Justitsminister vil ikke afvise NemID som spionværktøj for politiet

Justitsminister Morten Bødskov vil ikke afvise, at det er teknisk muligt for myndighederne at bruge NemID til at placere aflytningssoftware på danskernes pc'er.

Er det teknisk muligt for myndighederne at bruge NemID til at placere en bagdør eller et aflytningsprogram på en pc?

Det spørgsmål har Stine Brix fra Enhedslisten forsøgt at få svar på i flere omgange - først som § 20-spørgsmål, og siden som et såkaldt udvalgsspørgsmål.

Nu er svaret på udvalgsspørgsmålet kommet fra justitsminister Morten Bødskov (S), men indholdet bliver man ikke klogere af:

»Med hensyn til spørgsmålet om, hvad der er teknisk muligt i forhold til NemID-systemet, kan Justitsministeriet henvise til Finansministeriet, hvorunder NemID-systemet hører,« lyder Morten Bødskovs svar.

Dermed sparker han for anden gang sagen til hjørne.

Stine Brix har i samme spørgsmål også spurgt om i hvor stort omfang NemID bliver brugt til den aflytning af pc'er, som PET har foretaget i stor stil.

Læs også: PET installerer trojanere på mistænktes pc'er i stor stil

»Der kan af hensyn til beskyttelsen af fortrolige oplysninger om politiets efterforskningsmetoder ikke i en folketingsbesvarelse redegøres nærmere for, på hvilke måder politiet iværksætter dataaflæsning efter retsplejelovens § 791 b,« skriver Morten Bødsgaard i sit svar.

Følg forløbet

Kommentarer (40)

Jesper Lund

Alt NemID kører nemlig i en sandbox (VirtualBox VM) hos mig, så NemID trojaneren ser kun en standard Xubuntu uden nogle personlige filer.

Jeg har selvfølgelig en masse at skjule, men bare ikke over for NemID. Jeg regner faktisk med at den lille NemID trojaner ser alt. "Alt" er bare ikke så meget..

Søren Mikkelsen

Nu er nemid ikke noget jeg gør mig i for tiden men en linux liveCD og en anon proxy må da være minimumskrav før man bruger nemid. Ud over dele af staten brugere nemid som trojan og spionere folk uden deres viden, så lader det til at være et dårligt/hullet program som kun bliver brugt fordi staten ikke kan finde bedre/har smidt mange penge i og er nød til at have en løsning ala nemid nu de har droppet den digitale signatur.

Af hvad jeg ved er en VM langt fra nok den dag i dag, det er en normalt kendt "funktion" at malware kan hoppe fra VM guest system til VM host system uden problemer.

Jeg kan tage fejl.

Henrik Pedersen

Det kan lade sig gøre, men det er altså ikke helt så simpelt...

Skal jeg være hudløs ærlig? Politiet har sgu ikke kompetencerne til at springe ud af VM Ware og ind i min host...

Hvis de først kan finde ud af det, så kunne de lige så godt exploite min maskine direkte, og så er jeg jo screwed anyway!

(Jeg ved godt der har været et hul eller to, men de var begge relaterede til delte drev. Jeg har ikke engang klientværktøjet installeret i mit Guest system, og ingen af de ekstra features slået til)

Jacob Ottesen

Er der nogen af jer VM-kyndige der kan give nogle tips til hvordan man kommer i gang med virtual machines på sin private computer? Evt. nogle gode links der hjælper en i gang hvis målet er beskyttelse af privacy/anonymitet? Jeg er med på det overordnede koncept, men jeg har fx. svært ved at forstå hvordan der er tale om en nærmest skudsikker separation mellem ens underliggende styresystem og det virtuelle OS, hvis det virtuelle OS blot kører som enhver anden applikation i windows. Jesper: Giver din VM mere sikkerhed og privacy alene pga separationen med dit normale OS, eller er det fordi du kan konfigurere VM'en på alle mulige leder og kanter, specielt tilpasset NemID-situationen?

