Computerløse borgere rådes til farlige NemID-login på offentlige computere

Illustration: Christoph Scholz, Flickr
Offentligt tilgængelige pc'er er næsten umulige at beskytte. Især mod hardware-angreb, lyder det fra sikkerhedskonsulenter.

Digitaliseringsstyrelsen råder borgere, der ikke har adgang til hverken en computer, smartphone eller tablet, til at tage ned hos borgerservice eller biblioteket for at logge på NemID, når netbanken skal tjekkes, eller e-boksen tømmes.

Det fremgår af en mail, som styrelsen har sendt til Version2 som svar på spørgsmålet om, hvordan computerløse borgere skal tilgå den danske digitaliserede borgerservice.

I den samme mail erkender styrelsen også, at keylogger-angreb, rettet mod mod biblioteks-pc'er, hvor hackere i hemmelighed opsnapper og logger alle tastetryk, sker i dagens Danmark.

Læs også: Trods misbrug: Ingen planer om at advare borgere ved hackingforsøg mod NemID

»Finans Danmark oplyser til os, at de danske banker i 2018 oplevede ‘et større antal’ angreb, og sagerne blev omtalt som bibliotekssagerne. Bagmændene blev pågrebet og dømt,« skriver Digitaliseringsstyrelsen til Version2.

Men det er notorisk usikkert at logge på eksempelvis bibliotekscomputere, og man bør som borger helt undgå at logge på offentligt tilgængelig hardware med NemID, lyder det fra flere it-eksperter.

»Det er helt generelt virkelig svært at sikre offentligt tilgængelige computere. Især mod hardware-angreb,« siger Jacob Herbst, der som medejer af it-sikkerhedsfirmaet Dubex fraråder folk at logge på offentligt tilgængelige computere med deres NemID.

Læs også: Hacket for 270.000 kroner: Nogen fik banken til at sende nyt NemID-nøglekort til Ronja

Ud af fire sikkerhedseksperter kan Version2 ikke finde en eneste, der anbefaler at logge på offentligt tilgængelige computere med NemID.

Digitaliseringsstyrelsen ønsker ikke at stille op til interview og forsvare sin anbefaling af at bruge offentlige pc'er.

Det vides ikke, hvor mange borgere der bruger offentlige enheder til NemID.

»Problemet med keyloggers er et generelt problem. Det er et meget simpelt værktøj, hvis man vil opsnappe folks brugere og kodeord. Vi ser igen og igen, at kriminelle bruger dem som angrebsværktøj,« lyder det fra en af Jacob Herbsts medarbejdere Keld Norman, der blandt andet hacker virksomheder for at teste deres it-sikkerhed.

»Derfor kan vi også finde på at bruge dem selv, når vi laver pentesting eller red-teaming.«

Mistanke om nyligt keylogger-angreb

Version2 har for nylig beskrevet, hvordan 29-årige Ronja Larsen blev hacket og svindlet for 270.000 kroner.

Angriberne havde både kodeordet, hendes CPR-nummer, og brugernavn – sandsynligvis fordi hun flere gange havde benyttet sin NemID på det lokale biblioteks computere.

Bibliotekerne har da også taget nogle forholdsregler, men de står i en næsten umulig sikkerhedsmæssig situation.

»Ofte har du software, der rydder enheden ved hver genstart, men det hjælper i sagens natur ikke mod hardware, der stikkes i computeren. Som for eksempel keyloggers. Der er rigtig, rigtig nemt at installere en keylogger, og det er ikke noget, man opdager som almindelig bruger,« siger Jacob Herbst.

Læs også: Bankerne sjusker med NemID-nøglekort: Kostede ung lærer 270.000 kroner

»Slet ikke, hvis man ikke er så it-kyndig.«

Kommuner opfordret til indsats mod keylogging

Keylogging og andre hardwareangreb er så stort et problem, at Kommunernes Landsforening (KL) ifølge Digitaliseringsstyrelsens mail til Version2 har opfordret kommunerne til at igangsætte en indsats mod keylogging.

