DanID: Intet underlødigt i 'security by obscurity'

At camouflere programkode som GIF-filer er med til at gøre livet surt for it-kriminelle. Læs resten af DanID's svar på Version2's spørgsmål her.

Læs også: DanID: Ja, vi står bag fire skjulte programfiler i NemID

Fredag kunne Version2 bringe de foreløbige svar fra DanID, efter kritikken fra læserne var haglet ned over firmaet bag NemID for at bruge skjulte programfiler i NemID.

Nu har DanID i en e-mail besvaret resten af Version2’s spørgsmål. DanID har valgt at gruppere spørgsmålene og herefter besvare dem, hvorfor vi ikke har kunnet dele spørgsmålene op.

Hvad bruges koden/filerne til? Hvilken funktion har de fire GIF-filer: ”error.gif”, ”large.gif”, ”logo2.gif” og ”pause.gif”, som ligger i ”DanID_Applet.jar”? Hvad gør de fire GIF-filer?

»Den omtalte kode bruges til at danne den såkaldte PC-tjeksum. Tjeksummen dannes ved at måle på forskellige parametre på brugerens pc, hvorefter den i anonymiseret form følger med log-in i netbanken. