DanID afviser mulig sikkerhedsbrist: Bankerne genkender dig på stemmen

Selvom man kan få en ny adgangskode pr. sms, er det ikke nok at stjæle engangskoder og mobiltelefon, siger DanID. Bankerne skal ud fra folks stemme vurdere, om det er den rette person.

I sidste uge borede Version2 i sikkerheden i NemID, helt præcist hvad det betød, at DanID spærrer en konto efter fem forkerte login-forsøg.

DanID forklarede, at man hurtigt kunne få låst op igen, hvis nogle andre havde fået spærret kontoen, for der er mulighed for at sende en ny adgangskode pr. sms. Men det åbnede en ny, sårbar flanke i sikkerheden, lød det fra Version2's årvågne læsere.

Så ville det være nok at stjæle en jakke eller dametaske med offerets sygesikringskort, engangskodekort og mobiltelefon, for så havde man cpr-nummer til brugernavnet, engangskoderne, samt mobiltelefonen til at modtage ny adgangskode.

Læs også:DanID: Ja, det er muligt at spærre andres NemID

Den mulighed afviser DanID dog. Standardproceduren er at sende en ny, midlertidig adgangskode med brevpost hjem til folkeregisteradressen, og skal den sendes pr. sms, fordi det haster, skærpes sikkerheden.

Så skal offerets bank nemlig kunne stå inde for identiteten på den person, der møder op eller ringer ind og beder om at få en ny adgangskode pr. sms.

»Det betyder, at brugeren skal være fysisk fremmødt eller at bankens kundebetjener kender brugeren og kan genkende stemmen, eventuelt suppleret med kontrolspørgsmål, ved telefonisk kontakt,« skriver sikkerhedsekspert hos DanID, Peter Lind Damkjær, til Version2.

Tanken om, at bankerne kan genkende deres kunder på stemmen gennem telefonen, mener DanID's kommunikationschef Jette Knudsen ikke er urealistisk.

»Mange banker kender deres kunder godt. Så hvis de entydigt kan genkende stemmen, er det nok, men hvis der er nogen tvivl, skal de bruge kontrolspørgsmål. Dem kan vi ikke fortælle nærmere om,« siger hun.

Fejl ved udsending af koder
Drømmer man om at overtage en anden persons NemID, er et andet angrebspunkt tidspunktet, hvor personen opretter sin NemID og får to breve med posten med adgangskode og et kort med engangskoder.

En Version2-læser har oplevet, at disse to breve kom samme dag med posten, både for ham selv og for hans kæreste. Dermed kan et uærligt postbud eller en posttyv få fat i begge breve med ét hug og oprette denne NemID.

Og her erkender DanID, at der er sket en klar fejl.

»Der skal være en tidsforskydning. Det er fuldstændigt samme procedure som med betalingskort og pin-kode, der også bliver sendt ud forskudt,« siger Jette Knudsen.

Nu skal proceduren hos underleverandøren, som sender brevene ud, tjekkes og forbedres, så det ikke sker igen, at brevene kommer samtidigt, lyder svaret fra Peter Lind Damkjær.

»Vi er i færd med at lave yderligere tiltag i systemet, der skal forhindre dette. Det er naturligvis ikke tilfredsstillende, og de ekstra tiltag er da også prioriteret højt,« skriver han.

NemID er Danmarks nye digitale signatur, der blev lanceret 1. juli. I forhold til den tidligere løsning er forskellen, at man nu logger ind med engangskoder, der bliver sendt på små kort. Og da DanID, som administrerer NemID, er ejet af landets banker, vil NemID også blive brugt i alle netbanker i løbet af efteråret.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (63)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Nils Bøjden

"NemID er Danmarks nye digitale signatur".

Hvorfor skal vi blive ved med at høre det pjat? Version2 skribenter burde være blevet bekendt med det faktum at NemID ikke er en digital signatur.

Bevar nu troværdigheden i det skrevne og skriv at "NemID er Danmarks nye Single-Sign-On, ejet af staten og drevet af bankerne"

Ove Andersen

epn.dk afslører at der igen igen er endnu en stor sikkerhedsbrist som gør, at virksomheder der bruger NemID kan få lidt for meget info om brugerne: http://epn.dk/teknologi2/computer/sikkerhed/article2145973.ece

Årsagen er, at én af de underliggende teknologier bag den tekniske opbygning af NemID ikke blot giver mulighed for at identificere den enkelte bruger, men også gør det muligt for myndigheder, banker og andre virksomheder, at "gå baglæns i transmissionen" og dermed aflure brugeren.

  • Når en bruger kobler sig op til en offentlig myndighed, sin bank, forsikringsselskab eller en anden virksomhed, der er tilsluttet NemID-systemet, har ikke blot den pågældende myndighed eller virksomhed adgang baglæns i systemet til brugerens computer, siger ph.d. i datalogi Niels Elgaard Larsen, der ved siden af sit job hos It-virksomheden Magenta er formand for IT-politisk Forening.
Henrik Stig Jørgensen

Når sikkerheden i et system til sikring af identitet brydes er det klart at systemet ikke kan bruges til identifikation. Den eneste løsning ville være at etablere en parallel identitet, men denne tankegang fører kun til uendelig regression. Det er jo lige før jeg får medlidenhed med DanID i den her sag.

