Mjuka Certifikat - tillräckligt säker lösning? SUSEC 2004 Bosse Norgren
Hårda eller mjuka lösningar? Hårda lösningar Exempelvis ’dosa’ eller ’skraplott’ Genererar engångskod Mjuka lösningar Datafiler (privat nyckel, certifikat) som lagras på hårddisken Kombineras med pinkod Åtkomst av filen (filerna) + pinkod = IDENTITET STULEN
Varför mjuk lösning? Vanligt argument: ”Den största fördelen med mjuka lösningar är att de är enkla att använda.” Ulla, 80: ”Jag har börjat med släktforskning och har just köpt min första dator. Hur fungerar det egentligen?” Ett exempel på hur enkelt man kan beskriva funktionaliteten…
Enkelhet? BankID - FAQ: ”Finns det inte någon DNS adresstjänst tillgänglig från den dator där BankID ska användas så fungerar inte tjänsten. Detta beror på att man av säkerhetsskäl måste kunna slå upp IP-adresser från Hostnamn via DNS-tjänsten. Om denna tjänst införs i nätverket kommer det att vara möjligt att använda BankID även om den aktuella datorn är ansluten bakom en webb-proxy.”
Säkerhet? Skandiabanken - hur är teknik/säkerhet uppbyggd: ”Den privata nyckeln är hemlig och kan endast initieras av användaren genom ett lösenord. Säkerheten i BankID är beroende av att detta lösenord förblir hemligt.” ”Om du av någon anledning misstänker att någon kommit över ditt lösenord eller gjort intrång på din dator m m ska du omedelbart spärra certifikatet.”
Ansvar? Nordea: 6. Certifikatinnehavarens skyldigheter Certifikatinnehavaren ansvarar för hur certifikatet används och står risken för om någon obehörig använt certifikatet 7. Ansvar för uppkomna förbindelser Certifikatinnehavaren svarar ensam för alla förpliktelser som uppkommer som en följd av att certifikatet används
Nyhetsbyrån AP 040205: ”Onlineröstning via Internet hot mot amerikansk demokrati.” SERVE (Secure Electronic Registration and Voting Experiment) 100.000 utlandsbaserade medborgare skulle kunna rösta via Nätet from feb 2004 Nedlagt pga säkerheten inte kan garanteras ”Det går inte att verifiera att det är rätt person som faktiskt röstar.”
Fall A - bakgrund Januari 2002: Adam bor i Västerås Datafirma ringer och undrar varför han vill ha beställda produkter levererade till en adress i Göteborgstrakten Adam anmäler till X-banken att någon (annan än han själv) gjort inköpen som belastat ett av hans bankkonton
Fall A - inledning Februari 2002: X-banken gör polisanmälan Bifogar loggar som visar inloggning med Adams kontouppgifter från: Ett internetkonto hos Swipnet Ett ADSL-abonnemang hos Telia Inloggningarna har skett med någon dags mellanrum Adams dator har spår av trojanprogram
Fall A - spårning Swipnetkontot: Teliakontot: En kvinna på Lidingö, Berta Uppkoppling har skett från en mobiltelefon med kontantkort Teliakontot: Ett yngre par i Göteborgstrakten, Cesar och Cecilia
Fall A - husrannsakan 1 Berta har ingen dator Däremot har hennes två tonåriga söner det Inga spår efter Adams kontouppgifter i datorn
Fall A - husrannsakan 2 Cesar grips när han kliver av tåget Husrannsakan i lägenheten Analys av en stationär dator Inga spår efter Adams kontouppgifter, men… … i lägenheten finns en trådlös accesspunkt Cesar har köpt AP:n och kopplat in den, men inte använt den Ingen bärbar dator
Fall A - vad har hänt? Två möjliga scenarier: Någon har suttit utanför Cesars och Cecilias lägenhet och kopplat upp sig trådlöst via deras ADSL-konto Cesar har kopplat upp sig själv från en bärbar dator som förvaras i bankfack eller hos en kompis
Fall A - vad kan vi göra åt det? Jag skulle vilja påstå att vi är rökta i båda fallen om vi inte kan: ta gärningsmannen på bar gärning i en bil utanför lägenheten hitta Cesars bärbara burk
Fall B - bakgrund Aktörer: Gärningsmannen Doktoranden på KTH Företaget - Ekonomiansvarig har tillstånd jobba hemifrån via PC Anywhere X-banken Målvakten
Fall B - inledning Gärningsmannen hackar från okänd plats doktoranden på KTH Hoppar vidare till Företagets server Kommer över certifikat + pinkod Kör därefter via WLAN - surfzoner Eriksdalsbadet Hotell i Bromma
