Natlig opdatering smadrer NemID-certifikat - Danske Bank skifter til nød-login

En planlagt opdatering af det certifikat, som bruges af NemID-appletten, har ført til, at certifikatet ikke længere har Nets DanID som tydelig afsender.

NemID er onsdag morgen ramt af et problem med det certifikat, som skal bevise, at den software, der skal køre på brugerens pc, kommer fra Nets DanID. Problemet har fået Danske Bank til at skifte til bankens nød-login, hvor brugeren skal bruge mobiltelefonen for at komme på netbanken.

»Vi har haft en planlagt opdatering i nat af certifikatet. Nu fremgår det ikke tydeligt, at det kommer fra Nets DanID,« siger pressechef Søren Winge fra Nets DanID til Version2.

Certifikater til Java-appletter er en sikkerhedsforanstaltning, hvor en digital signatur skal bekræfte, at softwaren kommer fra en bestemt afsender. Det er meningen, at en bruger skal afvise at køre softwaren, hvis appletten ikke er underskrevet korrekt.

Efter nattens opdatering har NemID-appletten udgiveren 'Unknown'.

»Vi overvejer nu om, om vi skal rulle opdateringen tilbage for at sikre en tydelig afsender,« siger Søren Winge til Version2.

Danske Bank har foreløbig valgt at skifte til den backup-løsning, som banken bruger i tilfælde af nedbrud i NemID-login-systemet. Den indebærer, at kunden skal logge på ved hjælp af sit CPR-nummer og de sidste 8 cifre i af et af kundens betalingskortnumre, hvorefter kunden får en kode tilsendt til sit mobilnummer, hvis han har oplyst det til banken.

Tak til Version2-læsere for de tilsendte skærmdumps.

Kommentarer (22)

Lars Hansen

»Vi overvejer nu om, om vi skal rulle opdateringen tilbage for at sikre en tydelig afsender,« siger Søren Winge til Version2.

nej hvorfor dog det... lad os da endelig vende danskerne til blot at acceptere alle applets ligegyldigt hvem der har signeret dem. Det er da super fornuftigt. (sarkasme kan forekomme)

Henrik Høyer

"Du skal bare trykke ja, og du kan også sagten sætte kryd i trust allways". For f.... lad nu være med at misinformere jeres brugere.

Hvordan skal vi nogensiden stole på et system der er udviklet, drevet og supporteret af folk uden helt basal viden omkring sikkerhed, suk!

Jesper Skjærbæk

Jeg skrev dette lille debat oplæg, for et stykke tid siden.
Jeg har så senere sendt det som en mail til NemID.
http://ing.dk/debat/141975
I korte træk handler det om hvordan man kan Hacke NemID.
Jeg venter stadigt på svar fra dem.
Men af samme grund holder jeg mig til kun at bruge det til E-boks.

Brian Sørensen

I det daglige er jeg egentlig nogenlunde tilfreds med NemID, sandsynligvis fordi jeg er en naiv optimist, der ikke tror tingene går ud over mig. Men jeg må sige at det her NemID er noget af en farce, det er jo først og fremmest ikke en digital signatur (selvom det bliver kaldt det), det er heller ikke sikkert (det er bevist mere end én gang), det er også tvivlsomt om det er nemmere (der var også problemer med den gamle digitale signatur), og ikke mindst så er det et privat firma (bestående af amatører) med en relativt kort kontrakt, der gør at hele løsningen måske skal skiftes igen (hvilket måske egentlig er en god ting).

Så skulle vi ikke næste gang, lave en rigtig digital signatur med åbne standarder, som evt. kunne være designet af folk der ved hvad de laver.

Thomas Hansen

Ja, det er måske en god ide.

Med alt det ballade der har været, bare de sidste par dage, omkring NemID og relaterede emner, så forstår jeg ikke at finanssektoren fortsætter med NemID.
Det kan de simpelthen gøre bedre selv, og fordi de så kan bruge individuelle login systemer, vil sikkerheden forstærkes med antallet af forskellige login muligheder.

Thomas Hansen

Øh det er jo lige præcis "finanssektoren" der står bag, ikke af hensyn til borgerne, men ud fra et ønske om at profitere på en monopolløsning.

"Finanssektoren" er en del af problemet, ikke af løsningen.

Jo, Nets (Det gamle PBS) kan jo bare vælge at trække sig ud af kontrakten. Der er alligevel ikke de penge i det, som de går og tror.
Eller endnu bedre, man kan smide dem ud af kontrakten, med henvisning til at de ikke opfylder kravene.

Det helt store problem ligger i, at der er tale om hele den Danske offentlige IT-strategi.
Det kan hurtigt løses, men ingen vil tage ansvaret for at trække stikket.

Hvad mon der sker, hvis man

Hvad mon der sker, hvis man sætter flueben i ”Always trust content from this publisher" - hvis Publisher = ”UNKNOWN” ???
Vil man så ikke lige NETOP tillade ALLE, der intet gyldigt certifikat har ???

Jo.
Det er ca. lige så hjernedødt som det lyder.