Thomas Hansen

Jeg hører. Fuldstændigt det samme vrøvl, og dumme undskyldninger, som jeg for 5minutter siden kunne høre i en udsendelse på DR2.
Forskellen er kun at i udsendelsen, var det en dokumentar om Stasi. og det tidligere Østtyskland.
Officielt var aflytning heller ikke tilladt i Østtyskland, men foregik alligevel i stor stil.
I Danmark er det officielt heller ikke tilladt, men man indrømmer dog, at man gør det.
Eneste forskel er, at i Danmark postulerer man at man ikke bruger det til noget. Uden at komme med en substantiel forklaring på, hvorfor man så foretager selve dataopsamlingen.

Og NemID er på vej til Norge. Så er der åbnet mulighed for, at man lader fremmede magter overvåge Danske borgere.

Hans Schou

Er der nogen af jer VM-kyndige der kan give nogle tips til hvordan man kommer i gang med virtual machines på sin private computer?


Michael nævnte VirtualBox, hvilket sikkert skyldes at han gætter på at du bruger Windows og gerne vil have noget der er fri software.

Alternativerne er Qemu, Xen og VMware. Der er vist flere. Funktionsmæssigt er de ret ens.

Jeg er med på det overordnede koncept, men jeg har fx. svært ved at forstå hvordan der er tale om en nærmest skudsikker separation mellem ens underliggende styresystem og det virtuelle OS, hvis det virtuelle OS blot kører som enhver anden applikation i windows.

Du har helt ret. Man skal forstå hvad der sker, før at sikkerheden er i orden.

Din vært (host), fx MS Windows, har et rod-filsystem og noget RAM. Der kører du så et program, en VM, som så kører et underprogram (gæst systemet). Men gæsten har ikke direkte adgang til dit filsystem, men skal læse/skrive igennem VM. Teoretisk er det muligt at der er en bug i VM så det kan lade sig gøre at skrive i værtens filsystem, men da det er noget af det værste der kan ske, er der så meget fokus på at jeg vil regne det for lidet sandsynligt. Det er hele idéen med et VM der går tabt der.

Mht. deling af RAM, er jeg mere blank. Man bruger typisk CPU'en til at hjælpe med en begrænsning af tilgang til værtens RAM fra gæsten.

Det er straks værre med en USB-disk du tilføjer til systemet. Nogle gange vil man være interesseret i at gæsten har adgang der, andre gange ikke.

Og netværk skal gæsten også have, og er gæsten kompromitteret med NemID, har den adgang til alt ikke-krypteret på dit lokale net.

Jesper: Giver din VM mere sikkerhed og privacy alene pga separationen med dit normale OS, eller er det fordi du kan konfigurere VM'en på alle mulige leder og kanter, specielt tilpasset NemID-situationen?

Dem jeg kender der bruger NemID i en VM, bruger kun denne VM-instans til NemID. For hvis den instans bliver inficeret med malware, går det ud over NemID.

Så er man paranoid nok, så er det en VM til NemID, en til politiske aktiviteter, en til terrorplaner, en til porno-sørfing etc. Det bliver så besværligt, at de fleste terrorister vælger at bruge værten til det hele.

Ja en VM er lidt besværlig, men hvis den kun kan NemID og booter direkte op med det og er klar, så går det også.

Jeg har iøvrigt ikke selv NemID. Behovet er endnu ikke opstået, men jeg lover at bruge en VM den dag det sker (spis din egen medicin).

Jacob Ottesen

Mange tak for svaret Hans, og tak til Michael for henvisningen til den gratis(!) VirtualBox

Ja en VM er lidt besværlig, men hvis den kun kan NemID og booter direkte op med det og er klar, så går det også.

Efter at have siddet og brugt lidt tid på det, her til aften, er jeg egentlig ret imponeret over hvor let det er at gå til! Man kan gemme den state ens guest er i, så man ikke behøver at boote op hver gang man skal over i den for at bruge NemId, så det kan egentligt gå relativt smidigt.

Men der er var noget med at NemID appletten genererer en slags ID på baggrund af min hardware-konfiguration og mac-adresse. Denne vil vel ikke være anderledes i mit guest-OS?

