Computerløse borgere rådes til farlige NemID-login på offentlige computere

21 kommentarer.  Hop til debatten
Computerløse borgere rådes til farlige NemID-login på offentlige computere
Illustration: Christoph Scholz, Flickr.
Offentligt tilgængelige pc'er er næsten umulige at beskytte. Især mod hardware-angreb, lyder det fra sikkerhedskonsulenter.
Reportage19. december 2019 kl. 05:14
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Digitaliseringsstyrelsen råder borgere, der ikke har adgang til hverken en computer, smartphone eller tablet, til at tage ned hos borgerservice eller biblioteket for at logge på NemID, når netbanken skal tjekkes, eller e-boksen tømmes.

Det fremgår af en mail, som styrelsen har sendt til Version2 som svar på spørgsmålet om, hvordan computerløse borgere skal tilgå den danske digitaliserede borgerservice.

I den samme mail erkender styrelsen også, at keylogger-angreb, rettet mod mod biblioteks-pc'er, hvor hackere i hemmelighed opsnapper og logger alle tastetryk, sker i dagens Danmark.

»Finans Danmark oplyser til os, at de danske banker i 2018 oplevede ‘et større antal’ angreb, og sagerne blev omtalt som bibliotekssagerne. Bagmændene blev pågrebet og dømt,« skriver Digitaliseringsstyrelsen til Version2.

Artiklen fortsætter efter annoncen

Men det er notorisk usikkert at logge på eksempelvis bibliotekscomputere, og man bør som borger helt undgå at logge på offentligt tilgængelig hardware med NemID, lyder det fra flere it-eksperter.

»Det er helt generelt virkelig svært at sikre offentligt tilgængelige computere. Især mod hardware-angreb,« siger Jacob Herbst, der som medejer af it-sikkerhedsfirmaet Dubex fraråder folk at logge på offentligt tilgængelige computere med deres NemID.

Ud af fire sikkerhedseksperter kan Version2 ikke finde en eneste, der anbefaler at logge på offentligt tilgængelige computere med NemID.

Digitaliseringsstyrelsen ønsker ikke at stille op til interview og forsvare sin anbefaling af at bruge offentlige pc'er.

Det vides ikke, hvor mange borgere der bruger offentlige enheder til NemID.

»Problemet med keyloggers er et generelt problem. Det er et meget simpelt værktøj, hvis man vil opsnappe folks brugere og kodeord. Vi ser igen og igen, at kriminelle bruger dem som angrebsværktøj,« lyder det fra en af Jacob Herbsts medarbejdere Keld Norman, der blandt andet hacker virksomheder for at teste deres it-sikkerhed.

»Derfor kan vi også finde på at bruge dem selv, når vi laver pentesting eller red-teaming.«

Mistanke om nyligt keylogger-angreb

Version2 har for nylig beskrevet, hvordan 29-årige Ronja Larsen blev hacket og svindlet for 270.000 kroner.

Angriberne havde både kodeordet, hendes CPR-nummer, og brugernavn – sandsynligvis fordi hun flere gange havde benyttet sin NemID på det lokale biblioteks computere.

Bibliotekerne har da også taget nogle forholdsregler, men de står i en næsten umulig sikkerhedsmæssig situation.

»Ofte har du software, der rydder enheden ved hver genstart, men det hjælper i sagens natur ikke mod hardware, der stikkes i computeren. Som for eksempel keyloggers. Der er rigtig, rigtig nemt at installere en keylogger, og det er ikke noget, man opdager som almindelig bruger,« siger Jacob Herbst.

»Slet ikke, hvis man ikke er så it-kyndig.«

Kommuner opfordret til indsats mod keylogging

Keylogging og andre hardwareangreb er så stort et problem, at Kommunernes Landsforening (KL) ifølge Digitaliseringsstyrelsens mail til Version2 har opfordret kommunerne til at igangsætte en indsats mod keylogging.

