Nets er utroværdige

Det er meget tydeligt at Nets har en forkert holdning til sikkerhed.

Da en fotograf henvendte sig med evidens der stank langt væk, kunne de ikke finde noget problem, men når sagen nu er gennemlyst i alle medier kan de pludselig godt finde noget.

Det lyder som en organisation der fokuserer på "plausible deniability" frem for reel sikkerhed.

De citater der kommer ud af Nets, nu hvor de er blevet trukket til truget og har fået mulen presset helt ned i vandet er heller ikke kønne:

”Vi er chokerede over, at der er sket et sådant misbrug af fortrolige kreditkortinformationer. Det må ikke ske. Vores undersøgelse tyder på, at det er en kriminel handling foretaget af en betroet medarbejder hos IBM,”

Ren "blame-allocation".

"”Det er ikke muligt fuldstændigt at sikre sig mod personer, som misbruger deres betroede stilling med kriminelle formål for øje."

Ren ansvarsforflygtigelse.

Og vi har stadig ikke set skyggen af en undskyldning til de ramte personer fra Nets, formodentlig af frygt for erstatningssager.

Man efterlades med det indtryk at ret meget af sikkerheden hos Nets er tilrettelagt som en Potempkin-kulisse som skal få revisorene til at nikke lodret så billigt som muligt og at den eneste rigtige sikkerhed de bekymrer sig om, er deres økonomiske sikkerhed.

Det bliver formodentlig bare endnu værre nu hvor de ny ejere skal malke firmaet for ca. en milliard om året.

Og festen stopper ikke der:

  • Java-helvedet hvor Nets aldrig rigtig er klar når der kommer nye versioner.

  • De skjulte eksekverbare programmer der snager i folks computere

  • Truslerne imod datalogen der havde udviklet en JavaScript løsning langt hurtigere og billigere end Nets inkompetente ågerpriser

  • Nedbrudene, der altid er "uforklarlige"

osv. osv.

Få det firma ud af kritisk digital infrastruktur, nu!

phk

Poul-Henning Kamps billede
Poul-Henning er selvstændig systemprogrammør, kernekoder, Varnish-forfatter, data-arkæolog og brokkehoved uden særlig portefølje.

Kommentarer (31)

Claus Hillker

  • Jeg vil endnu engang opfordre dig til at indtage en betydende ministerpost, partifarven er helt og aldeles ligegyldig - Du har min stemme!
Ditlev Petersen

Er det vel Staten/samfundet, der skal betale erstatning til Nets. Lige som DSB skal betale, når Ansaldo-Breda ikke leverer tog.

Faktisk er der eksempler på, at firmaer har fået tilkendt erstatning, fordi de har fået forbud mod at sælge et giftstof, der var forbudt hjemme i USA. Eller har fået erstatning efter at have forurenet med olie. Et tobaksfirma sagsøger Australien (tror jeg det var) på grund af landets kampagne mod rygning.

Michael Christensen

Det er ganske enkelt jordens tyndeste forklaring. Du kan ikke udlicitere ansvar. Det er stadigvæk Nets's ansvar at sikrer sig mod en rouge medarbejder ved en underleverandør. Jeg er glad for, at det ikke er min stol, der står, hvor ansvaret placeres. Den må være ret varm.

/Michael

Hans Peter Grøndal

Hej PHK,

Du glemmer Heartbleed.

Der var aldrig nogen fra Nets, som afviste af have brugt de berørte versioner.

Det Nets sagde, og journalister tolkede som en afvisning, var, at Nets ikke >>vurderede<< at Nets eller deres kunder havde være udsat for en sikkerhedsrisiko.

Det er jo ikke helt det samme. Jeg kunne godt ønske mig, at nogen spurgte Nets direkte - "Har Nets eller nogen af Nets underleverandører brugt versioner af OpenSLL, som har Heartbleed-sårbarheden i sig?

I nedenstående pressespin-udtalelse, er der efter min opfattelse grundlag for at putte en tolkning af, at Nets ikke mener, at der er et problem fordi sikkerhedshullet jo tilsyneladende ikke har været udnyttet "in the wild".

Jeg giver generelt ikke meget for Nets' vurderinger. Tænk bare på, at de ikke mente, at det var et problem at rådgive borgerne til bruge en gammel usikker version af Java til NemID.

Nets svar til CW:
"Nets har nu foretaget en sikkerhedsmæssig vurdering af sine systemer både internt og hos underleverandører," fortæller Søren Winge til Computerworld.