En added bonus med VM's er i øvrigt at jeg nu kan sidde og blive lidt komfortabel med Linux i en VM inden jeg på et tidspunkt vælger at droppe Windows som host hvilket er noget jeg i længere tid godt har kunnet tænke mig. Det er egentligt mest spil (samt det faktum at jeg er opvokset med Windows der nærmest er hardkodet ind i min hjerne), der har afholdt mig fra at skifte. Gad vide om det er realistisk at køre grafiktunge spil i en Windows-guest.

Jeg havde i øvrigt også kun Bank NemId i starten, men da jeg på et tidspunkt skulle forny en låneansøgning til SU, måtte jeg krybe til korset og bestille OCES NemId :-/

Michael N. Steen

Men der er var noget med at NemID appletten genererer en slags ID på baggrund af min hardware-konfiguration og mac-adresse. Denne vil vel ikke være anderledes i mit guest-OS?

Dit gæste-OS kører i en virtuel PC, hvis konfiguration, MAC- og IP-adresse mm. med ret stor sikkerhed er forskellig fra værtsmaskinens. Hvad NemID opsamler og gemmer, har vi vist aldrig helt kunnet få at vide.

Det er en god ide at blive fortrolig med Linux i en VM, men opret en til formålet, og brug kun din NemID-VM til NemID. Ellers går en stor del af ideen fløjten.
Du kan let have flere forskellige virtuelle maskiner i den samme VirtualBox installation.

Michael Rasmussen

Men der er var noget med at NemID appletten genererer en slags ID på baggrund af min hardware-konfiguration og mac-adresse. Denne vil vel ikke være anderledes i mit guest-OS?


Den genererede ID har intet med din host at gøre, da Virtualbox emulere en fysisk maskine med hardware, driver mv. Det genererede ID vil derfor afspejle denne emulerede fysiske hardware. MAC adressen er også konstrueret, og hvis du er tilstrækkeligt paranoid, kan du ændre MAC adressen før hver genstart:-)

Gad vide om det er realistisk at køre grafiktunge spil i en Windows-guest.

Det tror jeg ikke, du skal satse på, da 3D understøttelsen er væsentligt forringet i en VM. Prøv eventuelt at installere windows 7 i en VM, og windows experience index for denne installation vil vise 1 i grafikydelse.

Peter Jespersen

Jeg anvender Debian Stable med OpenJDK.

OK - Debian havde jeg skisme glemt. Den vil jeg da prøve hvis SliTaz stable alligevel ikke arter sig som guest.- Har efterhånden prøvet en håndfuld, men af skiftende årsager er det aldrig lykkedes mig at få stablet en fyldestgørende løsning på benene.

Prøver i denne omgang med Oracle Java - da jeg ikke rigtigt har kunnet få noget stabilt ud af openJDK+NemID kombinationen under VB.

jacob Kyndig

Hvis du gerne vil spille på en Linux computer er det ikke noget problem. Du skal bare køre enten Linux Ubuntu, Kubuntu eller Mint. Det giver mulighed for installer PlayOnLinux. Det ligger i det såkaldte Software Center. Det giver dig mulighed for at spille uden problemer. Er ikke selv den store gamer så hvordan det lige er med 3D kan dog ikke forsstille mig det skulle give problemer. Nye spil som f.eks. Diablo 3 kan du uden problemer køre.

Hans Andersen

Ah, skal vi nu ikke lige... Jeg har prøvet Wine og PlayonLinux et par gange, og det har aldrig været problemfrit.

I øvrigt, er der en guide til at få nemid til at virke på en linux? Eller er det lige til?

Jonas Finnemann Jensen

Nu er jeg ikke så paranoid at jeg gider kører Firefox under en bruger uden adgang til noget interessant...
Når jeg hører om polsag, etc. er jeg p.t. ikke bange for at politiet spionere :)

Men hvis jeg var, tror jeg altså det er nok at kører Firefox under en gæste bruger:
$ sudo -U guest firefox

En VM er nok lidt overkill.

jacob Kyndig

Har ikke selv erfaring med at spille på Linux så snakker kun ud fra hvad jeg har hørt og læst. Min egen erfaring med Wine og PlayonLinux er at det bedst at højreklikke og bede programmeet blive startet med enten Wine eller PlayonLinux. Kan ikke give en forklaring på hvorfor, men min erfaring er bare det virker, selv det måske ikke virker når man f.eks. starter i selve PlayonLinux.

