Nets DanID afviser: Studerende må ikke se kildekoden til NemID

Nets DanID afviser to datalogistuderendes anmodning om at se kildekoden til NemID, selvom virksomheden før har lovet at vise koden frem ved seriøse henvendelser.

I to tilfælde har datalogistuderende fra Københavns Universitet ansøgt om at få lov til at se kildekoden til NemID's Java-applet, men begge gange har NemID-firmaet Nets DanID afvist.

Nets DanID begrunder i begge tilfælde afvisningen med, at de studerendes begrundelse for at se koden ikke anses som væsentlig nok.

»Jeg ser det bare som en måde at affeje os på. Jeg ser det ikke som en seriøs afvisning af os, men mere som en afvisning af generel karakter,« skriver den ene af de to studerende, Mathias Svensson, i et e-mailsvar til Version2.

Nets DanID har ved to lejligheder oplyst, at selskabet er villig til at lade uafhængige parter se på kildekoden under kontrollerede forhold.

Læs også: DanID vil vise Java-kode frem: »Vi har intet at skjule«

Version2 spurgte i august 2010 DanID, om det var muligt at få kildekoden at se, og Version2 gentog spørgsmålet i november 2011. Her oplyste Nets DanID, at selskabet fortsat var villigt til at vise koden frem, hvis selskabet modtog seriøse henvendelser.

Læs også: Kom med dit forslag: Hvem skal kigge i NemID-kildekoden?

Både Mathias Svensson, som læser datalogi på Datalogisk Institut ved Københavns Universitet på tredje år, og Johan Brinch, som blev færdig som kandidat i april fra samme sted, ansøgte med den begrundelse, at de ønskede at se koden efter for at identificere mulige sikkerhedshuller.

Johan Brinch uddybede desuden sin motivation med et ønske om at få syn for, hvilken kode der køres på borgernes pc'er.

Nets DanID vurderede ifølge afslaget ikke, at de to henvendelser var tilstrækkelig væsentlige ud fra de begrundelser, som de to havde givet for ansøgningen.

I 2010 var Nets DanID imidlertid villige til at lade IT Politisk Forening se på kildekoden, men det tilbud afviste foreningen blandt andet ud fra den betragtning, at der ikke ville være nogen garanti for, at der efterfølgende ikke ville blive ændret i appletten.

Læs også: IT-Politisk Forening stoler ikke på DanID trods kode-striptease

Pressechef i Nets DanID, Søren Winge, bekræfter over for Version2, at de to ansøgninger er blevet afvist, men havde ved redaktionens slutning ikke uddybet begrundelsen for afvisningen.

De skriftlige afslag lød til Mathias Svensson fra en sikkerhedskonsulent hos Nets:

Vi takker for din interesse for NemID.

Vi kan imidlertid ikke efterkomme dit ønske om at reviewe NemID appletkoden, da vi ikke anser din begrundelse som væsentlig nok til at Nets DanID kan afsætte de resourcerr, som er nødvendige fra vores side.

Til orientering bliver koden reviewet jævnligt af eksterne parter, der udelukkende har til opgave, at finde eventuelle sårbarheder.

Og det næsten enslydende svar samme dag til Johan Brinch fra Nets DanID's servicedesk:

Vi har haft din sag oppe og vende hos vores sikkerhedseksperter, som har givet følgende svar:

Vi takker for din interesse for NemID. Vi kan imidlertid ikke efterkomme dit ønske om at reviewe NemID appletkoden, da vi ikke anser din begrundelse som væsentlig nok til at Nets DanID kan afsætte de resurser, som er nødvendige fra vores side.

Til orientering bliver koden reviewet jævnligt af eksterne parter, der udelukkende har til opgave, at finde eventuelle sårbarheder.

Med en ekstra tilføjelse et par linjer længere nede:

Vi beklager, men det kan desværre ikke lade sig gøre

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Anonym

Det lyder i mine ører som om, DanID forsøger at score nogle billige point ved at tilbyde koden til gennemgang.. Men man skal opfylde en lang række krav og ikke stille garantier om, at det er den korrekte kode, man får tilbudt..

