Pærelet at narre NemID fra dig med klonede hjemmesider

Transkript

1 Jobtræf Århus Line Nørmark droppede de store og fik job i en mindre virksomhed. Messeavis Kultur Spillefilmen Contagion bringer realismen ind i skildringen af en dødelig pandemi. Side 17 Mediko Ny teknologi varmer kræftknuder væk med fokuseret ultralyd. Side nu læsere! 44 Siden november 2011 ing.dk En Kvasikrystalklar forklaring Islamiske mosaikker og kvasikrystaller inspirerer til nyt angreb på primtallenes gåde. side Pærelet at narre NemID fra dig med klonede hjemmesider En vilkårlig hjemmeside kan bruges til at franarre dig dine NemID-oplysninger og dermed få adgang til din netbank. Det afslører Ingeniøren i dag i en videodokumentar. Sikkerheden i NemID bør øges, mener eksperter. nemid Af Jakob Møllerhøj jak@ing.dk Med få dages indsats, en smule fantasi og værktøjer, der er frit tilgængelige på internettet, kan en relativt ukyndig it-kriminel franarre dig dine NemID-oplysninger og få adgang til bl.a. netbank, selvangivelsen eller detaljerede oplysninger om medicinforbrug og behandling på sundhed.dk. Det dokumenterer Ingeniøren i dag i en video, hvori et fiktivt angreb præsenteres trin for trin. NemID anvendes i dag på et stigende antal hjemmesider, f.eks. biblioteker, datingtjenester og nyhedsmedier. Den stigende udbredelse betyder, at brugerne ikke ænser, om de er inde på en ægte eller en falsk side. Det kan it-kriminelle udnytte til at etablere en falsk hjemmeside, f.eks. for et bibliotek, hvor NemID-oplysningerne lokkes ud af borgeren, påpeger Ulf Munkedal, direktør i it-sikkerhedsvirksomheden FortConsult: Ingeniøren Dokumenterer Scan QR-koden og se en videodokumentation af sikkerhedshullet eller se den på ing.dk/k#9wkg»det er et reelt designproblem i dag, og DanID skal have gjort noget ved det, inden trusselsbilledet for alvor indhenter dem. De skal finde en måde at løse det her på, så man ikke bare i flæng taster NemID ind alle steder,«siger han. Forsker i it-sikkerhed ved IT-Universitetet Joe Kiniry er enig og fastslår, at angreb af den type kaldet man-in-the-middle er realistiske:»det er helt sikkert et problem. Og det bliver formentlig udnyttet allerede nu med man-in-the-middle-angreb. Lige så snart det her bliver mere udbredt og nogen for alvor begynder at udnytte situationen vil der blive gjort noget ved problemet,«siger han. At NemID er sårbart over for angreb via falske hjemmesider viste sig også i september, da otte Nordeakunder blev narret til at indtaste deres login på en efterligning af Nordeas netbank. Men som Ingeniøren dokumenterer, kan andre hjemmesider også bruges til at narre NemID ud af borgerne og derved give kriminelle adgang til netbanker og over 220 offentlige og private hjemmesider. Chef for Center for Digital Signatur under Digitaliseringsstyrelsen Palle H. Sørensen erkender, at Ingeniørens simulerede angreb er muligt.»men vi laver en løbende trusselsvurdering, og hvis vi kan se, billedet ændrer sig, så er der nogle mekanismer, vi kan tage i brug,«siger han. DanID erkender i en skriftlig udtalelse til Ingeniøren, at angrebene er mulige, men vil ikke øge sikkerheden endnu: Vi har mulighed for at imødegå denne trussel, men ikke uden at det går ud over brugeroplevelsen. j Læs leder side 2 og side NYE JOB KARRIERE SIDE 30 Pumper 50 EUS - nu med BUNDSUG suger helt ned til 3 mm! BRD. KLEE A/S Gadagervej Albertslund T F E klee@klee.dk

2 2 Ingeniøren 1. sektion 4. november 2011 Ingeniøren NemID: Myndighederne må anerkende den store sikkerhedsbrist Leder af Arne R. Steinmark ansv. chefredaktør En helt særlig omstændighed gør, at Ingeniøren i dag har valgt ikke blot at fortælle om, men også demonstrere i praksis, hvor bekymrende let det er at misbruge andre borgeres online-identitet, borgerkortet på nettet: NemID. Alle bliver i disse år digitale borgere, også vores ældste. I myndighedernes jagt på at smidig- og billiggøre den offentlige sektors tjenester gennem total digitalisering udfaser de i samme hug borgernes muligheder for personlig og telefonisk kontakt. NemID bliver i stadigt mindre omfang til at komme uden om. Som landets officielle digitale signatur vil den blive grundlag for