Bruger selv Kubuntu (en viderebygning af Ubuntu) og vil ikke bytte med noget andet styresystem. Windows 7 er godt men det ikke i nærheden af Kubuntu og de muligheder Kubuntu byder på.

Jacob Ottesen

Nye spil som f.eks. Diablo 3 kan du uden problemer køre.

Ok DET lyder interessant. Skal jeg helt klart lige ha prøvet.

Har kun prøvet den Debian distro som Michael nævnte længere oppe. Men har siddet og læst lidt om Ubuntu som jo er ret udbredt og også ser ud til at have en lækker brugerflade, så tænker at den (eller Kubuntu) også skal prøves. Men damn der er mange muligheder. Sådan et barn barn af velfærdsstaten som jeg selv, kan jo slet ikke styre alle de valg :-)

Er der en god inføring i hvordan man bruger kommandlinien et eller andet sted? Altså grundlæggende kommandoer etc.

Michael Degn

@Jacob

Debian er efter min mening en rigtig god og stabil Linux distro, men den er lidt rå og knap så finpudset, og måske ikke så velegnet til førstegangsbrugeren. Her får du nok mere glæde af f.eks. Ubuntu eller Linux Mint.

De kommandoer, du efterspørger hedder bash og afvikles fra terminalen. Terminalen er det stærkeste værktøj i Linux, men kræver et ret indgående kendskab. Du kan læse om bash på http://ss64.com/bash/

God fornøjelse ;-)

Jimmy Frydkær Dürr

Til Wine og PlayOnLinux, som helt "grøn" bruger af GNU/Linux vil jeg meget kraftigt anbefale Ubuntu Linux. Ubuntu er let at installere. Efter installation ved "first run" skal man lige huske at installere alle opdateringer, da der som regel ligger nogle stykker.

Efter installation vil jeg så råde dig til at gå ind på:

http://www.ubuntudanmark.dk/forum

Og derinde oprette en konto. Gennem medlemskab på Ubuntudanmark.dk/forum har du adgang til umådelige mængder af guides og lige så meget personlig hjælp.

Efter det - Spil løs.

Troels BM

Er der nogen herinde der har erfaring med at få Danske Banks netbank op at køre på Linux? Det virker ikke 100% på min Linux Mint installation; har fået at vide af deres hotline det er java-relateret (givetvis...), men ikke mere end det.

Tips er velkomne!

Michael Nielsen

Over hvorfor NemID er designet som den er, og den eneste mulige konklusion er at der er andre krav end sikkerhed der drev processen... Jeg nægter at tro at det er uvidenhed eller inkompentence der gjorde det (men det kan bare være jeg bare overestimere deres folks evner)..

Da NemID har brudt samtlige sikkerheds principper og love, helt uden at blinke.

Men når man ligger statens ønske om Stasi/KGB ligne overvågning ind i systemet, så kan jeg se logikken i det elendige design, og det hele giver absolut fornuft.. Problemet er bare at det betyder vi har en stat som er på niveau med Kina, og der er enormt magtmisbrug, og man respektere hverken folks retsikkerhed, eller privat liv.. Og det er forkert på så mange niveauer at det er vanvittigt, vi er derved ikke et frit land, men bor i en totalitær politistat.

Forresten vedr. Virtuelle maskiner, du kan snapshotte dit guest system, som betyder du kan nulstille systemet fuldstændigt, på en meget nem måde, altså behøver man ikke re-installere fordi der kommer en virus ind, eller for at fjerne feks NemID trojaner, man nulstiller bare tilbage til en previous state, og vupti alle disk ændringer fortaget er fjernet.

Jeg tror endda der er en måde man kan sammenligne snapshots og finde ud af hvad der er sket mellem 2 snapshots..