»Det er vigtigt for os, at borgere kan få råd og vejledning i, hvordan de anvender NemID og det kan borgerne bl.a. få hos bibliotekerne. KL har bl.a. på baggrund af keyloggingmisbrug opfordret kommunerne til at igangsætte aktiviteter, der skærper sikkerheden om offentligt tilgængelige computere på biblioteker,« skriver Digitaliseringsstyrelsen i et svar.

Version2 er ved at følge op på denne indsats.

Hvis man som computerløs borger ikke ønsker at logge på offentlige enheder, kan man ansøge om dispensation, skriver styrelsen:

»Hvis man ikke ønsker at betjene sig selv digitalt, er der mulighed for at betjene sig analogt ved de fleste løsninger. F.eks. kan borgere ansøge om boligstøtte eller feriepenge med en papirblanket. Du er som borger forpligtet til at have Digital Post, men ​også her kan borgere alternativt fritages, hvis pågældende borger opfylder fritagelseskriterierne

21 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
21
20. december 2019 kl. 11:53

De offentlige ledere har i Danmark indført en ny trosretning med tvungent medlemskab: Aristoteles' kybernetiske stat baseret den formålsbestemte (teleologiske) årsag. Man har fået den besynderlig idé, at digitalisering baseret på internettet er en automatisk realisering af Aristoteles' teleologiske stat. Man benægter eksistensen af årsag og virkning. Det har været vanskeligt for mig som astronom at indse denne simple kendsgerning. Astronomien tilbageviste Aristoteles' filosofi for 400 år siden. Det er selvfølgelig en katastrofe at basere samfundets styring på en filosofi uden årsag og virkning, bare fordi internettet i USA kaldes "cyberspace". Alle de ministerielle "styrelser" (kybernetik betyder på græsk at styre et skib) frarøves nu penge ved fup og svindel. Man har opdaget, at der er slik på alle hylder.

19
19. december 2019 kl. 21:41

Du er ikke forpligtet til at oplyse, hvilket af fritagelseskriterierne, du lever op til.

Opfordrer du os til åbenlyst at lyve? Lad os tage kriterierne:

  1. Fysisk eller psykisk handicap - hvis man kan deltage i debatten her, så er det åbenlyst ikke opfyldt (ja, ja, kom bare med de billige jokes!)
  2. Manglende adgang til computer - hvis man kan deltage i debatten her, så ... ja, netop.
  3. Udrejst af landet. - det kan I så ikke vide, men åbenlyst ikke, nej. Selvom man engang imellem virkelig får lyst til det.
  4. Taler ikke dansk - hvis man kan deltage i debatten her, så ... ja, netop.
  5. Praktisk vanskeligheder, såsom langt fra dansk repræsentation i udlandet. Se 3).

Hvis man ikke mener, at regler skal overholdes, så skal man ikke lave dem. Alt andet er udtryk for despekt overfor både samfund og borgere.

18
19. december 2019 kl. 18:27

Du kan få en skriftlig kvittering på, at du er fritaget fra at modtage Digital Post fra det offentlige. Du er ikke forpligtet til at oplyse, hvilket af fritagelseskriterierne, du lever op til.

Det kniber åbenbart stærkt med forståelsen.

Lad mig lige gentage hvad der står i artiklen:

Hvis man som computerløs borger ikke ønsker at logge på offentlige enheder, <strong>kan man ansøge om dispensation, skriver styrelsen:</strong></p>
<p>»Hvis man <strong>ikke ønsker</strong> at betjene sig selv digitalt, er der mulighed for at betjene sig analogt ved de fleste løsninger. F.eks. kan borgere ansøge om boligstøtte eller feriepenge med en papirblanket. Du er som borger forpligtet til at have Digital Post, men ​også her kan borgere alternativt fritages, hvis pågældende borger opfylder fritagelseskriterierne.«

Der er to dele i ovenstående udsagn, det første drejer sig om at logge på offentlige enheder, det andet drejer sig om "Digital Post" - der bruges sågar ordvalget også her!