al kontakt, der kræver fortrolighed og personlig identifikation, uanset om vi låner en bog på biblioteket via en hjemmeside, mailer med den praktiserende læge eller kontakter kommunen om f.eks. førtidspension eller hjemmepleje. Er ydelsen endnu ikke gjort digital, bliver den det snart efter samme princip, som studerende har oplevet med SU-styrelsen. NemID og teknologien bag det er et fundament i fremtidens digitale infrastruktur, hvor sikkerhedsaspektet og borgernes tillid er altafgørende. At leverandøren bag systemet forelagt Ingeniørens demo-video vælger at negligere sikkerhedsproblemerne for at vente og se, hvor store de bliver, er svært forståeligt. Og det er uanstændigt over for teknisk ukyndige og computersvage borgere, som vi nu kan forudse fremover slet ikke tør bruge digitale tjenester. Vi andre bliver bare bedraget. På få dage vil en begavet lægmand med simple midler kunne optræde som et andet menneske læseren, måske via et såkaldt man-in-themiddle-angreb. Der er netop ikke tale om letgennemskuelige phishingmails eller såkaldte Nigeria-breve, hvor godtroende sjæle franarres personlige oplysninger. Angrebet her er mere at ligne med behændig illusionskunst. I praksis vil brugeren ikke have en kinamands chance for at opdage bedraget, førend det er for sent. flere end 220 offentlige og private hjemmesider benytter allerede Nem- ID-teknologien, et antal, der vokser hurtigt sammen med risikoen for misbrug og truer med at genere langt I praksis vil brugeren ikke have en kinamands chance for at opdage bedraget, førend det er for sent. flere end de otte uheldige Nordeakunder, som pressen skrev om for nylig. Bliver man snydt, på hvad der ligner det lokale solariums hjemmeside, er vejen for misdæderen banet til din bankkonto, sygejournal eller separationssag. med henvisning til systemets brugervenlighed og trusselsbillede ønsker myndighederne ikke at forbedre sikkerheden. Det burde ellers være muligt at tilgodese begge dele eksempelvis med inspiration fra betalingstjenester som Paypal eller Visa, hvor alle transaktioner kører via én central hjemmeside eller i dialogen giver brugeren ekstra sikkerhed via oplysninger, som hænger sammen med konteksten. Man kan også drøfte, om der skal være skærpede regler for domænekøb, så en klokke ringer et sted, når menigmand køber domæner, der minder om registrerede varemærker eller institutioner. Myndighederne ville hurtigt gribe ind, hvis vores pas eller kørekort var nemme at forfalske. At det offentlige Danmark ser anderledes på sikkerheden, når det gælder det virtuelle Danmark, er bekymrende, når man betænker, hvor hurtigt og vidtfavnende et misbrug der vil finde sted. Det skal stoppes øjeblikkeligt. j Læs side 4-5 og Se videoen: ing.dk/k#9wkg ugens satire: Storstrømsbroen Poul gade spørger, hvorfor jern er magnetisk, mens guld ikke er? AsgEr B. Abrahamsen, ph.d., seniorforsker, Superleder- og magnetismegruppen, Afdelingen for materialeforskning, Risø DTU, svarer:»svaret skal findes i egenskaberne af de elektroner, som kan lede en elektrisk strøm i de to nævnte metaller. En elektron optræder i sig selv som en lille magnet (karakteriseret ved sit spin), men derudover kan dens bevægelse rundt om en atomkerne også skabe et magnetfelt. Disse bevægelser foregår i skaller eller orbitaler, som kan rumme et vist antal elektroner afhængig af deres form. Strukturen af det periodiske system er faktisk givet af, hvordan man fylder orbitalerne med elektroner. Den simpleste s-orbital er kugleformet og kan rumme to elektroner med spin op og ned, svarende til grundstofferne H og He. Så fyldes den anden og mere energi rige s-orbital svarende til Li og Be(2s), hvorefter de 8-tals-formede p-orbitaler fyldes med 6 elektroner, svarende til B, C, N, O, F og Ne(2p). Dette gentages for 3. hovedgruppe med Na og Mg (3s) SPØRG SCIENTARIET Hvorfor er guld ikke magnetisk?? og Al, Si, P, S, Cl og Ar (3p). I 4. hovedgruppe startes der igen med 4sorbitalen (K og Ca), men derefter fyldes de mere komplicerede d-orbitaler med 10 elektroner for overgangsmetallerne Sc, Ti, V, Cr, Mn, Fe, Co, Ni, Cu og Zn. I denne gruppe finder vi de tre ferromagnetiske elementer Fe, Co og Ni med henholdsvis 6,7 og 8 elektroner i 3d-orbitalerne. Det bemærkelsesværdige ved de to sidste, Cu og Zn, er, at de begge har fyldt d-orbitalerne med 10 elektroner, fordi en elektron fra s-orbitalen flyttes til d-orbitalen: Ni = [Ar]4s 2 3d 8, Cu = [Ar]4s 1 3d 10 og Zn = [Ar]4s 2 3d 10. Dermed antydes en forklaring på spørgsmålet Hvorfor er kobber ikke magnetisk, når Fe, Co og Ni er?. Det skyldes, at der bliver lige mange spin op- og ned-elektroner, når d-orbitalerne fyldes helt op. Tilsvarende gælder for guld med 5d-orbitalerne, som er helt fyldte. En mere korrekt beskrivelse er, at elektronerne bevæger sig rundt i metallet, og at energien af spin op og ned forskydes i forhold til hinanden pga. vekselvirkningen mellem elektronerne.«j >> Læs mere og stil dine egne spørgsmål på ing.dk/scientariet/sporg Flaskehals Storstrømsbroen revner som en tør ost og er blevet lukket for trafik. Ifølge flere forskere bliver broens enkeltsporede jernbane et problem, når resten af strækningen til den kommende Femerntunnel gøres dobbeltsporet. En ny bro koster 3,2 mia. kr. >> se flere på ing.dk/satire Rettelse I sidste uges portræt af Lars Pallesen skrev vi, at professor Birgitte Ahring i 2008 pludselig blev fyret. Det korrekte er, at hun pludselig blev fritstillet, efter at hun selv havde opsagt sin stilling. Vi beklager fejlen. j Red. Telefon redaktion@ing.dk / Ansv. chefredaktør: Arne R. Steinmark Redaktionschefer: Henning Mølsted og Trine Reitz Bjerregaard, indhold, Rolf Ask Clausen, community Redaktører: Robin Engelhardt, Viden & erkendelse, Nanna Skytte, designchef salg: Tekstannoncer: Chefkonsulent Kåre Eliasen, ke@ing.dk Telefon Telefax Stillingsannoncer: Thomas Ellekjær Hansen , tha@ing.dk Telefax Kommentarer og læserindlæg: debat@ing.dk Abonnement og adresse ændringer: Telefon abonnement@ing.dk Abonnementspriser: 1 år: kr. ½ år: 930 kr. Tryk: Dansk Avistryk ISSN nr: Samlet oplag: eksemplarer (Dansk Oplagskontrol, 1. halvår 2011) Synspunkter i artikler, ledere og indlæg kan ikke betragtes som IDAs stilling til de omhandlede spørgsmål. Redaktionelt materiale kan efter tilladelse genoptrykkes til andre formål. Henvendelse til Søren Rask Petersen, srp@ing.dk Telefon Udgiver: Mediehuset Ingeniøren A/S Skelbækgade 4, 1717 København V Telefon Fax Mediehuset Ingeniøren A/S ejes af Ingeniørforeningen, IDA Direktion: Arne R. Steinmark, adm. direktør Christian Hjorth, kommerciel direktør

3 Regn den ud og vind en ipad2 Deltag i konkurrencen på Ny konkurrence hver måned resten af året Værsgo. IDA har sørget for, at du kan tjene penge på din lønkonto Ny runde starter NU! Fordi du er medlem af IDA, kan du få Danmarks suverænt højeste rente på din lønkonto. Med LSBprivat Løn får du hele 5% på de første kr. på kontoen og 0,25% på resten. Som du sikkert allerede har regnet ud, betyder det, at du får mere ud af dine penge hver eneste dag. Også, når du ikke bruger dem. Men du får ikke bare mere på kontoen. Du får en bundsolid og personlig bank, som har fokus på dig og de ting, som du synes er vigtige. Kontakt os og få mere at vide om, hvad 5% i rente kan betyde for din økonomi. Ring: Ring til os på Online: Gå på og vælg kontakt os. Så kontakter vi dig hurtigst muligt. Kan du finde det næste tal i rækken? Så kan du også regne ud, hvad 5% i rente betyder på din lønkonto Regn den ud på og deltag i lodtrækningen om en ipad2 Fra 1. november. Ny ipad2 på spil Lån & Spar Bank A/S, Højbro Plads 9-11, 1200 København K, Cvr.nr SÅDAN FÅR DU 5% I RENTE Du skal være medlem af IDA, og du skal samle hele din privatøkonomi hos Lån & Spar. Undtaget er dit realkreditlån, som du ikke behøver at flytte, før du lægger lånet om. LSBprivat Løn får du på baggrund af en almindelig kreditvurdering. Rentesatserne er variable og angivet p.a. Rentesatserne gælder pr. 15. august Hvis du allerede er kunde hos Lån & Spar, så kontakt din rådgiver og hør, hvordan du får 5% i rente på lønkontoen. Konkurrencen løber t.o.m Vinderne findes ved uvildig lodtrækning blandt modtagede besvarelser i slutningen af hver måned, og får direkte besked. Præmiens værdi er kr. og kan ikke byttes til kontanter. Deltagelse i konkurrencen er ikke købsbetinget.

4 4 Ingeniøren 1. sektion 4. november 2011 FOKUS IT-sikkerhed Ingeniøren dokumenterer sikkerhedshul i NemID: 1 Den it-kriminelles to skærme. I vores testopstilling viser den ene skærm brugerens login-oplysninger, mens den anden viser en side med et rigtigt NemID-login-vindue, så den it-kriminelle umiddelbart kan indtaste oplysningerne. 2 Den it-kriminelles falske hjemmeside for et bibliotek, som brugeren bliver lokket ind på. Hjemmesiden er en tro kopi af den rigtige bibliotekshjemmeside, så det kan være svært at opdage, at hjemmesiden, der i vores testopstilling har adressen herlev-bibliotek.dk, er falsk. 3 Når brugeren forsøger at logge ind på den falske hjemmeside med sit NemID, bliver oplysningerne synlige på den itkriminelles skærm. Heraf kommer navnet på denne type angreb, der kaldes man-in-the-middle-angreb, fordi en it-kriminel lægger sig imellem NemID-brugeren og dennes kommunikation med, hvad han eller hun tror er et ægte NemID-login. Så let kan kriminelle franarre dig dit Med frit tilgængelige værktøjer og en smule eksperimenteren lykkedes det Ingeniøren at konstruere en test-opstilling, der viser, hvor let det er at narre NemID fra en bruger. Dokumentation Af Jakob Møllerhøj jak@ing.dk Opskriften på at narre NemID-oplysninger fra tillidsfulde borgere er bekymrende simpel. Det har Ingeniøren demonstreret i en testopstilling, som vi har videofilmet. Testen er inspireret af det vellykkede angreb, som blev gennemført mod Nordea-kunder i slutningen af september. I forbindelse med vores testangreb mod vores eget NemID-login, har vi først oprettet et domæne, altså en internetadresse, som borgerne umiddelbart kunne tænkes at have tillid til. Vi har brugt det ledige domænenavn herlev-bibliotek.dk i vores testopstilling. Af tidsmæssige hensyn, og for at ingen i virkeligheden risikerede at blive franarret NemID-oplysninger, har vi dog ikke registreret domænet i virkeligheden, så herlev-bibliotek.dk fungerer kun i vores lukkede testopstilling. Det rigtige domæne hedder i øvrigt herlevbibliotek.dk altså uden bindestreg. Dernæst har vi med Herlev Biblioteks vidende kopieret indholdet fra det rigtige biblioteks hjemmeside, altså herlevbibliotek.dk. Indholdet har vi lagt på adressen herlevbibliotek.dk. Forskellen på de to domæner er dog, at domænet med bindestregen i vores testopstilling er fuldt kontrolleret af en fiktiv it-kriminel. Som med mange andre bibliotekshjemmesider i Danmark er det muligt at logge ind på Herlev Biblioteks hjemmeside med den udbredte login-løsning NemID, som adskillige danskere i forvejen bruger for at komme på netbank. På bibliotekssiderne kan borgerne blandt andet bruge NemID til at forny lånte bøger og andre ting. For at gennemføre NemID-tyveriet er det nødvendigt at lokke brugeren ind på den falske hjemmeside, hvilket uden at gå helt i detaljer kan foregå på flere måder, eksempelvis via mail, et link et sted på internettet, eller ganske enkelt ved at borgeren gætter forkert på bibliotekets adresse. Identisk med den rigtige Når den intetanende bruger først er på den falske hjemmeside, som altså er kontrolleret af, hvad vi forestiller os er en hærdet it-kriminel, så har han eller hun som udgangspunkt ingen forudsætninger for at se forskel på den rigtige bibliotekshjemmeside og så den falske ja, med mindre vi taler om en uhyggeligt opmærksom bruger, der bliver mistænkelig over, at der er en bindestreg i herlev-bibliotek.dk. Hvis brugeren nu forsøger at logge ind med sit NemID på den falske hjemmeside eksempelvis for at genlåne nogle bøger så havner login-oplysningerne direkte på serveren hos den it-kriminelle. Det betyder, at brugernavnet som ofte vil være identisk med et CPRnummer og så brugerens kodeord, nu bliver synlige for den it-kriminelle. For at tricket fungerer, kræver det i vores testopstilling, at den it-kriminelle sidder klar ved tasterne, så snart den intetanende bruger indtaster sine oplysninger. Teknikken kaldes derfor for et realtids man-in-themiddle angreb. De eksperter, som Ingeniøren har talt med, vurderer dog, at angrebet vil kunne automatiseres i en sådan grad, at det ikke vil være nødvendigt for den it-kriminelle at sidde klar ved computeren for at gennemføre angrebet. Franarring af nøgle på kort Den it-kriminelle indtaster nu de oplysninger, han lige har opsnappet fra brugeren, på en hjemmeside med et rigtigt Nem ID-login i vores demonstration foregår det på hjemmesiden nemid.nu, som er en hjemmeside til administration og bestilling af et NemID-login. Igen er der tale om, at det er et NemID, vi i forvejen kender login-oplysningerne til, som vi anvender til testformål. Mens den kriminelle logger ind, bliver brugeren bedt om at vente. Såfremt processen havde været automatiseret, ville ventetiden være langt kortere end i vores demonstration. Herefter bliver den it-kriminelle bedt om at indtaste koden fra bruge-