"Den klare vurdering er, at Nets og Nets tjenester, herunder også NemID, ikke er eksponeret, og vi har heller ikke været det, overfor den kendte OpenSSL-sårbarhed kendt under navnet Heartbleed, der kom til offentlighedens kendskab sidste tirsdag," forklarer han

Kilde: http://www.computerworld.dk/art/230676/nets-her-er-resultatet-af-sikkerh...

Min bull shit detektor går alvorligt amok når der bliver brugt ord/udtryk som "Den klare vurdering" og "eksponeret".

Jonas Finnemann Jensen

... er vi alle tvunget til at overlade en kopi af al vores kommunikation med det offentlige i nævnte firmas varetægt


Jeg tror der er mange som gerne så en konkurrant til NemID og eBoks.
Teknisk set burde det vel ikke være så svært. Der skal sættes et par servere op, printes et par tokens, måske integeres med en generisk OTP service.
Der skal selvfølgelig også være en forretnings model, så der kommer lidt penge ind, samtidig med at man sender tokens ud.

Så mon ikke en NemID og eBoks konkurrant kan startes på garage-budget?
(Jeg har ikke lige tid, men vil da gerne opfordre andre til at prøve)

Christian Nobel

Så mon ikke en NemID og eBoks konkurrant kan startes på garage-budget?

Det burde altså ikke være raket videnskab at etablere en rigtig (PKI) digital signatur i det 21' århundrede.

Så kunne man (dem der ønsker det, og som gerne selv tør tage et ansvar) jo passende få krypterede mails fra det offentlige på den allerede opfundne, velfungerende måde - nemlig email!

Henning Kristensen

IBM-Batchoperatør fra Valby afsløret som Superskurk!

Helt planmæssigt lægges der nu røgslør ud. Alt hvad der minder om detaljer skjules under dække af at være omfattet af en kommerciel kontrakt med IBM og politiets igangværende efterforskning. Ku' man så ovenikøbet lige få profileret tys-tys kilden som en aldeles unik superskurk, så er den jo virkeligt fjong.

Det er jo ikke fordi at tys-tys kilden har siddet helt alene i sin superskurke-hule med sin hemmelige superskurke-identitet og sin helt egen superhemmelige skurke-computer. Han har boet i Valby, mødt på arbejde, sludret med kolleger og chefer og han har moslet rundt med data på computere, hvor andre også har haft adgang og kunnet kigge ham over skulderen. Han har tilmed åbenhjertigt postet sine journalist-relationer på Facebook.

Spørgsmålene hober sig op. Vi er givetvis mange, der rigtigt gerne vil lære af det her. Helt generelt er det vel interessant at få at vide præcis hvordan tys-tys kilden har opereret og hvordan han har været i stand til at skjule sit forehavende. Hvor sofistikeret har det været? De allerførste gæt om at der skulle være tale om database-triggere med automatisk SMS-afsendelse direkte til journalisten, er jo tilsyneladende skudt over målet.

Men hvorfor har han kun lejlighedsvis kunnet putte nye personer på "overvågningslisten"? Hvordan har han undgået at blive fanget i interne kontroller eller af kolleger? Overordnet er der vel ingen tvivl om at Nets har kørt en ret omfattende change-proces - har den været en forhindring eller en løftestang?

Indlysende at Nets har travlt med at fortælle at de skærper kontrolfunktioner og øger log-kiggeriet på bagkant - men hvordan blev tys-tys kildens opslag overset i første omgang? Sløseri eller spare-iver?

Hvilke signaler om illoyalitet har kolleger og ledere overset? Har de lukket øjnene undervejs? Hvorfor?

Vi får nok bare ingen svar før IT-havarikommisionen går ind i sagen... Nåh-nej. Øv. Sådan een har vi jo heller ikke!

Peter Makholm

Vi har en stærk indikation på, at det kun er sket denne ene gang. Men det er også en gang for meget. Hvis der er andre, vil vi slå grundigt ned på det. Men der er ikke noget, der tyder på, at det er tilfældet, siger Bo Pedersen.

Skriver dr.dk/nyheder i artiklen: Naviair: Vi har et troværdighedsproblem

Forskellen mellem mediehåndteringen hos Nets og Naviair virker slående...

Andreas Bach Aaen

Sikkerhedshåndteringen/forståelsen fra Nets var også lige så håbløs, da der var en der lavede en alternativ klient til NemID.
Det eneste den reelt gjorde var, at fjerne et lag af det security by obscurity, som NemID er pakket ind i.
Det er klart at NemID ikke kan stå inde for den alternative implementation, men at true med bål og brand det er virkeligt under lavmålet.