»Det er vigtigt for os, at borgere kan få råd og vejledning i, hvordan de anvender NemID og det kan borgerne bl.a. få hos bibliotekerne. KL har bl.a. på baggrund af keyloggingmisbrug opfordret kommunerne til at igangsætte aktiviteter, der skærper sikkerheden om offentligt tilgængelige computere på biblioteker,« skriver Digitaliseringsstyrelsen i et svar.

Version2 er ved at følge op på denne indsats.

Læs også: Danske Bank-kunde ringet op og bedt om CPR: Det lød som en fake henvendelse

Hvis man som computerløs borger ikke ønsker at logge på offentlige enheder, kan man ansøge om dispensation, skriver styrelsen:

»Hvis man ikke ønsker at betjene sig selv digitalt, er der mulighed for at betjene sig analogt ved de fleste løsninger. F.eks. kan borgere ansøge om boligstøtte eller feriepenge med en papirblanket. Du er som borger forpligtet til at have Digital Post, men ​også her kan borgere alternativt fritages, hvis pågældende borger opfylder fritagelseskriterierne

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Peder Simonsen

Det har faktisk stået på siden ca 1994 hos biblioteker, skoler,gymnaiser osv.

I gamle dage kunne man bare sætte en plastik disk i og så lave autostart via et lille .bat program som så opsamlede key strokes når eks læren tændte pc og loggede ind. ( som std var computerne indstillet til at starte op via en disk hvis en sådan var isat drev a: på de fleste skoler )

Siden hen forsøgte man sig ved software medsigt at fjerne genveje i windows så man ikke kunne få adgang til a: drevet, men man overså at man via stifinder eller internet explorer jo bare kan skrive eks a:\ og så den vej igennem få adgang og køre kommandoer og få adgang til alt den vej igennem. ( eller bruge filer fra nettet på computeren )

Og da usb kom kunne man "bare" sætte en usb pen bag i en pc og så komme tilbage et par uger senere og hente den fyldt med data. Dem som var lidt mere fikse på fingrene lavede mini key loggere som kunne sidde ind i usb stikket ( ala en lille simkort agtig ting ) Over tid blev man sågar endnu smartere.. man udskiftede simpelthen usb kablerne så de kunne bruges som et skjult wifi antenner. Denne type angreb blev nato i kosovo eks udsat for i ca 2003 eller 2005 hvor en spion have installeret det på et kontor. ( tænk engang hvor nemt det er for f.eks rengørings personel i enhver dansk virksomhed at udskifte usb kabler på et kontor og eks nogle andre sætte en boks på vægen eller i tagrenden som så kan indsamle data på den måde. ) ( eller en drone på taget som opsamler dette wifi signal og data. )

Kun fantasien sætter grænser i vore dage og sikkerheden i DK er slet ikke god nok. Jeg synes det er ufatteligt farligt/naivt at man har presset sådan på med digitaliseringen i DK for sikkerheden er ikke iorden. Mit gæt det handler om penge og at erobre markeds andele, sikkerhed sekundært. Men det er jo sådan i DK at ulykken altid skal ske før man gør noget. ;-(

  • 8
  • 0
#2 Anne-Marie Krogsbøll

... at man insisterer på at mishandle en pæn bid af befolkningen med sin insisteren på disse menneskefjendske digitale løsninger. Hvad kan forklaringen mon være?

En hær af styrelser og offentlige institutioner kommer i øjeblikket i søgelyset for mindre sagligt, mere privatøkonomisk, baseret ageren. For en uge siden Forsvaret, i går SSI, i dag PostDanmark (jo - en whisteblower er faldet dem i ryggen i dag) osv.osv. Det vælter bare ind med korrupte møgsager. Mon ikke det er på tide at rette luppen mod Digitaliseringsstyrelsen? Kan der findes gode (men lyssky) forklaringer på noget af det, som for udenforstående virker uforståeligt?

Er der efterhånden ikke noget med et mundheld, som siger, at "Don't attribute to stupidity, what could be explained by corruption"? Det er da i hvert fald - set i lyset af tsunamien af skumle sager fra samfundstoppen - værd at undersøge. Det ville jo være dejligt at blive glædeligt overrasket, hvis der på dette felt faktisk bare er tale om "stupidity".