Samtidig er denne spærrings-debat fuldstændig ude af proportioner; i stedet for at diskutere hvad man bør gøre hvis en identitet frarøves ejeren, burde man snarere forholde sig til at alle identiteter i NemID allerede er frarøvet deres ejere.

DanID har fuld adgang til samtlige danskeres online identitet. De opbevarer dit password på deres server - evt. som hash-digest, men det er underordnet. Ligeledes har de dine engangskoder på deres server - evt. som algoritme, men det er underordnet. Al kommunikation mellem borger og myndighed går via DanIDs servere i ukrypteret form, og de kan dermed følge med i alt hvad man foretager sig med NemID og lave transaktioner i ens navn.

Hvorvidt nogle borgere i ny og næ taber deres engangskoder på vejen eller får stjålet dem, og hvordan de så får spærret deres adgang, er i mine øjne en lillebitte detalje der blegner fuldstændig i forhold til de alvorlige problemer der er med NemID.

Claus Bo Larsen

Gad nok vide hvordan min bank vil kunne genkende min stemme. Jeg har ikke talt med nogen i banken i 12 år og banken har udskiftet min kontakt af et par gange. Genkende mig personligt bliver nok endnu sværere da jeg ikke har sat mine ben i filialen i knap 14 år.. Pas eller kørekort kan naturligvis hjælpe, men det hjælper jo ikke så meget hvis der er tale om en haste sag.
/Claus

Henrik Stig Jørgensen

Single-sign-on er et system der muliggør at autentifikation i et system giver implicit autentifikation til et andet system. I UNIX kender du det måske ifbm. PAM og GSSAPI.

Ved brug af public key kryptografi er single-sign-on ikke nødvendigt da autentifikationen er implicit gennem det successfulde SSL-handshake - Client authenticated SSL-handshake.

Single-sign-on er ofte en meget fordyrende omstændighed der kræver integration på tværs af systemer.

Kai Birger Nielsen

I denne sammenhæng betyder det at du kan bruge samme brugernavn/password til et hav af forskellige tjenester.
Det er jo klart en bedre situation end at have et password til skat og et andet til banken og et tredje til digital tinglysning. Synes bankerne i alt fald.

Vi er så nogle, der mener at kunne huske at der var en grund til at bilnøglerne ikke også skal kan lukke pengeskabet op, men ....

David Konrad

Du taler om noget andet, end det som er i fokus. Det handler jo ikke om hvorvidt dit lille password kan misbruges, men om systemet i sig selv er 100% bulletproof sikkert. Det er det ikke, og så kommer det næste spørgsmål jo uværgerligt : Hvem står for sikkerheden, hvilken sikkerhed bruger man og kan det tåle en test??? Og skal vi i grunden ikke kigge hinanden mere i kortene?

Det er det gode spørgsmål.

Bagefter er der et par bedagede hoveder ude i den mere filosofiske verden som spørger sig selv, hvad folk skal bruge alle oplysningerne fra et regneark til - men verden er så viseligt indrettet, at det skal folk nok finde ud af. Bare rolig.

Erik Løth

Hej

Det er et begreb man benytter når man kun behøver at logge på en gang og derved får adgang til mange forskellige systemer uden at skulle logge på igen. Det skal siges at det normalt skal være selvstændige systemer man benytter begrebet om.

Det tager ca 05. sekund at finde på nettet

http://en.wikipedia.org/wiki/Single_sign-on

Og det har intet med windows / nix at gøre.

Mvh Erik L.

Henrik Stig Jørgensen

Glemte lige at nævne, at NemID giver en funktionalitet der ligner single-sing-on, men i stedet for at autentificere dig overfor myndighederne, autentificerer du dig overfor DanID, som derefter proxyer al kommunikation mellem dig og myndighederne.

Det ligner måske single-sign-on, men er så vanvittigt, at jeg ikke tror der findes et ord for det.

Per Hansen

hvis vi starter med stavefejl, hvad betyder så "ldt"? ;)
Nå pyt. Single-Sign-On er normalt en forholdsvis simpel/billig ting, som NemId har valgt at bruge tonsvis af kr på, og så ovenikøbet have frækheden at påstå at de har lavet en Digital Signatur.

En Digital Signatur uden signatur, er som en bøfsandwich uden bøf.. indholdsløs!

Til gengæld har DanId skabt en pengemaskine til dem selv, og givet bankerne og myndighederne mulighed for at overvåge alt hvad borgerne foretager sig med deres signatur.

Ole Wolf

David: Du har fået forklaret single sign-on (også kaldet SSO), men mangler stadig svar på, hvad vendor lock-in er.

Vendor lock-in (og det ER stavet rigtigt, hvis lige man ser bort fra bindestregerne) betyder, at man låser sig fast på en bestemt leverandør, der efterfølgende kan gøre hvadsomhelst eller undlade at gøre det ønskede - og som i begge tilfælde typisk afslutter handlinger eller mangel på samme med en brutal faktura.

Et vendor lock-in opstår, når der er så store omkostninger forbundet med at skifte til en anden leverandør, at det i praksis ikke er muligt.

David Konrad

Tak Ole Wulf. Det er rart at få konkretiseret det. Nu når du siger jeg allerede har fået SSO med en staveplade, ringer der en klokke.