Nu er jeg træt af DanID. Jeg vil gå ud og snakke med hønsene, de kan i det mindste finde ud af at gemme sig for ræven.
Gog gog gog gog

Kasper Grubbe

Hvornår bliver det vurderet at DanID åbenbart ikke er modne nok til opgaven at drifte og udvikle en så vigtig del af Danmarks infrastruktur?

Thue Kristensen

Hvad mon der sker, hvis man sætter flueben i ”Always trust content from this publisher" - hvis Publisher = ”UNKNOWN” ???
Vil man så ikke lige NETOP tillade ALLE, der intet gyldigt certifikat har ???

Som jeg forstår det, så er appletten stadig signeret med et certificat, selv om det ikke bliver verificeret genne chain of trust.

Så hvis man afkrydser ”Always trust content from this publisher" så husker man dette certifikat (som jo kun DanID har privat-nøglen til), og ikke til alle som påstår at de er udgiveren "unknown".

Henrik Madsen

I øjeblikket er Nets DanID i gang med at forny certifikat. Det bevirker desværre lige nu, at certifikatet beskrives som ”UNKNOWN” (ukendt). Der burde stå ”Nets DanID”. Det er sikkert nok at sætte flueben i ”Always trust content from this publisher" og logge på Netbank.

Nu er lige netop Nordea så heller ikke de hurtigste knallerter på havnen.

Var for nyligt til et møde for "gode kunder" og der snakkede områdedirektøren vidt og bredt om NemID's lyksaligheder og velsignelser og så ville han da godt lige dele et skide gode tip hvis man havde en smartphone og ikke gad rende rundt med papkortet.

Man tog da simpelthen bare et billede af sit papkort med sin smartphone...

Sjovt nok fik han travlt med at svømme rygsvømning da jeg gjorde ham opmærksom på at det måske var usmart at stå og komme med gode tips til NemID som :

  1. Forringer sikkerheden markant.
  2. Direkte er i modstrid med DanID's brugerbetingelser.

At tænke sig at en område direktør står og fortæller sine kunder at man da bare tager et billede af sit PapID kort viser jo hvor lidt sådan en (Pardon my french) tåbe, har sat sig ind i tingene.

Henrik Madsen

Rasmus Jelsgaard

At tænke sig at en område direktør står og fortæller sine kunder at man da bare tager et billede af sit PapID kort viser jo hvor lidt sådan en (Pardon my french) tåbe, har sat sig ind i tingene.

Er du overrasket over det? Min egen erfaring er, at ledere ikke nødvendigvis sætter sig godt ind i teknikken. Det er vel heller ikke altid deres opgave. Jeg er nu enig i, at det er rimeligt friskt at stå og opfordre til brud på betingelserne for anvendelse af NemID. Der må sidde nogle store cojones på den mand :)

Men, jeg kan til gengæld høre, at benævnte områdedirektør har sat sig godt ind i den situation som brugerne af NemID befinder sig i. Nemlig, at man har idriftsat et system, der er så klodset og uigennemtænkt at det første, der sker er at innovative mennesker straks finder på workarounds, der får brugen til at være tålelig. Det sker vist næsten altid i den slags situationer og er vel nærmest en lovmæssighed indenfor udvikling af IT-løsninger.

Hvor mange incidents af samme kaliber, der mon skal til før NemID endelig får sparket? Det er det gode spørgsmål.

Mit gæt er, at det sker, når det bliver et forretningsproblem for bankerne. Lidt øffen blandt slutbrugerne over at det er besværligt er formodentlig ikke nok til at give dem rynkede bryn. Hylen og skrigen fra den - trods alt bedrevidende (i den positive forstand) - danske tenikerhorde her på v2 er nok desværre heller ikke nok.
Eklatante dumheder, som den, vi var vidner til i dag kunne godt give anledning til eftertanke og en overvejelse af om det er den rigtige leverandør og løsning, man har valgt. Til sidst kan det endda komme så vidt, at man i ledelsen spørger nogen med teknisk indsigt. Og herefter kan det være, der sker noget.

Christian Nobel

At tænke sig at en område direktør står og fortæller sine kunder at man da bare tager et billede af sit PapID kort viser jo hvor lidt sådan en (Pardon my french) tåbe, har sat sig ind i tingene.

Nu er det sådan at bankverdenen nok er den branche hvor Peter Princippet er mest udbredt - som hovedudgangspunkt kan man næsten altid føre en mere begavet samtale med en celledør, det være sig både hvid som mahognifineret, end med en banksælger^^^^^^^"kunderådgiver".

Michael Nielsen

ALDRIG BRUGE "TRUST ALWAYS"

Når det kommer til java applets, den pop-up i får er den ENESTE advarsel i har for uregelmæssigheder via java applets..

Når I checkker af "trust always" kan nemID gøre hvad som-helst når som-helst på din maskine uden du får nogen som helst advarseler.

Notere at NemID har uploaded billed filer som mystiskvis ser ud til at indeholde script coder, så jeg undre mig lidt over hvad de laver.