Michael Jensen

Vi har ikke fået meget at vide om beskyttelsen af vores NemID. Der er mest at alt tale om at Nets helst ikke vil ud med nogen detaljer omkring sikkerheden, for så åbner de op for kompromittering af sikkerheden... Vi skal bare stole på at Nets holder vores data sikre.

Nu finder vi så ud af at Nets' sikkerhedskultur godt nok gennemsyrer hele organisationen, men åbenbart er noget lemfældig i sin karakter. Skal vi så stadig bare stole på Nets og på at Nets kan styre hele sikkerheden med et par medarbejderunderskrifter?

Spørgsmålet er om fritagelse fra modtagelse af Offentlig Post til november med held kan begrundes i at man ikke stoler på at Nets er sin opgave voksen?

Thue Kristensen

Men må jo sige at det indtil nu også (takket være politikerne og digitaliseringsstyrelsen) har virket fint bare at have nogle presse-medarbejdere til at vifte med armene hver gang der har været rejst kritik.

For ikke at tale om inkompetente embedesmænd!

Kære Thue Janus Kristensen,

Tak for din henvendelse.

Sikkerhedsaspekterne i den måde NemID løsningen er konstrueret på er vurderet meget grundigt og reviewet af førende nationale og internationale sikkerhedseksperter. Der foretages desuden en løbende risikovurdering af potentielle trusler mod sikkerheden i NemID.

Det scenarie, du beskriver, er en blanding af klassisk fishing og et klassisk man-in-the-middle angreb. Disse risici har fra starten indgået i sikkerhedsvurderingen af NemID, og der er således ikke noget nyt i det scenarie du opstiller.

Netop det at benytte en signeret Java applet er en måde hvorpå brugeren kan verificere at dialogen med NemID er reelt. Brugeren har her mulighed for at tjekke, at appletten er signeret korrekt med et certifikat fra DanID A/S.

Dit forslag om at sende alle forbi én bestemt webside til login er faktisk sådan det foregår for hovedparten af de offentlige selvbetjeningsløsninger, da disse er tilsluttet NemLog-in. I alle disse løsninger sendes man således videre til NemLog-ins login side, hvor man kan logge på med enten NemID eller den gamle digitale signatur, for derefter at blive sendt tilbage igen.

Med venlig hilsen

Morten Steen Tambour Jacobsen
Fuldmægtig, Cand.polyt.
Center for Digital Signatur
Direkte telefon: + 45 3337 9131
E-mail: mstj@itst.dk

Ministeriet for Videnskab,
Teknologi og Udvikling

IT- og Telestyrelsen
Holsteinsgade 63
DK-2100 København Ø
Telefon: +45 3545 0000
Fax: +45 3545 0010
E-mail: itst@itst.dk
www.itst.dk

Fra: Thue Janus Kristensen [mailto:thuejk@gmail.com]
Sendt: 6. oktober 2010 21:05
Til: I-ITST - enhedspostkasse
Cc: tip@pol.dk
Emne: NemID og sikkerhed

Der er så vidt jeg kan se sikkerhedshul i den måde NemID fungerer på. Tag følgende eksempel

1) En kriminel registrerer https://www.officielt-lydende-domaine.dk , og laver en pixel-for-pixel kopi af udseendet af en NemID login-boks på siden.
2) Et offer lokkes ind på siden, fx gennem et link i en officielt lydende email eller lignende.
3) Offeret taster sit personnummer og password ind.
4) Den kriminelle bruger straks disse til (automatiseret, i real-time) at logge ind i offerets netbank, og få en en challenge-kode
5) Den kriminelle's hjemmeside viser (automatiseret, i real-time) challenge-koden, som den kriminelle fik, til offeret.
6) Den kriminelle bruger nu straks offerets korrekte svar på challenge-koden til at hugge penge fra offeret's netbank.

Jeg var fristet til at kalde offeret for "din bedstemor", som man kalder den gennemsnitligt dumme bruger. Men ovenstående kan jo ske for selv it-competente personer, for der er ingen måde for en bruger at vide om en NemID-dialog er reel.