Men det var nok fordi jeg ikke forstod den helt store forkromede pointe jeg blev tavs. For jeg går i det daglige ikke meget op i alt dette sikkerhedshalløj, og det forbavser mig virkelig - når jeg tænker over det - at uagtet 10 års diskussion om brugersikkerhed og "nemID" osv, ja, så går jeg altså stadig på netbank med et kodeord der er knyttet 1:1 til min konto, og et password der er sendt per fysisk brev, og som ikke er krypteret. Blot et indspark.

Nils Bøjden

@Ove Andersen

Der er her en hårfin grænse mellem vil og skal benytte. DanID er ejet af bankerne, hvorfor bankerne nu kontrollerer en af de betydeligste infrastrukturer i Danmark. Hvis projektet i stedet var blevet en digital signatur var det eneste der var brug for en offentlig nøglebase. I stedet er det nu et sted hvor alle transaktioner mellem en person/firmaer og staten/kommuner/regioner/ og diverse private firmaer udveksles, hvorfor der er mulighed for på et centralt sted at overvåge personer i et hidtil uhørt omfang i Danmark. STASI ville få våde drømme af dette.

Plus det ubehagelige i at man ved at kontrollere NemID kan udgive sig for at være enhver dansker over for alle de systemer som er tilknyttet DanID.

Tror du at bankerne vil benytte denne magt over infrastrukturen?

Er der for øvrigt nogen i dette forum og offentlig institutioner også skal bruge NemID mellem sig? Altså således at en offentlig institution, f.eks et personale kontor som skal indhente straffesags oplysninger om en person gør dette via NemID.

Maxx Frøstrup

Ja det blev jeg jo refferet som da jeg oprettede profil så jeg kunne deltage.

Nu bliver der lukket lidt op for og sat fokus på netop det problem jeg bliver kaldt paranoid over.

Det er sikkert fordi der er ferie også videre vi ikke får noget positiv respons tilbage fra NemID stakeholders.

Det her hul er netop det hul alle vi paranoide råbte op om var der, der er tydeligt illustreret i den der Tænk og Test artikel der er blevet linket flere gange af medforfatteren, mener han Hedder Stephan og hjeg er sikker på nogen nok skal tilføje det igen.

Netop 2. case study er hvad jeg har kunnet se ligesom udvikle sig gennem de sidste par år, og nu står vi ligesom overfor gennembrudet. Det er lidt her hvor man "underskriver samtykkeerklæringen".

Min anbefaling udadvendt er stadig hold jer så langt væk som muligt fra at acceptere OCES delen og behold jeres Digitale signatur indtil de første sager om misbrug er dukket op.
Nogen der tør gætte på hvem der ryger i fedtefadet først?

Der er en pulens masse penge i de data som vi nu frigiver til virksomhedsbrug, men der skal nok være nogen der driver rovdrift og derved bliver nuppet :)

Men kald mig nu bare paranoid og grin af min tinfoil hat. Så bliver jeg mere rolig ;)

Michael Christensen

Jeg begik på inspiration af bogen: The Art of Deception: Controlling the Human element of Security, Mitnick, Simon, ISBN 0-7645-4280-X en awareness artikel om social engineering rettet mod et pengeinstitut.

En datakriminel, der vil udnytte denne mulighed ifm. NemID har efter min (helt egen personlige) mening en ganske fair chance for at komme igennem med sit skumle forehavende.

En rådgiver i et pengeinstitut kender kender en stor del af kunderne, men som flere nævner, så er mange af kunderne i dag selvbetjente, og er sjældent i personlig kontakt med rådgiveren. Og hvis den datakriminelle er lidt god ud i social engineering kunsten, så er er der fornuftige muligheder for at få gevinst.


https://www.mathx.dk/dotnetnuke/Blog/tabid/74/EntryId/49/Kan-du-hjaelpe-...

Kan du hjælpe mig? (Social engineering)

Det sker nok for nogle kolleger i den finansielle sektor næsten hver eneste dag. En kunde ringer og beder om at få oplysninger om sin konto, og beder om at få udført en handling – flytte penge, oprette en ny konto, få informationer eller lignende. Det ligger i vores natur og opdragelse at være venlige, imødekommende, hjælpsomme og give en god service. Men vær opmærksom på, at du uforvarende kan komme til at overtræde lovgivningen og hjælpe kriminelle med deres forehavende

Thomas Jensen

Her er et link til en bedre formulering:

http://www.business.dk/tech-mobil/s...

Jeg synes nu ikke jeg blev så meget klogere.

Hvad menes der med:

Niels Elgaard forklarer, at der som udgangspunkt ikke er tale om en fejl i den såkaldte java-applet, som er nødvendig at acceptere for overhovedet at kunne bruge NemID.

Men forbindelsen står åben begge veje, når brugeren accepterer den automatiske installation på computeren, uanset om det er Nem-ID, den enkelte bank eller en helt tredje type virksomhed, der benytter den.

»Det betyder først og fremmest, at brugeren har adgang til de funktioner, den enkelte applet giver adgang til, men også, at udstederen og dem, der er koblet sammen med udstederen, kan kigge baglæns i systemet,«

Bliver appletten installeret hver gang man bruger Nem-ID? Og hvordan/hvorfor står forbindelsen åben? Og hvordan kan man benytte det til at kigge baglæns? Og i hvilket system?

Jeg synes artiklen giver flere spørgsmål end svar.

David Konrad

Det sker nok for nogle kolleger i den finansielle sektor næsten hver eneste dag. En kunde ringer og beder om at få oplysninger om sin konto, og beder om at få udført en handling – flytte penge, oprette en ny konto, få informationer eller lignende.