5 Ingeniøren 1. sektion 4. november Se videoen med dokumentation ved at scanne QR-koden eller se >>den på ing.dk/k#9wkg 4 Den it-kriminelle indtaster brugerens brugernavn og adgangskode og tager derefter en kopi af vinduet med nøglekortet, som bliver synligt på brugerens skærm. DanID:»Et teoretisk scenarie«5 Nu har brugeren indtastet sin nøgle, og den it-kriminelle kan logge ind med brugerens NemID-oplysninger. Brugeren bliver derefter mødt af en fejlbesked, som den it-kriminelle har sendt, for at brugeren ikke umiddelbart skal fatte mistanke om, at noget er galt. Her bringer vi DanID s kommentar til Ingeniørens videodemonstration og til kritikken fra eksperter. svar Af Jakob Møllerhøj jak@ing.dk NemID-leverandøren DanID har efter at have set Ingeniørens video og efter at have været i dialog med blandt andet banksektoren og Digitaliseringsstyrelsen valg at afgive et skriftligt svar. Svaret vedrører dels indholdet af videoen og dels kritik fra de to eksperter, som Ingeniøren har talt med. DanID har ønsket, at svaret bringes i sin fulde længde, hvilket vi har valgt at efterkomme. Det kan lade sig gøre Svaret, der har kommunikationschef i DanID Jette Knudsen som afsender, lyder som følger: Det scenarie, Ingeniøren har konstrueret i videoen, er kendt som typosquatting, her kombineret med man-in-the-middle. Det er et teoretisk scenarie, der ikke er ført ud i livet i dag. Denne type angreb kan godt lade sig gøre, men spørgsmålet er, om det er noget, der vil få en reel udbredelse. Den typiske it-kriminelle går jo efter en model, hvor deres software laver arbejdet, og det I viser her, kræver ægte menneskelig indsats på dansk, 7/24 overvågning, og dertil en stor portion held for at blive til penge. Hvis vi følger banksporet, så skal den it-kriminelle jo have held til at aflure en person, der er kunde i den Phishingsagen fra slutningen af september har skærpet fokus på fraud-detection yderligere, og vi har forskellige muligheder for at imødegå angreb (...) Det er værktøjer, der kan tages i brug, men det skal afvejes over for hensynet til brugeroplevelsen. Jette Knudsen, kommunikationschef, DanID bank, de har valgt at logge ind hos, og som har penge på kontoen, og desuden skal han kunne omgå de misbrugsmekanismer, der ligger i selve netbanken. Hvis vi følger sporet om afluring af personfølsomme oplysninger, så skal den it-kriminelle have held til at aflure en person med kompromitterende materiale i de tilgængelige oplysninger, som så igen skal bruges f.eks. til afpresning. Altså kriminalitet, der lettere kunne lade sig gøre i den analoge verden. Lige så snart den it-kriminelles look-alike - hjemmeside bliver opdaget, bliver den desuden lukket, og arbejdet med at bygge den op er spildt. Når det så er sagt, så bliver de it-kriminelle hele tiden dygtigere og dygtigere, og derfor er overvågning og vurdering af trusselsbilledet en vigtig opgave. Phishingsagen fra slutningen af september har skærpet fokus på fraud-detection yderligere, og vi har forskellige muligheder for at imødegå angreb. Det gælder også for det scenarie, at den it-kriminelle bygger en egentlig forretning op, som giver sig ud for at være legal modtager af Nem- ID. Vi har mulighed for at imødegå denne trussel, men ikke uden at det går ud over brugeroplevelsen. Det er samme forhold, der gør sig gældende for ideen om pop-up-vinduer med kontrolindtastninger osv. Det er værktøjer, der kan tages i brug, men det skal afvejes over for hensynet til brugeroplevelsen, og holdes op mod trusselsbilledet. For ikke at lette vejen for de it-kriminelle kan vi ikke uddybe hverken, hvad vi gør nu, eller hvordan vi vil gøre fremover. En stor udbredelse