  • 9
  • 2
#4 Jens Beltofte

Det offentlige open source samarbejde OS2 har faktisk et par produkter på hylden til sikring af borgervendte PC'er.

Et kabinet der skal sikre porte, drev m.m. på computeren mod indtræning. Tegningerne se selvfølgelig frit tilgængelige på os2.eu / Github. https://os2.eu/produkt/os2borgerpc#OS2-kabinettet

Og et tilpasset Ubuntu image til OS på de borgervendte PC'er samt et administrativt web interface til at fjernstyring, overvågning og administration af de borgervendte PC'er. https://os2.eu/produkt/os2borgerpc

Pt. er mere end 60 kommuner OS2 partner, så det er bare at få det rullet ud på biblioteker, rådhuse og andre steder hvor kommunerne stiller computere tilgængelige for borgerne.

  • 10
  • 0
#5 Christian Nobel

Hvis man som computerløs borger ikke ønsker at logge på offentlige enheder, kan man ansøge om dispensation, skriver styrelsen:

Hvis man ikke ØNSKER at betjene sig selv digitalt, er der mulighed for at betjene sig analogt ved de fleste løsninger

Er det muligt at få et dokument der skriver dette, som så kan fotokopieres, således at man har et stykke papir at stikke til en bedrevidende beamter, der sidder og docerer om at man skal benytte NemID.

  • 8
  • 1
#6 Maciej Szeliga

...f.eks. kunne man: * aflåse PC'eren i et stålskab * koble tilgængelige porte fra

Endeligt burde man revurdere om tvangsdigitalisering af borgere reelt set er en god service og en god forretning (det er det som også kaldes business case).

Der er mange ting som bør kunne køre digitalt men det betyder ikke at alt skal udelukkende køre digitalt - i hvert fald ikke så længe NemID (og dens kommende afløser) er så sårbart som den er.

  • 10
  • 1
#7 Peter Stricker

Krav til biblioteks PCere: 1. Tastaturets forbindelse til MB er inden i et kabinet (gør sig gældende for laptops, men man kan også forestille sig andre løsninger). 2. USB stik er fyldt ud med superlim.

Krav til biblioteksbrugere: Konstater at 1. og 2. er opfyldt. Især grundig efterprøvelse af 2. vil nok påkalde sig en vis opmærksomhed fra bibliotekets personale.

  • 0
  • 0
#8 Christian Nobel

Krav til biblioteksbrugere:

Biblioteksbrugere er nok den gruppe der må anses for den svageste som har fået påduttet tvangsdigitalisering, og så fra de glittede papirer er blevet fyldt med løgn om at det såkaldte NemID er åh-så-sikkert.

Det kan på ingen måde være sådan at denne gruppe nu skal til at stå med halen i vejret for at kontrollere sikkerheden - og de aner sikkert heller ikke hvad der er op og ned under alle omstændigheder.

Nej der skal en helt anden tilgang til - en god start ville være at nedlægge digitalseringsforstyrrelsen og så træde et skridt tilbage og revurdere om den halsløse digitalisering man er i gang med at underminere vort samfund med overhovedet er så god en ide som man tror.

  • 4
  • 1
#9 Tommy Calstrup

Krav til biblioteks PCere: 1. Tastaturets forbindelse til MB er inden i et kabinet (gør sig gældende for laptops, men man kan også forestille sig andre løsninger). 2. USB stik er fyldt ud med superlim.

Arbejder sådan et sted, og vores Borgerservice maskiner står i et aflåst skab, med kun skærm, tastatur og mus tilgængeligt. Der ud over er alle maskinerne udstyret med et stykke software, som nulstiller maskinerne, ved genstart, så der ikke er spor efter forige bruger, BIOS er låst med adgangskode, og netværkskabler er låst fast til stikket i væggen. De maskiner, hvor der stadig er adgang til USB stik, tilses jævnligt (flere gange dagligt) af personalet, som er instrueret i, at spotte keyloggere m.m., og alle maskiner med publikumsadgang kører på deres eget overvågede netværk, som er fysisk adskilt fra medarbejder netværket.