Fall B - transaktion 1 Försöker föra över 200.000 € från Företagets konto hos X-banken till bank i Lissabon Misslyckas pga gräns på 1 miljon SEK Lyckas föra över 100.000 € till Lissabon Pengarna studsar vidare till bank på Madeira Upptäcks av en ren slump när Ekonomiansvariga frågar VD varför denna summa överförts Stockholmspolisen fryser pengarna
Fall B - transaktion 2 350.000 SEK förs över från Företagets konto hos X-bankens kontor i söderort till X-bankens kontor på Östermalm Målvakten grips samma morgon när banken öppnar Han har naturligtvis inte en aning om vem som har bett honom hämta ut pengarna
Fall C Vintern 03-04: Ett antal kunder hos Y-banken utför sina bankaffärer från Internetcaféer i Thailand Y-bankens certifikat går ej att flytta Win CertStore - säker lösning, men… I stället - personnummer + pinkod = extra cert Okända gärningmän kommer på okänt sätt över personnummer och pinkoder Personnummer + koder vidarebefordras till gärningsmän i Sverige och Norge
Fall C Extra cert beställs av gärningsmännen med hjälp av personnummer + kod Pengar överförs från kundernas konton i Y-banken till andra banker i Sverige och Norge Dessa transaktioner sker från Internetcaféer i Göteborg och Oslo Mottagande konton tillhör typiska målvakter - knarkare och småkriminella Skada totalt ca 500.000 SEK
Martin Fredriksson, säkerhetsexpert Guide: ”Jag tycker väldigt illa om påståenden att man kan knäcka mjuka certifikat hur enkelt som helst. Man kan slå sönder alla system om man vill. Det är visserligen svårare att attackera ett hårt certifikat än ett mjukt, men det är inte på något sätt omöjligt.” Frågan är vilken lösning som brottslingarna väljer?
Hårda eller mjuka lösningar? Antal polisanmälningar: Hårda lösningar: 0 (nåja, 1…) Mjuka lösningar: > 10 (and counting…) Vilken lösning verkar säkrast? Gör tjuven inbrott i ett hus med eller utan larm och galler för fönstren?
Grunden för all säkerhet ”En kedja är aldrig starkare än sin svagaste länk” Bank / myndighet – nätverk – användare Starka länkar i de två första leden, men… … när uppfinns den första helt säkra Windows-maskinen? Samt… … när kan normalanvändaren administrera ens basal säkerhet? Sannolikt samma dag som grisar lär sig flyga…
Hur stjäl man certifikatet? Två huvudmetoder: Tillträde via nätet Fysiskt tillträde till datorn
Via nätet Idag finns flera tusen kända ”rena” trojaner Flera hundra av dem har kapacitet att stänga av antivirus-program och personliga brandväggar (om sådana finns) Filhantering och key-logging är standard hos de flesta trojaner…
Via nätet Ny serie phishing-trojaner Specifikt syfte att stjäla bankinformation Bevakar obemärkt vilka websidor som besöks Reagerar på sidor med bankdetaljer Registrerar då tangenttryckningar - inloggning och lösenord Skickar detta till server som ägs av den som attackerar
Fysisk tillgång Var står de flesta datorerna? Vem använder dem? Hur är de skyddade? Hur är hanteringen av lösenord organiserad?
Vad kan man göra med ett certifikat? Bankärenden 24-timmarsmyndigheten: Skatt - deklaration Försäkringskassan Vägverket - bilregistret Folkbokföringen
Ersättning för skador? Bankerna anser fortfarande att kostnaden för skador är mindre än kostnaden för ökad säkerhet Alltså - drabbade kunder ersätts 24-timmarsmyndigheten? Plötsligt börjar jag få P-anmärkningar för de 14 bilar som jag tydligen har blivit ägare till Vem betalar de böterna? Vem betalar fordonsskatten?
Eller omvänt… Bosse: ”Det måste vara någon annan som har registrerat den där bilen på mig” Vägverket: ”Självklart behöver du inte betala P-avgifterna eller fordonsskatten!”
Kul verktyg Förut la den förfördelade mannen ut exet i kontaktannonser på Nätet Nu har han plötsligt fått ett nytt, kul verktyg Sjukanmälan Anmälan om flytt utomlands Vansinniga bilagor till deklaration Ägare till fordon Och han behöver inte ens hacka datorn
Brist på fantasi? SKV: Rimlig säkerhet för deklaration SKV: ”Två deklarationer från samma person? Inga problem. Vi kontaktar personen och reder ut saken.” RKP: ”Men om det kommer in 50.000 dubletter? Vem kontaktar de personerna? SKV: ”Varför skulle någon göra så?” RKP: ”För att han kan…”
The Bottom Line Kammaråklagare Håkan Roswall: ”Jag kommer aldrig att gå till åtal på ett ärende som involverar mjuka certifikat.” Varför inte? ”Det är omöjligt att i efterhand bevisa vem som gjort vad.”