Det ikke bare sker "nok", det sker hele tiden for vore økonomikollegaer. Men vi forventer ikke, at det sker, fordi vi tror at folk der handler med penge, besidder en hel særlig form for integritet. Og vice versa tror mange mennesker, især dem med penge, at blot fordi man er ekspert i javascript så er man sikkert en "nørd" som alting helt gratis kan betroes til, konens udskejelser osv, og så kan man sikkert også sætte et excel-regneark op i 7 spalter.

Jimmy Frydkær Dürr

Først samler man politisk flertal til at gøre landets politi handicappet, gennem en aldeles ugennemtænkt "reform". Dernæst skaber man politisk flertal for at ændre den nødvendige del af lovgivningen, som gør det muligt at arbejde "på tværs af alle systemer" gennem fødslen af NemID.

Så samler man en række håbløse, og meget konservative IT "sikkerhedseksperter", selvfølgelig hentet fra et system, som i forvejen er hullet som en si, PBS, og sætter disse tumper i gang med at udvikle et "sikkert" system.

Jo. Der ér større sikkerhed i NemID - Men det er de kriminelles sikkerhed for at det er muligt at svindle, der er blevet mange gange større med NemID.

Utroligt at det stadig kan komme bag på nogle mennesker, at regeringen vil gå endog MEGET langt for at holde befolkningen nede. Godt hjulpet af tyranen Pia Kjærsgaard.

Man fristes til at spørge: "Hvornår har vi sidst haft et terrorangreb i Danmark, som har dræbt flere mennesker ?"

Alligevel har vi en "terror-lov" som behændigt giver myndighederne ret til at snage i borgernes private anliggender. Jo, da. Danmark ér en smørklat at leve i.

David Konrad

@Jimmy Jensen

Du rammer hovedet på sømmet. Det er virkelig mærkværdigt, i disse Open Source-tider, hvor snart sagt enhver kan skræddersy et tekstbehandlingssystem, sagsbehandlingsystem osv, efter eget hoved - at man så stadig vælger at bruge windows og outsourcing til skandale-virksomheder som CSC, hvor det jo går galt ikke hver gang, men HVER EVIG ENESTE GANG - og i bogstavlig forstand koster 1.000.000.0000 - eller mere

Hvorfor ikke bare lave et skræddersyet offentligt operativsystem, tekstbehandlingssystem (uden andre sprog end dansk, f.eks - besparelse : 1,1 mia), sagsbehandlingsystem osv i samarbejde med universiteterne? Når kommunerne så har brug for noget nyt, så bliver det en opgave på uni, og ikke endnu et gigant dyrt system - hvor CSC får kontrakten - og som aldrig kommer til at virke.

Hvor mange skandaler og hvor mange mia må et firma som CSC rutte rundt med? Hvornår har de nogen sinde fået noget som helst til at virke i en kommune?

David Konrad

Det er win-win. De uddøende universiteter kunne man levere friske gode opgaver til, og se på al kritikken ift nemID osv - lad dog universiteterne, de kloge hoveder om den sag.

Det ville have været meget bedre, hvis man havde "outsourcet" nemID som en universitetsopgave.

Og det ville være meget billigere for kommunerne, og dermed staten, og dermed borgerne, hvis de kun havde et "uniOS" at forholde sig til. Når og hvis staten lavede lovændringer - f.eks ift sagsbehandlingsgangen - hvad den jo gør tit - var det blot at opdatere kerne og rulle systemet ud til alle institutioner i Danmark.

Men så smarte er vi nok ikke. I Norge, Rusland og Finland er de lidt smartere. Også ud fra et sikkerhedsmæssigt perspektiv er det hul i hovedet at deponere hele sin infrastruktur på "fremmed" software.

mvh
david

Jesper Poulsen

Bliver appletten installeret hver gang man bruger Nem-ID?

Ja.

Og hvordan/hvorfor står forbindelsen åben?

Sammenlign det med en tunnel.

Og hvordan kan man benytte det til at kigge baglæns? Og i hvilket system?

Det fungerer på alle systemer. Det er en tunnel der går begge veje. DanID skal åbenbart kunne skrive en logfil på brugerens maskine. For at kunne gøre det skal de kunne finde den, læse den og tilføje til den. Det kan de kun gøre hvis de har adgang til brugerens maskine.
Og du kan ikke sætte rettigheder på. Du kan kun sikre dig ved at afvikle al NemID-adgang i en VM.

Thomas Jensen

@Jesper Poulsen:

Tak for dit svar. Heldigvis er der siden kommet flere detaljer frem igår, så jeg er ved med på hvad det drejer sig om. Og en af de ting jeg hæfter mig ved er, at:

(...) udstederen og dem, der er koblet sammen med udstederen, kan kigge baglæns i systemet,

kun er sandt, hvis appletten giver mulighed for det. Hvilket den kan gøre, men ikke nødvendigvis gør.

Det synes jeg ikke fremgik tydeligt - tværtimod fik jeg indtryk af, at det var muligt, via den Nem-ID applet der bliver installeret, for banker og tilfældige web-shops, at "kigge tilbage i systemet". Og var det brugerens system? Eller Nem-ID's?

Okay, nu er vi lidt klogere.

Erik Lindberg

Kære Maxx, tak for hurtigt svar på mit spørgsmål.
Ved siden af active card bruger jeg naturlivis også digital signatur.

vdr. "Men ja alle danske netbanker har NemID som eneste vej ind fra og med 1. januar 2011."