Den med superlim duer ikke, da vi skifter tastaturer og mus meget oftere, end vi skifter PC'er!

  • 9
  • 0
#10 Steffen Aarestrup Nielsen

@Christian Nobel "For at blive fritaget fra Digital Post fra det offentlige skal du som udgangspunkt møde personligt op på dit lokale borgerservice. Her får du en blanket, hvor du skriver under på, at du lever op til mindst et af fritagelseskriterierne. Du vil blive bedt om at vise legitimation.

Du kan få en skriftlig kvittering på, at du er fritaget fra at modtage Digital Post fra det offentlige. Du er ikke forpligtet til at oplyse, hvilket af fritagelseskriterierne, du lever op til."

  • 3
  • 1
#11 Steffen Aarestrup Nielsen

Jo ... "For at blive fritaget fra Digital Post fra det offentlige skal du som udgangspunkt møde personligt op på dit lokale borgerservice. Her får du en blanket, hvor du skriver under på, at du lever op til mindst et af fritagelseskriterierne. Du vil blive bedt om at vise legitimation.

Du kan få en skriftlig kvittering på, at du er fritaget fra at modtage Digital Post fra det offentlige. Du er ikke forpligtet til at oplyse, hvilket af fritagelseskriterierne, du lever op til." https://www.borger.dk/internet-og-sikkerhed/Digital-Post/Hjaelp-og-frita...

  • 1
  • 1
#12 Christian Nobel

Jo ... "For at blive fritaget fra Digital Post fra det offentlige skal du som udgangspunkt møde personligt op på dit lokale borgerservice. Her får du en blanket, hvor du skriver under på, at du lever op til mindst et af fritagelseskriterierne. Du vil blive bedt om at vise legitimation.

Bortset fra du ikke svarer på spørgsmålet!

For der er ikke et af kriterierne der hedder man ikke ØNSKER at betjene sig selv digitalt!!

Og det drejer sig kun om "Digital Post", ikke selvbetjening i al almindelighed.

Derfor genfremfører jeg mit spørgsmål, hvor kan jeg få et stykke papir der klokkeklart skriver:

Hvis man ikke ØNSKER at betjene sig selv digitalt, er der mulighed for at betjene sig analogt ved de fleste løsninger.

som man kan give en nævenyttig sagsbehandler som insisterer på, at hvad der kunne være klaret på 1 minut med lidt samarbejdsvilje nu skal ophæves til en process.

  • 5
  • 2
#13 Jens Jacob Haugaard

Nej det tror jeg ikke du kan!

Du kab blive fritaget hvis du opfylder et af fritagelseskriterierne. Hvis du ikke kan det, gælder:

*Alle borgere over 15 år har siden 1. november 2014, været forpligtet til at have en digital postkasse, tilknyttet CPR-nummeret, hvor de kan modtage post fra offentlige myndigheder via den fællesoffentlige digitale post-løsning Digital Post.

Kilde: https://digst.dk/it-loesninger/digital-post/om-loesningen/fritagelse/

  • 2
  • 1
#14 Knud Larsen

Postnord bevilges igen et trecifret beløb for bare 6 måneder - dette er perspektivløst:

Hvor er det dårlig omgang med borgernes penge, så igen om 6 mdr og så videre sådan har det været i mere end 10 år. Her mangler der mandsmod og strategisk tænkning. Når man har kunnet tvinge hele den ældre generation og ubemidlede til at bruge IT services, som man har på Skat, e-boks, borger.dk osv skulle man for længst have tvunget Postnord til at klare sig selv.

  • 1
  • 1
#15 Benjamin Balder

Er der efterhånden ikke noget med et mundheld, som siger, at "Don't attribute to stupidity, what could be explained by corruption"? Det er da i hvert fald - set i lyset af tsunamien af skumle sager fra samfundstoppen - værd at undersøge. Det ville jo være dejligt at blive glædeligt overrasket, hvis der på dette felt faktisk bare er tale om "stupidity".