Det svarer lidt til, at jeg stiller NemID koden tilrådighed til gennemlæsning. Her er den :

using System;  
   
namespace NemID  
{  
    class Program  
    {  
        static void Main(string[] args)  
        {  
            Console.WriteLine("Hello World");  
        }  
    }  
}

Disclaimer : Jeg garanterer dog ikke, at det er den kode, som installeres og køres på borgernes maskiner.

  • 18
  • 3
#2 Thomas Brodersen

"det tilbud afviste foreningen blandt andet ud fra den betragtning, at der ikke ville være nogen garanti for, at der efterfølgende ville blive ændret i appletten."

Næh, afvisningen skyldtes da vist at der ikke var nogen garanti for, at der efterfølgende IKKE ville blive ændret i appletten.

  • 11
  • 0
#3 David Rechnagel Udsen

Jeg har mødt begge studerende, og jeg tror det er en god idé at de ikke får mere kildetekst at se lige foreløbigt. De kunne godt bruge at komme lidt udenfor.

De skulle have oversat med -Os så den binære fil blev mindre og hurtigere at læse fra lageret! Ikke sandt, Johan?

  • 8
  • 14
#5 Morten Saxov

Hvad med at decompile Java koden ??

Ja, den er obfuscated, men sad og legede lidt med det en aften, og deres deobfuscator ligger i de jar-filer man henter.

Kunne godt se det som et uni-semester projekt at lave en generisk decompiler til deres obfuscator.

  • 5
  • 0
#7 Jesper Stein Sandal

Hvad med at decompile Java koden ??

Ja, den er obfuscated, men sad og legede lidt med det en aften, og deres deobfuscator ligger i de jar-filer man henter.

Kunne godt se det som et uni-semester projekt at lave en generisk decompiler til deres obfuscator.

Jeg har faktisk en ganske detaljeret opskrift liggende fra nogle andre studerende, men vi forsøger i første omgang at få DanID til at stå ved løftet om en uafhængig gennemgang af koden.

  • 9
  • 0
#11 Kenneth Schack Banner

Et alternativ ville nok være at man vil omskrive nuærende appletkode om til et stykke software som ikke behøver tredjeparts software såsom: Javs, Flash, Net framework etc.. Nemid er genialt, men det burde IKKE foregå fra en browser og slet ikke benytte sig af Java!

  • 1
  • 3
#12 Henrik Pedersen

Jeg væmmes...

Så du ønsker ikke hullerne fundet hurtigt, men i stedet at de ligger gemt til en dag hvor hele Danmark stoler blindt på systemet fordi det har "virket fint" så længe?

(Dog tvivler jeg på den dag kommer...)

Desuden, hvis sikkerheden kan kompromiteres ved at kende kildekoden til appletten så har vi altså nogle seriøse problemer...

  • 19
  • 0
#14 Søren Mikkelsen

JohnV: jeg ved ikke om det var en joke eller hvad men det håber jeg.

Hvis kilde koden til NemID var åben og lagt frem så havde man fundet langt de fleste fejl inden udgivelsen og mange folk ville prøve at scorre rep på at finde fejl, som det er nu er det en meget lille gruppe af folk der har adgang til kildekoden,jeg tror ikke det hjælper mig som borger.

Hvis True Crypt kan være sikkert trods åben kildekode kan alt open source vel være sikkert, det er så kun et spørgsmål om udviklers evner og tid.

Alle kan tage fejl, også mig! Ovenstående er et udtryk for min personlige mening.

  • 4
  • 0
#18 Lars Christensen

Nets og DanIds afvisning viser med al tydelighed, at de ikke har fattet en meter! Fordi man tilfældigvis er studerende indenfor datalogi, er man IKKE dermed analfabet - men derimod sandsynligvis en af de aktuelt bedste i DK indenfor kode. Vi har i opfinderkonsortiet PL Brake hentet flere potentielle "kode stjerner" fra datalogistudierne - så kære Nets/DaniD prøv lige at være på forkant, selvom det er svært for jer!

Mvh Lars plbrake.dk

  • 1
  • 3
Log ind eller Opret konto for at kommentere