Det må da være muligt at rejse en folkestemning
imod den usikre og besværlige "NemId".
Kan staten virkelig tvinge bankerne til at bruge "NemId" ?

Maxx Frøstrup

Ja, det har de allerede gjort.
Tror de blev endeligt enige om at NemID skulle udspredes til ALLE danske borgere.
Og bedste mulighed ville være hvis Bankerne stod for at fordele dem.
Fra 1. juli eller var det august har bankerne været igang med at konvetere sine netbanks kunder fra bankens egen løsning over på NemID. Denne migrering har de forpligtiget sig til at have færdig i år gennem DanID's aftale.

Så når du får brevet fra din bank med din Nemkonto, så har du i praksis 8 uger til enten at have netbank gennem NemID eller at undvære netbank. Slut prut, no way around it.

Jeg forstår der er lidt håb ved at adskille OCES certifikatet fra NemID, og på den måde at kunne beholde sin digitale signatur indtil den udløber, men bagefter så er det slut.

Det er et smart trick, egentlig ret morsomt der er så få der rent faktisk ved at de er tvunget over på det her i år. Og hvad det er.

Personligt bliver jeg først ramt i oktober engang (+8 uger). Og jeg er langt fra tryk ved løsningen, men på den anden side er det genialt koncept (hvis det virker og folk opfører sig ordenligt).

Håber lidt jeg kan købe extra tid og sikkerhed på løsningen ved at købe deres nøglekort løsning, men den er vist ikke til salg endnu.

Morten Andersen

Jeg synes det der kom ud i går var totalt forvrøvlet.

1) For det først er det ikke "signingen" der gør at appletten kan alt. Det afhænger helt af hvilke permissions den beder om og forudsætter brugeren accepterer. En applet skal dog være signeret for at kunne bede om forhøjede permission.

2) Det er rigtigt at en applet der beder om alle permissions kan gøre mange grumme ting på ens computer. Den kan lave vilkårlige netforbindelser, læse vilkårlige filer. Sandbox-begrebet mister lidt sin relevans idet man også kan kalde native kode via JNI hvorved alle døre er åbne.
Men her synes jeg ikke kritikerne understregede nok, at det blot er et et potentiale der ligger - som kan opnås ved modifikation af applet (som vel at mærke skal foretages af DanID - en hacker kan ikke gøre det uden at have deres nøgle). Den måde kritikerne udlagde det på var meget egnet til at blive misforstået sådan, at det var et hul der var tilgængeligt nu og her.

3) Jeg forstod aldrig det der med "at kigge tilbage i systemet og m.m.". For mig at se var det noget tåget vrøvl som INTET har at gøre med hvilke permissions en applet beder om. Jeg har ikke fantasi til at forestille mig hvad den pågældende kritiker har prøvet at henvise til med alt det der "gå tilbage"-snask. Det virker som noget man hører fra folk der ikke aner noget om teknik.

Henrik Stig Jørgensen

For det først er det ikke "signingen" der gør at appletten kan alt. Det afhænger helt af hvilke permissions den beder om og forudsætter brugeren accepterer. En applet skal dog være signeret for at kunne bede om forhøjede permission.

I en standard Java-installation har en signed applet alle rettigheder.

Den måde kritikerne udlagde det på var meget egnet til at blive misforstået sådan, at det var et hul der var tilgængeligt nu og her.

Meget tyder på at NemID appletten er en bootstrap-applet, som loader arbitrær kode fra DanIDs server, kode som ikke er indeholdt i appletten. Dermed er sikkerhedshullet tilgængeligt nu og her.

Jeg forstod aldrig det der med "at kigge tilbage i systemet...

Det gjore jeg heller ikke.

Maxx Frøstrup

Måske jeg stadig bliver svindlet på den måde, men jeg ville have noget i hånden, og konceptet ville begynde at ligne noget jeg er vant til og jeg ville føle mig mere tryg.

Jeg har ikke teknisk forstand til at lure om nøglen er på tamperproof og entydeig. Men jeg står med noget i hånden, nogle folk i jakkesæt siger er det. Og naiv som jeg er ville jeg tro på det.

Jeg er let påvirkelig og det står jeg ved, jeg kan sagten få masse mentallitet ved at være herinde, men grundlæggende vil jeg helst kunne stole på mine autoriteter.

Som det er nævnt andet steds, så har jeg da også bemærket at løsningen faktisk ikke er blevet misbrugt endnu selv med alt den tekniske medie bevågenhed den har haft gennem året.

Jeg takkede også nej til den digitale signatur i lang tid pga de krav der blev stillet i EULA'en, som jeg ikke tror ret mange læste.
Netop den løsning har faktisk hjulpet mig af med min tinfoil hat flere steder, for ja, der var en stor risiko personlig rent økonomisk risiko forbundet med løsningen, og den kunne undgåes, men livet var en del lettere med den, og nu er jeg rigtig glad for jeg har den.
Det var en af de der gør det nu bare og kom videre ordrer. Der er simepthen ikke tid nok til jeg kan opretholde den idealogiske kamp for at noget forkert bliver gjort rigtigt. Jeg skal have betalt mine regninger, og de er sgu ligeglade med om jeg er idealist eller ej, de vil have deres penge.