Mit spørgsmål gælder især i forhold til første udsagn, altså ikke så meget om "Digital Pest", men om alle de andre forhold som er sovset ind i NemID - hvor søger man den dispensation, og hvordan kan man benytte den overfor en gesjæftig embedsdame (k/m)?

16
19. december 2019 kl. 17:41

skulle man for længst have tvunget Postnord til at klare sig selv.

Der er lige et par krøller omkring PostNord som du glemmer at tage med, herunder at staten i en periode trak store udbytter ud af PostNord, og dermed var med til at underminere den konsolidering PostNord var i gang med.

Så er der alle tjenestemandsforpligtelserne, som stadig gør nas.

15
19. december 2019 kl. 17:38

Er der efterhånden ikke noget med et mundheld, som siger, at "Don't attribute to stupidity, what could be explained by corruption"? Det er da i hvert fald - set i lyset af tsunamien af skumle sager fra samfundstoppen - værd at undersøge. Det ville jo være dejligt at blive glædeligt overrasket, hvis der på dette felt faktisk bare er tale om "stupidity".

Haha, det tror jeg altså ikke er et ordsprog, der findes. Det ca. omvendte ordsprog findes dog, kendt som Hanlov's Razor:

Never attribute to malice that which can be adequately explained by stupidity.

Som også findes i denne version:

Never attribute to malice that which can be adequately explained by neglect.

14
19. december 2019 kl. 17:29

Postnord bevilges igen et trecifret beløb for bare 6 måneder - dette er perspektivløst:

Hvor er det dårlig omgang med borgernes penge, så igen om 6 mdr og så videre sådan har det været i mere end 10 år. Her mangler der mandsmod og strategisk tænkning. Når man har kunnet tvinge hele den ældre generation og ubemidlede til at bruge IT services, som man har på Skat, e-boks, borger.dk osv skulle man for længst have tvunget Postnord til at klare sig selv.

13
19. december 2019 kl. 13:41

Nej det tror jeg ikke du kan!

Du kab blive fritaget hvis du opfylder et af fritagelseskriterierne. Hvis du ikke kan det, gælder:

*Alle borgere over 15 år har siden 1. november 2014, været forpligtet til at have en digital postkasse, tilknyttet CPR-nummeret, hvor de kan modtage post fra offentlige myndigheder via den fællesoffentlige digitale post-løsning Digital Post.

Kilde: https://digst.dk/it-loesninger/digital-post/om-loesningen/fritagelse/

12
19. december 2019 kl. 12:21

Jo ...
"For at blive fritaget fra Digital Post fra det offentlige skal du som udgangspunkt møde personligt op på dit lokale borgerservice. Her får du en blanket, hvor du skriver under på, at du lever op til mindst et af fritagelseskriterierne. Du vil blive bedt om at vise legitimation.

Bortset fra du ikke svarer på spørgsmålet!

For der er ikke et af kriterierne der hedder man ikke ØNSKER at betjene sig selv digitalt!!

Og det drejer sig kun om "Digital Post", ikke selvbetjening i al almindelighed.

Derfor genfremfører jeg mit spørgsmål, hvor kan jeg få et stykke papir der klokkeklart skriver:

Hvis man <strong>ikke ØNSKER</strong> at betjene sig selv digitalt, er der mulighed for at betjene sig analogt ved de fleste løsninger.

som man kan give en nævenyttig sagsbehandler som insisterer på, at hvad der kunne være klaret på 1 minut med lidt samarbejdsvilje nu skal ophæves til en process.

11
19. december 2019 kl. 11:48

Jo ... "For at blive fritaget fra Digital Post fra det offentlige skal du som udgangspunkt møde personligt op på dit lokale borgerservice. Her får du en blanket, hvor du skriver under på, at du lever op til mindst et af fritagelseskriterierne. Du vil blive bedt om at vise legitimation.