af NemID er ønskelig både i den private og i den offentlige sektor. At der kommer endnu flere nye web-steder, der tager imod NemID vil næppe gøre nogen forskel på, hvor attraktiv typosquatting/manin-the-middle-kombinationen er i de it-kriminelles øjne, eftersom der allerede er flere hundrede steder, der tager imod NemID. Hvis de it-kriminelle ville arbejde denne vej, er der muligheder nok allerede. j Ingeniøren understreger, at videoen så godt som ingen tekniske detaljer indeholder, og at selve teknikken omkring demonstrationen er så simpel, at personer med selv et begrænset kendskab til it, for slet ikke at tale om erfarne it-kriminelle, må formodes at kunne lave en lignende demonstration. (Red.) Eksperter: Sådan kan angreb mod NemID gøres sværere NemID rens nøglekort, som den it-kriminelle jo ikke umiddelbart er i besiddelse af. For at få fat på koden, tager den itkriminelle nu, via et særligt program, et billede af det rigtige nøglekorts-felt, som derefter bliver sendt retur til brugeren. Da det nøglekortsfelt, der møder brugeren, er den ægte vare, så er den nøgle, som brugeren indtaster i feltet, også den nøgle, den it-kriminelle skal bruge for at logge på nemid. nu. Nøglen bliver ligesom brugernavnet og adgangskoden synlig for den itkriminelle, der nu bruger den til at logge ind på brugerens NemID -konto. I vores demonstration bliver der efterfølgende sendt en falsk fejlbesked tilbage til den ventende bruger om, at systemet er nede, så han eller hun bliver nødt til at prøve igen senere. j Digitaliseringsstyrelsen: Vi vurderer truslen Ved Center for Digital Signatur under Digitaliseringsstyrelsen erkender chef Palle H. Sørensen, der er den daglige ansvarlige for NemID og den kontrakt, der er indgået med leverandøren DanID, at det, Ingeniørens video demonstrerer, kan lade sig gøre:»vi laver en løbende trusselsvurdering, og hvis vi kan se, billedet ændrer sig, så er der nogle mekanismer, vi kan tage i brug,«siger han uden at ville gå i detaljer med, hvilke mekanismer, der er tale om med henvisning til sikkerheden. Men øget sikkerhed har sin pris, mener han:»for hvert nyt tiltag, vi laver, bliver brugerne konfronteret med yderligere udfordringer i forhold til at bruge Nem ID.«Et pop-up-vindue og opdragelse af brugerne kan gøre NemID s løsning mere sikker, lyder det fra eksperter. man-in-the-middle Af Jakob Møllerhøj jak@ing.dk NemID i den nuværende form er sårbar over for man-in-the-middle-angreb men sårbarheden kunne mindskes med en simpel løsning, hvor et vindue popper up, når brugeren klikker på et link, mener to eksperter. Sårbarheden skyldes, at NemIDbrugeren kan have svært ved at skelne mellem, hvorvidt han eller hun befinder sig på en legitim NemIDhjemmeside eller på en side, som en it-kriminel har kontrol over. Eksempelvis kan det være svært at vide, om en hjemmeside, der tilsyneladende ligner en side for en fiskeklub med et NemID-login, rent faktisk også tilhører en fiskeklub, eller om der er tale om en falsk side, der har til formål at franarre brugere deres NemID-oplysninger. Og det vil fremover blive sværere og sværere for brugerne at skelne mellem rigtige NemID-sider og kriminelle hjemmesider i takt med, at NemID bliver mere udbredt, forklarer Ulf Munkedal, direktør for it-sikkerhedsvirksomheden FortConsult.»Brugerne vil helt naturligt, når der kommer flere sites med NemID, indtaste deres NemID-data mere ukritisk,«siger han og tilføjer:»det er naturligt, at der er et forretningsmæssigt behov for udbredelse af NemID, og det er da også rart for brugeren, at han kan nøjes med et enkelt login, men jeg synes ikke, det er godt for sikkerheden.