Det er også derfor der ikke kommer noget der standser NemID hverken politisk eller græsrods. NemID stopper og bliver redesignet når/hvis nogen smadrer den danske infastruktur gennem det. Indtil det sker er det hold nu din kæft, og kom videre idealogien der hersker. Det fungere og derfor bruger vi det.

Så længe min nabo ikke bliver ramt er han bedøvende ligeglad. Det er træls med at han nu skal have et papkort, men ellers er det jo det samme. der skal stadig indberettes skat ikke sandt.

På den anden side: Nu har det her været undervejs siden jul ihvertfald, det ER begyndt at ramme min nabo, og inden jul HAR det ramt min nabo. Men hvem snakker om det?
Jeg fik en forespørgelse i sidste månede tror jeg fra vores bogholder om der var noget med "det der NemID" i forhold til vores medarbejder logins til virk.dk
Og nej det er der jo ikke, men til December begynder de at flytte medarbejdere signaturer over på NemID'er. Synes egentlig det er fantastisk smart og glæder mig lidt. Men dem der rent faktisk har og skal bruge det har ingen anelse om hvad eller hvorfor de har det. De skal bare ordne deres virk.dk ting. Resten er ligegyldigt. Allerede dengang gjorde jeg opmærksom på EULA'en og dens mangler. Svaret retur fra ledelsen: Det holder jo ikke en meter i retten. Og nej, det gør det nok ikke. Også krydser jeg finger for det ikke bliver mig der skal validere den påstand i retten.

Reelt set ville vores virksomhed gå i total standning hvis ikke virk.dk var tilgængeligt indenfor en uge tops. Det er ligefrem et lovkrav påpeget af revisoren....

Men buttomline:
Ja, vi råber og skriger ULVEN KOMMER herinde, men det bygger på antagelser. Og den er jo ikke kommet endnu.

Anonym

Hvis du langsomt varmer en gryde med vand og en frø i, så observerer frøen ikke at den koges før den dør.

Du oplever bare hvordan særinteresser langsomt omklamrer dig og reducerer dine frihedsgrader.

I samme omgang reducerer konkurrencen og innovationsevnen.

Så på den ene side kan Dansk IT kalde på flere it investeringer
http://www.version2.dk/artikel/15801-hjaelp-dit-land-hvordan-skal-it-red...

Og på den anden side kan vi se hvordan disse it-investeringer går ned i et sort ineffektiviserende hul uden fremtid eller plads til at samfundet kan genoprette sig inden for spændetrøjen.
http://www.modernisering.dk/da/presse_nyheder/nyhedssub/aftale_om_edag3/

Problemet er at når samfundsinstitutionerne fejler og ingen siger fra, så kan det gå helt galt - og strømpilen pt. siger lodret forfald.

Casper Bang

Jeg spurgte DanID: "...hvad er den tekniske forklaring på at i skal bruge en applet, da jeg kan forstå det IKKE er for at få adgang til en privat nøgle på filsystemet (som f.eks. SDC's netbank system kræver)?"

Men blev spist af med dette: "NemID er ikke understøttet på Android. Du finder en oversigt over understøttet software på vores hjemmeside".

Jeg synes vi må til bunds i HVORFOR i alverden der bliver brugt en applet. Det er gammel, invalideret teknologi der ikke hører til i 2010 og står bl.a. i vejen for at mange mennesker kan benytte deres iPhone, iPad, Android etc.

Selv om appletten er obfuscated og kun bootstrapper til den reelle kode, så er det jo stadig bare at simulere en browser og sniffe netværkstrafikken. Denne teknik virker i hvert fald med SDC's bankløsning, der er lige så tåbeligt lavet.

Morten Andersen

Tak for dit svar. Det var nyt for mig dels at en applet fik alle permissions (jeg mente at huske man skulle lave en java.policy fil med præcis hvilke permissions man ønsker) - uanset hvad er det nok ret svært for brugeren at tage stilling til hvilke permissions man vil give.

Men ved alle de eksisterende applets der er i brug til netbanker og også den gamle digitale signatur er der tale om applets der er signerede og beder om permissions, så der er INGEN forskel her.

Hvis DanID's "boot" applet henter anden kode ned så vil denne ikke være omfattet af JVM'ens signaturcheck. Og så er det naturligvis applets ansvar at fortsætte trust-kæden ved at verificere signatur på det der er hentet ned. Er det her man har fundet en fejl? Hvis dette er tilfældet undrer det mig man ikke har slået på dette i stedet. Har jeg misset en nyhedshistorie? Jeg så godt noget et sted med der havde været en demonstration, men ikke hvad den gik ud på.

Maxx Frøstrup

Lav et site med en NemID login applet.
Fisk en borger på sitet til at logge ind på sitet gennem din applet.
Modtag alt input i applet til simpel fil, forespørg ofte papkort koder....

Brug borgeren data til at logge på tinglysningen og overdrag alt borgeren ejer til mig. Et par dage senere.

Tænkte jeg lige måtte lave et hurtigt kig og den lille ting de har på nemid.nu til at logge ind til selvbetjeningen er vel ikke hvad vi snakker om?
Det er da skide let at lave, resten er trickseri til at logge brugen til at tampe papkort koder ind.

Tænker lidt, indtast kode med løbenummer 132 -> ned i filen at kode 132 er "qasw".

Det eneste problem jeg ser er at logge borgeren ind på siden med hensigten at bruge sit NemID, denne side kunne jo meget typisk være "www.jackpotten.dk, Million gevinster hver uge".