Du kan få en skriftlig kvittering på, at du er fritaget fra at modtage Digital Post fra det offentlige. Du er ikke forpligtet til at oplyse, hvilket af fritagelseskriterierne, du lever op til."https://www.borger.dk/internet-og-sikkerhed/Digital-Post/Hjaelp-og-fritagelse

9
19. december 2019 kl. 11:40

Krav til biblioteks PCere:</p>
<ol>
<li>Tastaturets forbindelse til MB er inden i et kabinet (gør sig gældende for laptops, men man kan også forestille sig andre løsninger).</li>
<li>USB stik er fyldt ud med superlim.

Arbejder sådan et sted, og vores Borgerservice maskiner står i et aflåst skab, med kun skærm, tastatur og mus tilgængeligt. Der ud over er alle maskinerne udstyret med et stykke software, som nulstiller maskinerne, ved genstart, så der ikke er spor efter forige bruger, BIOS er låst med adgangskode, og netværkskabler er låst fast til stikket i væggen. De maskiner, hvor der stadig er adgang til USB stik, tilses jævnligt (flere gange dagligt) af personalet, som er instrueret i, at spotte keyloggere m.m., og alle maskiner med publikumsadgang kører på deres eget overvågede netværk, som er fysisk adskilt fra medarbejder netværket.

Den med superlim duer ikke, da vi skifter tastaturer og mus meget oftere, end vi skifter PC'er!

8
19. december 2019 kl. 10:49

Krav til biblioteksbrugere:

Biblioteksbrugere er nok den gruppe der må anses for den svageste som har fået påduttet tvangsdigitalisering, og så fra de glittede papirer er blevet fyldt med løgn om at det såkaldte NemID er åh-så-sikkert.

Det kan på ingen måde være sådan at denne gruppe nu skal til at stå med halen i vejret for at kontrollere sikkerheden - og de aner sikkert heller ikke hvad der er op og ned under alle omstændigheder.

Nej der skal en helt anden tilgang til - en god start ville være at nedlægge digitalseringsforstyrrelsen og så træde et skridt tilbage og revurdere om den halsløse digitalisering man er i gang med at underminere vort samfund med overhovedet er så god en ide som man tror.

6
19. december 2019 kl. 09:59

...f.eks. kunne man:

  • aflåse PC'eren i et stålskab
  • koble tilgængelige porte fra

Endeligt burde man revurdere om tvangsdigitalisering af borgere reelt set er en god service og en god forretning (det er det som også kaldes business case).

Der er mange ting som bør kunne køre digitalt men det betyder ikke at alt skal udelukkende køre digitalt - i hvert fald ikke så længe NemID (og dens kommende afløser) er så sårbart som den er.

5
19. december 2019 kl. 09:55

Hvis man som computerløs borger ikke ønsker at logge på offentlige enheder, kan man ansøge om dispensation, skriver styrelsen:</p>
<p><strong>Hvis man ikke ØNSKER at betjene sig selv digitalt</strong>, er der mulighed for at betjene sig analogt ved de fleste løsninger

Er det muligt at få et dokument der skriver dette, som så kan fotokopieres, således at man har et stykke papir at stikke til en bedrevidende beamter, der sidder og docerer om at man skal benytte NemID.

10
19. december 2019 kl. 11:47

@Christian Nobel "For at blive fritaget fra Digital Post fra det offentlige skal du som udgangspunkt møde personligt op på dit lokale borgerservice. Her får du en blanket, hvor du skriver under på, at du lever op til mindst et af fritagelseskriterierne. Du vil blive bedt om at vise legitimation.

Du kan få en skriftlig kvittering på, at du er fritaget fra at modtage Digital Post fra det offentlige. Du er ikke forpligtet til at oplyse, hvilket af fritagelseskriterierne, du lever op til."

4
19. december 2019 kl. 09:05

Det offentlige open source samarbejde OS2 har faktisk et par produkter på hylden til sikring af borgervendte PC'er.

