Q&A: Spørg sikkerhedseksperten om NemID

Hvilket sikkerhedsniveau mener du, at en offentlig logon tjeneste bør have? Er det acceptabelt, at der sker misbrug i et vist omfang, eller skal tjenesten være umulig at misbruge?

Man kan selvfølgelig ikke beskytte sig mod alle dumme brugere.
Men et minimum så bør tjenesten være designet sådan, at kompetente brugere er sikret mod misbrug. Sikkerhedsproblemet som version2 har demonstreret er et eksempel på et løseligt sikkerhedsproblem, som selv kompetente mennesker kan falde for, pga dårligt design fra NemID's side.

Såfremt der bliver fundet et sikkerhedshul i appletten formoder jeg at danid vil udgive en opdatering. Hvilke muligheder findes der for at sikre at der anvendes en opdateret udgave af java appletten?

Da java appletten gives ekstra rettigheder er det vigtigt at anvende den nyeste udgave, da et evt. sikkerhedshul i en ældre udgave kunne kompromittere brugerens computer.

Hvilke muligheder har brugerne for at sikre sig, at et ondsindet website ikke kan anvende en ældre udgave af appletten med kendte sikkerhedshuller?

Hvilke muligheder har danid for at sikre sig, at et ondsindet website ikke kan anvende en ældre udgave af appletten med kendte sikkerhedshuller?

Hvorledes bør man forholde sig overfor offentlige myndigheder som opfordrer borgerne til at ignorere advarsler om et udløbet certifikat på appletten?

Hvad er formålet i det hele taget med at bruge Java og giver det eventuelle argument mening?

Hvad er formålet med, at appletten skal have ret til at læse og skrive på min harddisk? DanID siger, så vidt jeg husker, at der er for at gemme en krypteret log-fil på harddisken, men kunne man ikke lige så godt gemme den på serveren? Man kan jo sørge for, at den kun kan læses med brugerens tilladelse ved at benytte sit eget produkt til formålet.

Undskyld men denne tjenste er lige præcis designet til "dumme" brugere.
Den er designet til hr. & fru Danmark, hele ideen med den er at "dumme" brugere kan få en sikker forbindelse til det offentlige, pengeinstitutterne og pensionskasserne. Det er også disse "dumme" brugere som har et behov for at blive sikret mod misbrug, vi andre kan selv finde ud af det.
Hele ideen bag NemID går i spåner hvis sikkerheden i systemet ikke kan garantere "dumme" brugeres sikkerhed.

Kan du ridse op hvordan du selv ønskede systemet designet, hvis du havde et blankt papir at starte på. Specielt i relation til:

*clientside-teknologivalg,
*nøgleproblematikken mht. elminiering af private nøgler og forbud mod afledte nøgler,
*monolitisk arkitektur vs. modulær arkitektur,
*fravær af gængse standarder/interfaces
*...og hvad du iøvrigt finder relevant.

Bonus-spørgsmål; Hvad vurderer du det vil koste samfundet i resourcer/penge, hvis der skulle omlægges fra nuværende system, til et sådant system.

Til ovenstående vil jeg bede dig forholde dig til Stephan Engbergs debatindlæg:
http://www.version2.dk/artikel/sikkerheds-ekspert-saadan-burde-staten-ha...

Hvor er du enig/uenig?

Jeg har for mange måneder siden sendt en klage til datatilsynet over at DanID kræver adgang til min harddisk, og på den måde tvunget DanID til at komme med et seriøst svar. Når DanID på denne måde bliver tvunget til at svare, så viser det sig pludselig at logfilen ikke er hovedgrunden (ifølge DanID selv)! Jeg nævnte også pointen med at gemme logfilen på deres server, samt blandt andet at logfilen jo ikke er særligt beskyttet i dag, hvor den ligger på alle computere hvorpå jeg har brugt NemID, for eksempel bibliotekets computer.

Ifølge DanID selv, så er hovedgrunden til at de vil have fulde rettigheder, at de gerne vil køre antivirus via appletten, som prøver at beskytte NemID-login mod MitM-angreb på virus-inficerede computere.

DanID angav også, at skulle bruge skriverettighederne til at cache noget javakode. Men jeg gjorde pænt datatilsynet opmærksom på, at man altså godt kunne bruge browserens indbyggede caching til at cache en internet-applikation uden at kræve fulde skriverettigheder. Plus en metode til at bruge JavaScript til at beskytte sig mod modification af de lokalt cachede JavaScript-filer.

Jeg venter stadig spændt på Datatilsynets kendelse. Det virker til at de tager sagen og mine argumenter alvorligt, selv om det går langsomt.

Så vidt jeg kan se, så bruger NemID kun Java for at kunne lave virus-beskyttelsen. Min klage indeholdt også en udførlig beskrivelse af, hvorfor det ikke er smart at bruge Java pga alle sikkerhedshullerne i Java, i stil med (men skrevet før) Secunia's Thomas Kristensen's kritik.

(Min klage var på 6 sider, så der var mange andre pointer i den som denne margen er for kort til at indeholde)

Jeg er personligt ikke bange for de indeværende dages overskrifter vedr. MITM-angreb. Jeg er meget mere bange for potentialet for misbrug af systemet fra personer der allerede har legitim adgang til det, eller har politisk magt over det.

Bruce Schneier, som jeg er sikker på du kender, har fornyligt listet de 3 sikkerhedstrusler han ser som de største i den nære fremtid, og her er der heller ikke nogen bank-konto-fiskning at finde. Men derimod;
1. The Rise of Big Data
2. Ill-Conceived Regulations from Law Enforcement
3. The Cyberwar Arms Race

(www.schneier.com/blog/archives/2011/09/three_emerging.html)

Som jeg ser det, er NemID i sin nuværende konstruktion, en stor saftig plukkemoden fersken i forhold til de ovennævnte trusler. Specielt så længe at den komplette systemmæssige umyndiggørelse af mig som borger i informations-samfundet er hardcodet ind i designet af NemID og driften lagt over i en privat bankvirksomhed.

Har du nogen kommentarer til mig, der kan berolige mig?

Hej Ulf,

Bare for at få det sort på hvidt: DanID skriver i en pressemeddelelse at det angreb som Ingeniøren demonstrerer kun er et "konstrueret scenarie". Men er angrebet ikke netop af nøjagtig samme art som det Nordea blev udsat for i praksis i september? Med andre ord: lyver DanID rent ud sagt når de afviser Ingeniørens scenarie som "teoretisk"?

Desuden skriver DanID at angrebet er "ganske krævende at udføre på en troværdig måde i det virkelige liv", og at "udbyttet for den kriminelle ikke vil stå mål med indsatsen". Har du nogle kommentarer til disse to påstandes sandfærdighed?

Tak

Har selv været generet af at nemId stiller mange uspecificerede krav til den lokale PC ( både negative og positive)
Skyldes sikkerhedsproblemerne at man har måttet gå på kompromis med behovet for en meget tyk klient (som ville være umulig at styre) for at tilgodese brugervenlighed (en tynd klient)der giver flexibilitet.