«pop-up-løsning Det er langt fra kun NemID, der risikerer man-in-the-middle-angreb. Også de store kreditkortselskaber og andre leverandører af online-betalingstjenester har forsøgt at løse brugernes problem med at vide, om man befinder sig på en lovlig hjemmeside for indtastning af kreditkortoplysninger, eller om oplysningerne i virkeligheden er ved at blive indtastet på en ondsindet side, forklarer Ulf Munkedal. For at komme den usikkerhed til livs anvendes der i betalingskortsammenhæng nu flere steder et særskilt pop-up-vindue, når brugeren ønsker at betale med kort på nettet. På den måde skal brugeren blot tjekke, at der står f.eks. visa.com i browserens adressefelt for det skal der stå, uanset i hvilken butik, man handler, for at der er tale om en lovlig transaktion. Og den løsning mener Ulf Munkedal godt kunne overføres til NemID:»Hvis man gik over til at bruge et pop-up-vindue fra en autoriseret kilde, så ville det i hvert fald hjælpe på sikkerheden,«siger han. Ulf Munkedal tror dog ikke, et popup-vindue vil betyde et stop for manin-the-middle-angreb, da nogle brugere stadig vil indtaste deres oplysninger på falske sider uden at kigge i adressefeltet. Men det vil dæmme op for problemet, mener han. Joe Kiniry, der forsker i it-sikkerhed ved IT-Universitetet, er enig i, at løsningen med et pop-up-vindue ville forbedre NemID-sikkerheden.»Jeg vil mene, at småændringer som den med pop-up-vinduet vil kunne rulles ud i løbet af et kvartal eller to, og det ville fratage de it-kriminelle de lavest hængende frugter. Så ville de direkte naive og middelmådige kriminelle formentlig ikke kunne gøre det længere så vil der kun være de virkeligt dygtige tilbage.«j

6 6 Ingeniøren 1. sektion 4. november 2011 Interview Tæt på Anders Bjarklev, ny rektor på Danmarks Tekniske Universitet Anders Bjarklev tiltrådte i tirsdags som rektor for DTU efter godt et år på posten som prorektor. Foto: Steen Brogaard Blå bog Anders Bjarklev, 50 år Civ.ing. (1985), ph.d. (1988), dr. techn. (1995) Ansat ved DTU siden 1988 som adjunkt, lektor og professor. Institutdirektør for DTU Fotonik (tidligere COM) fra 2004 Prorektor, DTU, 2010 Rektor, DTU, 2011 Medstifter af to firmaer og modtager af bl.a. Villum Kann Rasmussens Årslegat til Teknisk og Naturvidenskabelig Forskning i DTU s Nye rektor:»vi er nødt til at holde fast i eliten«anders Bjarklev er nu tiltrådt som DTU s 15. rektor. For ham er det vigtigt, at DTU s kandidater lever op til kvalitetskravene, så de kan konkurrere internationalt. Uddannelse Af Jens Ramskov ram@ing.dk I tirsdags byttede Anders Bjarklev prorektorkontoret ud med det nærliggende hjørnekontor på 2. sal i DTU s administrationsbygning. Herfra kan han som den 15. i rækken af DTU s rektorer skue ud over store dele af campusområdet på Lundtoftesletten i Lyngby, hvor flere tusinde studerende og medarbejdere har deres gang. Anders Bjarklev har siddet godt et år i jobbet som prorektor og er derfor firmaets mand på topposten. Han lægger ikke ved sin tiltræden som rektor op til markante ændringer i forhold til Lars Pallesen, som regerede i 10 år men han erklærer, at han naturligvis vil finde sin egen stil. DTU s mission er at udvikle og nyttiggøre naturvidenskab og teknisk videnskab til gavn for samfundet. Ifølge universitetets beskrivelse udtrykker denne mission den polytekniske idé, som den blev undfanget i første halvdel af 1800-tallet, og som har kendetegnet tekniske universiteter siden. Jeg har derfor et billede med af H.C. Ørsted grundlæggeren af Polyteknisk Læreanstalt (i dag DTU) i 1829, som jeg lægger på bordet mellem os. Hvad tænker du, når du ser billedet?»hans Christian Ørsted! Det er imponerende, at de selvsamme tanker, som han udtrykte tilbage for omkring 180 år siden, i kernen stadig gælder.«hvad er kernen for dig?»vi har et universitet, som er teknisk-naturvidenskabeligt baseret, og det, vi gør, gør vi til gavn for samfundet. Det er ret afgørende. Det er derfor, vi er blevet ingeniører, dem af os, der er det. Det er derfor, vi virker i samfundet.«blandt de bedste i verden Tror du, Ørsted ville kunne genkende DTU eller noget i DTU i dag?»det tror jeg godt, han kunne. Han ville sikkert glæde sig over, at vi stadig dyrker vekselvirkningen mellem mange discipliner. Jeg tror, han ville glæde sig over, at vi har en situation, hvor vi i høj grad gør det med en anvendelse for øje. Vi gør det, fordi vi interesserer os dybt for teknisk videnskab. Vi dyrker, at vi gerne vil være blandt de bedste i verden inden for det, vi gør og så gør vi det hele tiden med det for øje, at det skal gøre menneskers liv bedre. Det er hele DTU s mening. Det er også et universitets mening, at vi skal være til gavn for det samfund, vi virker i.