Haha, det tror jeg altså ikke er et ordsprog, der findes. Det ca. omvendte ordsprog findes dog, kendt som Hanlov's Razor:

Never attribute to malice that which can be adequately explained by stupidity.

Som også findes i denne version:

Never attribute to malice that which can be adequately explained by neglect.

  • 0
  • 0
#16 Christian Nobel

skulle man for længst have tvunget Postnord til at klare sig selv.

Der er lige et par krøller omkring PostNord som du glemmer at tage med, herunder at staten i en periode trak store udbytter ud af PostNord, og dermed var med til at underminere den konsolidering PostNord var i gang med.

Så er der alle tjenestemandsforpligtelserne, som stadig gør nas.

  • 0
  • 0
#18 Christian Nobel

Du kan få en skriftlig kvittering på, at du er fritaget fra at modtage Digital Post fra det offentlige. Du er ikke forpligtet til at oplyse, hvilket af fritagelseskriterierne, du lever op til.

Det kniber åbenbart stærkt med forståelsen.

Lad mig lige gentage hvad der står i artiklen:

Hvis man som computerløs borger ikke ønsker at logge på offentlige enheder, kan man ansøge om dispensation, skriver styrelsen:

»Hvis man ikke ønsker at betjene sig selv digitalt, er der mulighed for at betjene sig analogt ved de fleste løsninger. F.eks. kan borgere ansøge om boligstøtte eller feriepenge med en papirblanket. Du er som borger forpligtet til at have Digital Post, men ​også her kan borgere alternativt fritages, hvis pågældende borger opfylder fritagelseskriterierne.«

Der er to dele i ovenstående udsagn, det første drejer sig om at logge på offentlige enheder, det andet drejer sig om "Digital Post" - der bruges sågar ordvalget også her!

Mit spørgsmål gælder især i forhold til første udsagn, altså ikke så meget om "Digital Pest", men om alle de andre forhold som er sovset ind i NemID - hvor søger man den dispensation, og hvordan kan man benytte den overfor en gesjæftig embedsdame (k/m)?

  • 0
  • 1
#19 Bjarne Nielsen

Du er ikke forpligtet til at oplyse, hvilket af fritagelseskriterierne, du lever op til.

Opfordrer du os til åbenlyst at lyve? Lad os tage kriterierne:

  1. Fysisk eller psykisk handicap - hvis man kan deltage i debatten her, så er det åbenlyst ikke opfyldt (ja, ja, kom bare med de billige jokes!)
  2. Manglende adgang til computer - hvis man kan deltage i debatten her, så ... ja, netop.
  3. Udrejst af landet. - det kan I så ikke vide, men åbenlyst ikke, nej. Selvom man engang imellem virkelig får lyst til det.
  4. Taler ikke dansk - hvis man kan deltage i debatten her, så ... ja, netop.
  5. Praktisk vanskeligheder, såsom langt fra dansk repræsentation i udlandet. Se 3).

Hvis man ikke mener, at regler skal overholdes, så skal man ikke lave dem. Alt andet er udtryk for despekt overfor både samfund og borgere.

  • 1
  • 0
#21 Bjarne Thomsen

De offentlige ledere har i Danmark indført en ny trosretning med tvungent medlemskab: Aristoteles' kybernetiske stat baseret den formålsbestemte (teleologiske) årsag. Man har fået den besynderlig idé, at digitalisering baseret på internettet er en automatisk realisering af Aristoteles' teleologiske stat. Man benægter eksistensen af årsag og virkning. Det har været vanskeligt for mig som astronom at indse denne simple kendsgerning. Astronomien tilbageviste Aristoteles' filosofi for 400 år siden. Det er selvfølgelig en katastrofe at basere samfundets styring på en filosofi uden årsag og virkning, bare fordi internettet i USA kaldes "cyberspace". Alle de ministerielle "styrelser" (kybernetik betyder på græsk at styre et skib) frarøves nu penge ved fup og svindel. Man har opdaget, at der er slik på alle hylder.

  • 2
  • 0
Log ind eller Opret konto for at kommentere