Hvis man kunne logge deres bank ud af dem også, så er man jo derinde?

Er der ikke nogen der er søde at fortælle mig det ikke hænger sådan sammen? At det ikke er så let at lave et ID hijack.

Morten Andersen

Der er lige det problem, at koderne ikke har løbenummer. Der er i derimod et nøglenummer på 4 cifre der vises, og på kortet skal man så finde disse 4 cifre og taste den 6-cifrede kode ind ved siden af. Begge numre er tilfældige. For at få en kode ud af en bruger skal du således præsentere ham for 4 cifre der skal stå på hans kort. Brugeren vil nok lugte lunten og stoppe ret hurtigt, når han ikke kan genfinde koderne på sit kort! At få en kode ud er således svært - og for dat et er brugbart skal du jo have (næsten) alle koderne fra hans kort.

Henrik Stig Jørgensen

jeg mente at huske man skulle lave en java.policy fil med præcis hvilke permissions man ønsker

Det er kun hvis den ikke er signeret.

Men ved alle de eksisterende applets der er i brug til netbanker og også den gamle digitale signatur er der tale om applets der er signerede og beder om permissions, så der er INGEN forskel her.

Forskellen er at private virksomheder er i deres gode ret til at stille alle de krav overfor brugere de nu end måtte ønske. Det offentlige skal stå til ansvar overfor samfundet. NemID er et offentligt projekt, der blot er udliciteret til en privat virksomhed.

Hvis DanID's "boot" applet henter anden kode ned så vil denne ikke være omfattet af JVM'ens signaturcheck. Og så er det naturligvis applets ansvar at fortsætte trust-kæden ved at verificere signatur på det der er hentet ned. Er det her man har fundet en fejl?

Når først man har givet en applet alle rettigheder kan det være ligegyldigt hvilken kode den henter ned - hvis ikke lige det var fordi, at IT- og Telestyrelsen dementerer påstandene med at sige, at der ikke er nogen skadelig kode i appletten, samt at det kun er appletten der har læse-/skrive-adgang.

Det første argument er underordnet, da appletten ikke indeholder anden funktionalitet end at eksekvere downloadet kode, som potentielt kan indeholde skadelig kode.

Det andet argument er forkert, da den kode, der downloades og eksekveres via appletten vil have de samme rettigheder, som appletten - altså fuld adgang.

Det skal siges, at alt dette er under antagelse af, at appletten bootstrapper, altså downloader og eksekverer arbitrær kode fra DanIDs server. Jeg bygger min antagelse på, at package-name i appletten er "dk.pbs.applet.bootstrap", samt at det umiddelbart er den eneste logiske forklaring på hvorfor der skulle "caches kode" på klient-maskinen.

Jesper Lund

Der er lige det problem, at koderne ikke har løbenummer. Der er i derimod et nøglenummer på 4 cifre der vises, og på kortet skal man så finde disse 4 cifre og taste den 6-cifrede kode ind ved siden af.

Det problem løser du ved at sende OTP challenges videre til brugeren on-the-fly

1) A logger på fake site hvor A tror at der skal bruges NemID
2) Fake site modtager uid + password fra A
3) Disse to ting indtastes af MITM angriberen på et rigtigt NemID site
4) Angriberen får nu en OTP challenge
5) Angriberen præsenterer A for denne OTP challenge på fake site
6) A leverer kode fra papkort, som MITM angriberen anvender på det rigtige NemID site
7) Der er nu adgang til A's dating.dk profil eller det som er værre..

Fake site skal selvfølgelig kunne forfalske NemID logon "vinduet" så det ligner det rigtige fra DanID. Men folk checker typisk ikke signaturen for java apletter hele tiden, og når man først har godkendt en signeret applet, kommer der ikke flere advarsler (forbehold: jeg har ikke gennemført et NemID logon, kun set det første skærmbillede).

Henrik Stig Jørgensen

Ved du hvor cachen ligger?

Javas egen eller NemIDs?

Sun-Javas applet-cache ligge typisk i ~/.java/deployment/cache/ medmindre man har ændret det i Java Plugin Control Panel.

Mht. NemIDs cache ved jeg det ikke da jeg ikke har i sinde at eksekvere appletten.

I øvrigt, hvis nogen har en sandbox/virtualiseret maskine til ukompromitteret eksekvering af NemID-appletten, ville jeg være meget interesseret i et thread-dump (jstack).

Jesper Lund

Ved du hvor cachen ligger?

Det må være meget nemt at finde ud af.

Det skal være et sted hvor du med sikkerhed har skriverettigheder, og det har du kun i dit home directory (c:\users\%USER% på Windows fra og med Vista).

På mit Linux system ligger den rigtige java cache i

~/.java/deployment/cache

(det er næppe der, da de sikkert vil konflikte med den officielle java cache).

Du skal blot registrere hvilke filer der bliver opdateret under dit første NemID logon. Det kan gøres på mange måder.

Morten Andersen

Jesper,

jeg kan ikke se nogle signaturproblemer på applet, for hvis appletten blot skal kommunikere med den server den ligger på (blivmillionær.dk) er dette vist tilladt, selv for en usigneret applet. Det kan være man er nødt til at lave det hele i Javascript.