Ellers kan man installere den gratis version af tripwire på sin virtuelle maskine, og så kan man køre det og finde ud af hvad der er ændret sig på disken...

Michael Nielsen

Ja jeg har Danske bank virkende på linux.

Problemet er at OpenJDK ikke er 100% java kompatible, den er tæt på, og virkede en overgang, før de sidste hacker forsøg mod NemID.. Nu har de strammet sikkerheden, og det har gjordt at OpenJDK ikke virker mere.

For at få netbank til at virke igen (alle banker som jeg forstår det), skal du downloade JRE (eller JDK) 1.6 fra oracle (www.java.com), og installere den, der efter skal du fjerne OpenJDK fra din browser som plugin - det variere lidt fra distro til distro, men basalt set, fjern alt hvad der har med java at gøre fra /usr/lib/mozilla/plugins, eller /usr/lib64/mozilla/plugins, og opret et link fra /usr/java/default/jre/lib/amd64/libnpjp2.so til /usr/lib64/mozilla/plugins/libnpjp2.so (for 64 bit, sørg for du vælger den rigtige java, ellers bliver det virkeligt svært..

kommandoen ln -s /usr/java/default/jre/lib/amd64/libnpjp2.so /usr/lib64/mozilla/plugins/libnpjp2.so er normalt nok.

fjern 64 hvis det er 32 bit du kørere (og det er i386 og ikke amd64).

Det er en ting jeg syntes er træls ved næsten alle linux distributioner, at de roder rundt med noget alternatives, og gør det besværligt at erstatte opensource java med www.java.com..

Tom Paamand

Jeg kan godt skrue en sandkasse sammen til StasiID, men er der ikke en behjertet sjæl, der kan lave en nem og elegant løsning, der downloaded fx kører isoleret og direkte fra en bootet USB-pind. Altså den løsning, som staten ikke har ønsket at tilbyde. Jeg har i øvrigt ingen grund til selv at være paranoid - PET har bekræftet, at jeg er registreret.

Jimmy Christiansen

http://www.hvordan.dk/hvordan-faar-man-nem-id-og-netbank-linux-firefox
Var et godt tip, nu crasher firefox/OpenJDK 6 ikke pga. NemID.
Ellers kan man bruge Epiphany browseren, den behøver pt. ikke at man gør noget specielt for at virke.

Men det er rigtigt træls at man aldrig ved hvilken browser der virker når man skal i netbank med NemID. Hver gang der ændres/opdateres noget, så er der ofte en periode hvor man må prøve sig frem.

Gad vide hvornår vi får en sikker og reel platform uafhængig single signon løsning/digital signatur. De krav lever NemID i hvert tilfælde ikke op til.

Michael Nielsen

"Det kan jeg ikke konstatere. Min VM med Debian Stable samt OpenJDK virker, så vidt jeg kan konstatere, stadigvæk."

Ok så de har rettet det igen.

Jeg gider bare ikke at skulle bakse rundt med java versioner hver gang nogen - enten i open source community, eller hos bankerne - vælger at rode med noget.. Så jeg ligger ind den officielle version, og så er der næsten aldrig problemer - bort set fra når en opensource person vælger at overskrive, og tvinge openjdk ind - har jeg opelvet 2 gange.

Så jeg på peger bare hvad der virker mest stabilt.

Det der med alternatives er noget værre rod, som jeg ville ønske de fik styr på, men man går jo efter ens-retning på linux nu, og glemmer hvor man kom fra - IMO...

Jesper Lund

Jeg gider bare ikke at skulle bakse rundt med java versioner hver gang nogen - enten i open source community, eller hos bankerne - vælger at rode med noget.. Så jeg ligger ind den officielle version, og så er der næsten aldrig problemer - bort set fra når en opensource person vælger at overskrive, og tvinge openjdk ind - har jeg opelvet 2 gange.

Jeg har det på samme måde, altså at jeg ikke gider lege forsøgskanin for om NemID og bankprogrammørernes Java snask kan køre med OpenJDK.

