i brugerens browser,” siger Nicolaj Højer Nielsen, der har stiftet Codesealer sammen med Martin Staal Boesgaard.
 

Danskerne kan ikke finde ud af at opdatere 

Codesealer bliver altså ikke et forbrugerprodukt, som hr. og fru. Jensen skal købe. Det skal installeres direkte på bankernes servere, og det er der en god grund til.

”Vi er et usynligt produkt for forbrugeren. Hvis der er noget, der skal downloades, så ved vi historisk, at det aldrig lykkes. Selv om alle godt ved, at de skal huske at opdatere Windows og alle deres programmer, så er der alligevel altid nogen, som ikke gør det, og hvis en tredjedel ikke opdaterer, så er vi lige vidt,” siger Nicolaj Højer Nielsen.

Ifølge den administrerende direktør går mange banker i dag ud fra, at over 50 procent af deres kunders computere er kompromitteret. Derfor giver det god mening, at centralisere sikkerhedsindsatsen.

Helt konkret skubbes en Java-applet ud til brugeren, når han klikker ind på sin netbank. Appletten skal ikke signeres og kan derfor skubbes ud til brugerne i baggrunden - uden at de lægger mærke til det. Appletten ændrer sig cirka hvert femte minut og er unik fra bruger til bruger, hvilket giver de kriminelle et meget mindre vindue at operere i. Codesealer hævder, at firmaets patenterede teknologi i paksis gør det umuligt at hacke den applet, som sendes ud til kunden.

Codesealer blev officielt stiftet i denne uge, men der er arbejdet på teknikken i tre-fire år. I 2011 er der aftalt testperioder med flere banker – også danske.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Digital kundeservice: Kom godt i gang med chatbots

Der er store gevinster at hente med chatbots, som kan håndtere en stor del af kommunikationen med brugere - både de eksterne som kunder og de interne som medarbejdere.Og lige rundt om hjørnet venter næste generation, nemlig de stemme-baserede chatbots, som står på skuldrene af de stemmestyrede home-devices som Amazons Alexa og Google Home.

07. december 2021 | Læs mere


Can AI bring value to your business?

You will learn how AI has been successfully used to enhance an existing business where artificial intelligence is deployed to work complementary to natural intelligence in a complex data process. And you will be presented with a business case where AI provides the possibilities of creating a completely new business platform, that would not otherwise have been possible.

08. december 2021 | Læs mere


Sådan styrker du din forsyningskæde gennem digitalisering

I dette webinar bygger CGI's eksperter bro mellem de overordnede, strategiske aspekter af den digitale værdikæde og mere konkret de nye muligheder, Intelligent Order Management til Microsoft Dynamics 365 FO byder på.

09. december 2021 | Læs mere