Den åbenlyse løsning er at lave NemID om, så alle logins foregår ved at man bliver sendt til https://nemid.dk , logger ind der, og så sendes tilbage igen. På den måde kan den vågne bruger vide, at det eneste legitime sted at indtaste sit NemID er på https://nemid.dk

Og da jeg endelig får ham overbevist om at signerede appletter ikke kan bruges til sikkerhed på den måde, kommer der endnu en bullshit forkert forklaring. Gentag ad nauseum.

Morten Steen Tambour Jacobsen mener tydeligvis selv han har fuldstændig styr på sikkerhed. Det er sikkert embedesfolk som ham som har godtkendt løsninger som NemID, e-boks, og rejsekortet.

De tekniske svar jeg har fået fra diverse embedesmænd har konsekvent været af den kvalitet.

Thue Kristensen

Det sidste svar i den række var at han spurgte DanID, og sidst svaret

Peter Lind Damkjær fra DanID har svaret følgende på dine spørgsmål:

Kære Thue,

Peter Lind Damkjær fra DanID har svaret følgende på dine spørgsmål:

"Det er korrekt, at man i princippet kan lave en ikke-signeret applet, så den ser ud som om, den er DanID’s applet. Brugere med særlig indsigt vil kunne skelne dette ved at kigge på HTML-koden, downloade og verificere Java-appletten uden om browser-interfacet.

Det er en kendt risiko, der blandt andet er nævnt i FAQ’en (under ”Er NemID 100% sikker?”): https://www.nemid.nu/support/ofte_stillede_spoergsmaal/

Parterne i NemID følger udviklingen og har forskellige ”step-up”-muligheder, der adressere ovenstående, hvis det viser sig at gå til at blive et reelt problem.

Der er allerede tiltag i appletten, der skal gøre det sværere, at automatisere det beskrevne angreb."

Hvis du har yderligere spørgsmål til den tekniske sikkerhed i NemID, så må jeg henvise til DanID.

Venlig hilsen

Morten Steen Tambour Jacobsen
Fuldmægtig, Cand.polyt.
Center for Digital Signatur
Direkte telefon: + 45 3337 9131
E-mail: mstj@itst.dk

Ministeriet for Videnskab,
Teknologi og Udvikling

Så bare sig til bedstemor at hun skal checke HTML-koden. Bare ignorer at der findes måder at implementere det på som ikke har det sikkerhedshul, som beskrevet i min første email til ham. Når Nets siger at det er godt nok, så er det godt nok! For ikke at tale om Morten Steen Tambour Jacobsen egen store ekspertise!

Og den famøse ansvarsfraskrivelse "intet er 100% sikkert".

Det er for resten stadigt Nets' holdning - de har jo ikke rettet hullet, selv efter det blev udnyttet i praksis, og Version2 lavede en demonstration. http://www.version2.dk/artikel/video-saadan-kan-nemid-hackes-32396

Finn Christensen

Vi har ikke fået meget at vide om beskyttelsen af vores NemID. Der er mest at alt tale om at Nets helst ikke vil ud med nogen detaljer omkring sikkerheden

Det er i dag jo klart for selv Maren i Kæret hvorfor Nets konstant leger hemmelighed og posekikkeri. Kan man ikke andet, så lader man blot som om, og uanset hvor mange der udtrykker betænkning.

Man har flikket et stort bankbogholderi + automatisk gebyrtrykkeri sammen og i en bank rådgiver man som bekendt først og fremmest sig selv.

Nets er blot det næste dokumenteret eksempel på at bankerne igen igen end ikke evner deres eget fag, og at de også skyndsomt sælger biksen - så andre fik snavset og må lave oprydningen.

Og i en og samme forbindelse fik de tilmed lokket en rødternet regering + finansministeren helt ned i bunden af fedtefadet.

Siden medio 0'erne har finansvæsenet konsekvent fremvist deres snavsede vasketøj, eller skelette rasler ud af skabet, hvis man åbner en dør.

Tobias Tobiasen

Er det vel Staten/samfundet, der skal betale erstatning til Nets. Lige som DSB skal betale, når Ansaldo-Breda ikke leverer tog....


Det må staten så betale og næste gang sørge for at skrive i kontrakten at hvis et firma ikke har styr på sikkerheden så kan kontrakten ophæves.

Kan vi ikke få en "one strike and you are out policy" her? Hvis firmaer der sidder på kritisk IT infrastruktur ikke har styr på tingene så opsiges kontrakten og der laves et nyt udbud hvor firmaet er blacklistet.
Det kan vel få firmaer til at tage det lidt mere alvorligt.

Log ind eller opret en konto for at skrive kommentarer

IT Businesses