«den tidligere videnskabsminister Helge Sander (V) lancerede sloganet Fra forskning til faktura. Den nye regering har erklæret, at forskningen skal være en vækstmotor. Det gælder for alle universiteter. Er et teknisk universitet egentligt noget særligt i den forbindelse?»det er rigtigt, at alle universiteter skal virke til gavn for samfundet. Et teknisk universitet er særligt derved, at de fleste løsninger på menneskehedens udfordringer vil inkludere et teknisk element og kræve, at du forstår dig på teknisk videnskab. Vi er tæt på erhvervslivet og de job, som skabes.«har du et forbillede blandt tekniske universiteter, når DTU skal løse denne opgave?»jeg er bestemt imponeret af, hvad man har løftet på KAIST i Sydkorea, som jeg besøgte i foråret. De er meget dygtige, de har visioner. De vil og kan prioritere det, de gør. Og de uddanner nogle knippeldygtige folk. Heldigvis har vi allerede et samarbejde med dem.«er der noget, der forhindrer DTU i at kunne gøre det samme?»der er nogle finansieringsmæssige forhold, der er forskellige. I Sydkorea bruger man omkring 55 pct. af de offentlige bevillinger til teknik og naturvidenskab, her til lands bruger vi pct. Vi kan lade os inspirere af mange ting fra flere forskellige lande, men vi skal også vide, at vi ikke bare kan tage en koreansk, amerikansk eller tysk model og presse ned over vores universitet.«fremtidsholdbare uddannelser DTU har som mål at tilbyde fremtidsholdbare ingeniøruddannelser, der imødeser erhvervslivets behov. Jeg har medtaget endnu et billede, som jeg viser Anders Bjarklev.»Haldor Topsøe! Han repræsenterer en imponerende ingeniørmæssig kunnen, der også har drevet det til virksomhedsskabelse. Det har vi i høj grad brug for.«er det flere af hans slags eller nogle andre typer ingeniører, vi har brug for?»jeg tror godt, vi kunne bruge nogle flere af hans slags. Det er vigtigt, at vi får uddannet nogle ingeniører, der holder en høj kaliber, så de er konkurrencedygtige på det internationale marked.«den nye regering har som målsætning, at 60 pct. af en ungdomsårgang i 2020 skal gennemføre en videregående uddannelse. Det vil betyde et øget pres på universiteter og andre uddannelsesinstitutioner om at uddanne endnu flere og de kan ikke alle være eliten. Skal DTU bidrage til en sådan masseuddannelse?»dtu skal efter min mening holde fast i, at vi uddanner eliten. Jeg har intet imod, at man uddanner flere jeg mener faktisk, det er et kæmpe problem for vores samfund med de mennesker, som ingen uddannelse får. Det er først og fremmest et problem for dem selv. Det er det værste ved det hele. Det er dernæst et kæmpe problem for vores samfund. Jeg kan kun være glad for, at man griber fat i det problem og får endnu flere løsninger. Men det betyder jo ikke nødvendigvis, at det er DTU, der skal uddanne de brede.«hvis den nye uddannelsesminister, Morten Østergaard (R), en dag spørger dig, hvad DTU kan bidrage med hvad vil du så svare ham?»først og fremmest skal DTU sørge for, at de uddannelser, som vi tilbyder danske statsborgere, som ud- gangspunkt er af så høj kvalitet, at de er i stand til at konkurrere om de job, der er på den lange bane.«du vil altså ikke uddanne flere?»vi vil gerne uddanne nogle, der kan leve op til kvalitetskravene. Vi har lidt volumen, så vi kan optage lidt flere på diplomingeniøruddannelserne, og det gør vi gerne. Men hvis vi skal slække på kvaliteten for at uddanne flere, så vil vi som udgangspunkt sige til ministeren, at det tror vi ikke på. Vi er nødt til at holde fast i eliten, hvis DTU fremadrettet skal være en interessant samarbejdspartner for de internationale topuniversiteter, som vi er kommet i klasse med og dermed også for at kunne trække en række højtkvalificerede udlændige til dette land. Dem får vi altså også stor brug for. Hvis vi slækker på kravene, så gider højtkvalificerede ikke tage hertil. Og så ryger vi ud af det gode selskab med de andre universiteter. Det er ikke en vej for DTU. Det vil ikke gavne landet, det vil ikke gavne samfundet. Overhovedet.«Hvem skal så gøre det?»der er mange andre uddannelser, og det er jo heller ikke sikkert, at de alle sammen skal være ingeniører. Betingelsen for, at vi kan være med til at opretholde væksten i samfundet, er, at vi uddanner folk af så høj kaliber, at de kan være med til at skabe job. Det er bedre at levere mennesker af den højeste kaliber, der kan skabe job, end at levere 2.000, der kan være med til at skabe job.«j