Jeg har OpenJDK på alle mine cirka 10 Linux maskiner (fysiske og virtuelle), undtagen den virtuelle som kører NemID. Her bruger jeg Oracle/Sun Java. Til gengæld gider jeg ikke opdatere den særligt ofte nu hvor det skal gøres manuelt (er stadig på 6.26, den seneste i Ubuntu repos), og det går nok når maskinen ikke bruges til andet end NemID.

Men don't tell anyone.. at jeg ikke overholder sikkerheds rævlementet (som de siger i Vinterbyøster).

Jesper Lund

Det der med alternatives er noget værre rod, som jeg ville ønske de fik styr på, men man går jo efter ens-retning på linux nu, og glemmer hvor man kom fra - IMO...

Det vil egentlig være rigtigt fedt hvis Oracle holdt op med at lave Java til Linux, eller bare distribuerede den på en sådan måde at man nærmest ikke kan installere den på de gængse Linux distroer (læs: andet end Oracle Linux).

Så ville vi have en situation hvor DanID ikke kunne overholde deres forpligtelser (medmindre de vil kode i Java så det virker med OpenJDK), og borgere med Linux må kvalificere sig til en automatisk undtagelse fra den offentlige tvangsdigitalisering uden at skulle lyve om at de ikke har computer i hjemmet.

Kom Oracle, go for it!

Jesper Lund

Jeg kan godt skrue en sandkasse sammen til StasiID, men er der ikke en behjertet sjæl, der kan lave en nem og elegant løsning, der downloaded fx kører isoleret og direkte fra en bootet USB-pind. Altså den løsning, som staten ikke har ønsket at tilbyde.

Den USB token løsning som (måske) kommer til efteråret. vil formentlig også involvere Java, og hvis det er en signeret Java applet som misbruger sine privilegier til at downloade og "installere" en masse binær kode skjult i GIF filer, har vi samme trojaner problemstilling som i dag. Jeg kan selvfølgelig ikke vide dette med sikkerhed (om det bliver Java baseret), men hvis der skal være samme brugerinterface som i dag, taler vi formentlig om Java. Anyways, det finder vi meget snart ud af hvis Lars Frelle Petersen virkelig har ret i at den private nøgle på smartcard kommer til efteråret, som han sagde på samrådet den 15. maj.

USB token løsningen skal flytte den private nøgle hjem til dig, hvor den så retteligt hører hjemme. Alt andet, herunder DanIDs server opbevaring af din private nøgle. er sådan set forbudt ved lov (men meningen er ikke at NemID skal overholde loven om elektroniske signaturer).

Dit reelle spørgsmål er derfor om man [på Windows] kan køre en virtual machine, med en stripped-down Linux med Java+Firefox, som stand-alone "applikation" fra en USB stick (altså VM host'en er stand-alone Windows applikation). Det kan man formentlig godt, men jeg har ingen erfaring med det. Rent performance mæssigt bliver det heller ikke optimalt: USB sticks er relativt langsomme at læse fra, og du skal indlæse en del MBs fra USB enheden.

jacob Kyndig

@Jacob

Vil også helt klart anbefale Ubuntu til starte med. Det gjorde jeg selv og det gjorde det relativt smerterfrit. Der er rigtig meget på nettet om hvordan du gør, så man kan altid finde en løsning. ubuntudanmark er et rigtig sted. Vil du have en lille kort intro til hvordan Ubuntu fungere og ser ud kan du se en dansk anmmeldelse her.

http://www.kanaltux.dk/category/podcast/

Ubuntu har også den fordel at du kan finde de fleste programmer i software centeret.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Excel kursus grundlæggende

Hvornår: 2015-09-03 Hvor: Storkøbenhavn Pris: kr. 5100.00

Business Intelligence med SharePoint og Office 365

Hvornår: Hvor: Østjylland Pris: kr. Efter aftale

It-lederen

Hvornår: 2016-09-01 Hvor: Østjylland Pris: kr. 18000.00

Webinar: Word - Få styr på korrekturlæsningen

Hvornår: 2015-09-01 Hvor: Efter aftale Pris: kr. 990.00

Networking with Windows Server 2012 [10970]

Hvornår: 2015-11-23 Hvor: Storkøbenhavn Pris: kr. 19500.00