Brugeren skal i stedet opdaget fraværet af en dialog om at applet er signeret, men det giver ikke så god sikkerhed, idet fake-koden jo kan lave en falsk sikkerhedsdialog der præsenterer DanIDs certifikat.

Jesper Lund

Brugeren skal i stedet opdaget fraværet af en dialog om at applet er signeret. Men det giver ikke så god sikkerhed, idet fake-koden jo blot laver en falsk sikkerhedsdialog der præsenterer DanID's certifikat! En anden mulighed kan være at loade rigtig applet i en skjult frame på siden.

Situationen minder lidt om "Verified by Visa" systemet ("ekstra password til nethandel", sagt meget forenklet) hvor du præsenteres for en indlejret https side fra din bank, men du har ikke en jordisk chance for at kontrollere at det virkelig er fra din bank (eller nu er det vist PBS som gør dette i stedet for kortudstedende bank). Der er ikke adgang til https certifikatet når siden er indlejret.

Ved Jyske Banks OTP løsning sker al kommunikation formentlig med Jyske Bank (?), og så er der bedre muligheder for at checke at du kommunikerer med det rette, herunder ikke mindst https certifikatet.

Maxx Frøstrup

Morten problemmet med applettens certificat er at højst 10% af brugerne ved noget om certificater og/eller tjekker dem.
Et certifikat har værdi for os herinde men tæt på ingen ude i virkeligheden.
Jeg kender personligt ikke mange mennesker der overhovedet har lagt mærke til "hængelåsen" på nogle hjemmesider. De er blevet dette læst og påskrevet i jeg ved ikke hvor lang tid, men de forstår det ikke og finder det ligegyldigt. Her spiller NemID måske en fin opdrager rolle til at lære dem at certifikater skal altså være i orden, ellers skal de afvises. Forfalskninger af disse er i bredden ligegyldig da de mere er i vejen end til gavn for Mr. Smith.

Jesper
Ja, man kunne lave et angreb den vej rundt, men det er også urealistisk. Måske et program ville kunne lave transaktionerne hurtigt nok til at brugeren ikke blev mistænksom, men du skal ind som intelligent individ og se hvad du kan hente.
Jeg antager så at jurisike underskrifter også videre af en vis vigtighed kræver ny OTP.
Så hvis du skal udnytte den mulighed holder det op med at være en simpel angrebsvinkel, dermed ikke sagt det ikke kan lade sig gøre, men sandsynligheden for nogen gør det falder exponetielt med komplexiteten.

Var lige igen igen forbi og se med hensyn til min ønskede USB Token løsning, og faldt i den forbindelse over deres TU vejledninger, og bemærker i den forbindelse at USB Token løsningen faktisk tilsidesætter OTP, de kalder den faktisk "uden OTP login".

Men ak, kan ikke se noget som helst borger information omkring det. Måske jeg skulle meddele min bank at de skal afvente denne løsning før jeg bliver migreret (Oktober) vs. jeg konsekvent ikke aktivere tilsendte løsninger uden token.

Jesper Lund

Ja men jeg kom i tanke om at man alligevel ikke kan checke det via hængelåsikonet eller, alternativt, vil få advarsler om at siden indlæser usikre elementer fra andre sites?

Den falske verified-by-Visa validator har selvfølgelig et SSL certifikat så du ikke får denne advarsel (ikke et certifikat udstedt til PBS, men det er heller ikke nødvendigt da du ikke kan checke certifikatet, allerhøjst at det er https). Jeg tror i øvrigt ikke at ret mange brugere vil reagere på den advarsel, da der er utroligt mange https sider som loader http indhold..

Jesper Lund

Men ak, kan ikke se noget som helst borger information omkring det. Måske jeg skulle meddele min bank at de skal afvente denne løsning før jeg bliver migreret (Oktober) vs. jeg konsekvent ikke aktivere tilsendte løsninger uden token.

Bankdelen af NemID vil bruge OTP uanset hvad du gør med OCES-delen af NemID aka "digital signatur" (tre muligheder: ingen OCES som bliver mit valg, OCES med "privat" nøgle hos DanID og adgangskontrol med samme OTP papkort, eller OCES via hardware token når/hvis det kommer).

NemID har to forholdsvist uafhængige dele, en bankdel og en OCES del, Den primære lighed er brugergrænsefladen, som er den samme med OTP papkort, men teknisk fungerer de helt forskelligt.

Erik Lindberg

Kære allesammen,

Jeg har nu prøvet at få en N3M ID, og jeg måtte sende følgende til "DanId".

Kære "NemID",

I dag fik jeg min midlertidige adgangskode.

Jeg loggede på en hjemmeside, der er tilsluttet
"NemID" nemlig min Netbank. Jeg følger vejledningen
og får at vide, at min "NemId" ikke er aktiveret.

Jeg ringer til banken og får at vide, at den skal
aktiveres ved, at jeg logger på "NemId" første gang
og ikke på Netbank, som der står i brevet fra "NemId".

Da jeg så prøver at logge på "NemId", får jeg at vide, at jeg har tastet min adgangskode ind for mange gange.

Mon jeg kunne få en ny midlertidig adgangskode ?

Venlig hilsen
ERIK LINDBERG
PS
Jeg formoder, at den første skrivelse fra "N3M ID"

bliver rettet, så der står, at første gang skal man logge ind til www.nemid.nu

Ih hvor er det nemt ;-)

Venlig hilsen
ERIK LINDBERG

Log ind eller Opret konto for at kommentere