Og hvis en af applets der kommer fra Nets indeholder en fejl der tillader at der kan uploades filer, og en person finder ud af at de kan bruge en abitrær kilde til at hente filerne fra, har du lige give dem mulighed for at hacke din maskine uden du får nogen advarsel.

Jeg anbefaler altid at ALDRIG bruge "trust always" fordi du giver en carte-blanche til alt hvad der ser ud til at komme fra den vendor, men er der et hul i java appletten, hvor den kan bruges til at uploade filer (og vi ved allerede at NemID uploader filer til klient maskinen), har man lige åbnet en lade port ved at bruge "trust always"..

Og Nej dette har intet med at jeg ikke stoler på DanID eller Nets (hvilket jeg heller ikke gør), men muligheden at man finder et hul i DanID appletten, kunne man teoretisk misbruge den til at få adgang til alle computere i Danmark - det er en lækkebisken for alle hackere.

Erik Jacobsen

Jeg har et andet argument for ikke at sætte kryds i "trust always". Det er nemlig (en lille smule) betryggende at få den advarsel hver gang man skal bruge NemID. Det er trivielt muligt, og demonstreret, at man kan lave en pixel-perfekt kopi af NemIDs login-boks.

Hvis du har sat kryds i "trust always" vil den ikke-signerede kopi opføre sig præcis som den rigtige.

Har du ikke kryds i "trust always" vil du bemærke forskellen: ingen pop-up - dermed noget galt.

Thue Kristensen

Hvis du har sat kryds i "trust always" vil den ikke-signerede kopi opføre sig præcis som den rigtige.

Har du ikke kryds i "trust always" vil du bemærke forskellen: ingen pop-up - dermed noget galt.

Nu vises popup-vinduet jo inde over browseren, så en angriber kunne også bare lave noget HTML som lignede et sådant popup-vindue på en prik. Et helt simpelt eksempel er at tage et screenshot af en browser med et sådant popup-vindue foran, og så vise det på en hjemmeside, med korrekte onclick-handlinger for områder af billedet.

Eller bare at loade en rigtig nemid-applet et skjult sted på siden (bag andre elementer, eller nederst på en lang side), og så vise en falsk login-boks der hvor brugeren kigger. Det ville generere en popup-boks.

Det illustrerer at popup-vinduet er ikke er en metode til at sikre sig at du taler med den rigtige. Og at det ikke hjælper at lade være med at vælge "trust always". Så vidt jeg har kunnet finde, så vil du heller ikke i dokumentationen for java-appletter finde noget sted hvor der står at en signeret java-applet er en metode til at skelne mellem en rigtig java-applet og en falsk usigneret java-applet.

Lars Tørnes Hansen

Det kunne være interessant hvis der kunne leveres en USB disk med f.eks Lubuntu variant, der kunne køre et ikke-java program, så Java i det mindste kunne komme ud af ligningen.

Bonus er at de kun behøver at lave et stykke software. De kan også skrue hårdt på sikkereheden.

Det program ville selvfølgelig komme præinstalleret, og komme fra et DanID pakkearkiv beregnet til den sædvanlige automatiske opdatering af hele systemet og alle programmer som en Debian baserede system altid foretager af sig selv som standard.

En opdatering af softwaren (de installerede pakker fra pakkearkiverne) kan sættes op til at gå i gang ved hver opstart. Installation af en ny kerne vil så først være i funktion næste gang den startes op.
Dog kan der være så graverende sikkerhedsfejl i kernen, eller et softwarebibliotek at en genstart er påkrævet, og det bliver man så nødt til at gøre. Systemet skal selvfølgelig informere brugeren om hvad der sker og hvorfor.

Endnu bedre ville det være hvis NemId så også bliver til en rigtig Digital Signatur.

Den dyre pakke løsning er naturligvis også at levere en lille computer med, Raspberry Pi, model B, f.eks - det kan bruges som en meget billig løsning.
Den kan nemt bruges som en sikker offentlig computer ved at man har sit eget SD-kort med ens NemID ting på i et seperat krypteret /home filsystem.
Løsningen er også god for dem som ikke har råd til en rigtig computer og ikke er interesseret i antivirus og hvad har vi, men bare gerne vil have noget der virker - i det her tilfælde er det NemId + en browser på grund af Netbank, og tvangsdigitaliseringen.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Beskæftigelse og organisation

Hvornår: 2015-08-31 Hvor: Østjylland Pris: kr. 9800.00

Koblingslederen / koblingspersonen

Hvornår: Hvor: Storkøbenhavn Pris: kr. Efter aftale

Kepner-Tregoe® Foundation

Hvornår: 2015-09-03 Hvor: Storkøbenhavn Pris: kr. 10900.00

Projektøkonomi - få styr på begreber og værktøjer

Hvornår: 2015-09-09 Hvor: Storkøbenhavn Pris: kr. 6400.00

MCP 20467 kursus: Designing Self-Service Business Intelligence and Big Data Solutions

Hvornår: 2015-10-05 Hvor: Storkøbenhavn Pris: kr. 18750.00