Et kabinet der skal sikre porte, drev m.m. på computeren mod indtræning. Tegningerne se selvfølgelig frit tilgængelige på os2.eu / Github. https://os2.eu/produkt/os2borgerpc#OS2-kabinettet

Og et tilpasset Ubuntu image til OS på de borgervendte PC'er samt et administrativt web interface til at fjernstyring, overvågning og administration af de borgervendte PC'er.https://os2.eu/produkt/os2borgerpc

Pt. er mere end 60 kommuner OS2 partner, så det er bare at få det rullet ud på biblioteker, rådhuse og andre steder hvor kommunerne stiller computere tilgængelige for borgerne.

3
19. december 2019 kl. 08:22

Krav til biblioteks PCere:

  1. Tastaturets forbindelse til MB er inden i et kabinet (gør sig gældende for laptops, men man kan også forestille sig andre løsninger).
  2. USB stik er fyldt ud med superlim.
2
19. december 2019 kl. 06:55

... at man insisterer på at mishandle en pæn bid af befolkningen med sin insisteren på disse menneskefjendske digitale løsninger. Hvad kan forklaringen mon være?

En hær af styrelser og offentlige institutioner kommer i øjeblikket i søgelyset for mindre sagligt, mere privatøkonomisk, baseret ageren. For en uge siden Forsvaret, i går SSI, i dag PostDanmark (jo - en whisteblower er faldet dem i ryggen i dag) osv.osv. Det vælter bare ind med korrupte møgsager. Mon ikke det er på tide at rette luppen mod Digitaliseringsstyrelsen? Kan der findes gode (men lyssky) forklaringer på noget af det, som for udenforstående virker uforståeligt?

Er der efterhånden ikke noget med et mundheld, som siger, at "Don't attribute to stupidity, what could be explained by corruption"? Det er da i hvert fald - set i lyset af tsunamien af skumle sager fra samfundstoppen - værd at undersøge. Det ville jo være dejligt at blive glædeligt overrasket, hvis der på dette felt faktisk bare er tale om "stupidity".

1
19. december 2019 kl. 06:06

Det har faktisk stået på siden ca 1994 hos biblioteker, skoler,gymnaiser osv.

I gamle dage kunne man bare sætte en plastik disk i og så lave autostart via et lille .bat program som så opsamlede key strokes når eks læren tændte pc og loggede ind. ( som std var computerne indstillet til at starte op via en disk hvis en sådan var isat drev a: på de fleste skoler )

Siden hen forsøgte man sig ved software medsigt at fjerne genveje i windows så man ikke kunne få adgang til a: drevet, men man overså at man via stifinder eller internet explorer jo bare kan skrive eks a:\ og så den vej igennem få adgang og køre kommandoer og få adgang til alt den vej igennem. ( eller bruge filer fra nettet på computeren )

Og da usb kom kunne man "bare" sætte en usb pen bag i en pc og så komme tilbage et par uger senere og hente den fyldt med data. Dem som var lidt mere fikse på fingrene lavede mini key loggere som kunne sidde ind i usb stikket ( ala en lille simkort agtig ting ) Over tid blev man sågar endnu smartere.. man udskiftede simpelthen usb kablerne så de kunne bruges som et skjult wifi antenner. Denne type angreb blev nato i kosovo eks udsat for i ca 2003 eller 2005 hvor en spion have installeret det på et kontor. ( tænk engang hvor nemt det er for f.eks rengørings personel i enhver dansk virksomhed at udskifte usb kabler på et kontor og eks nogle andre sætte en boks på vægen eller i tagrenden som så kan indsamle data på den måde. ) ( eller en drone på taget som opsamler dette wifi signal og data. )

Kun fantasien sætter grænser i vore dage og sikkerheden i DK er slet ikke god nok. Jeg synes det er ufatteligt farligt/naivt at man har presset sådan på med digitaliseringen i DK for sikkerheden er ikke iorden. Mit gæt det handler om penge og at erobre markeds andele, sikkerhed sekundært. Men det er jo sådan i DK at ulykken altid skal ske før man gør noget. ;-(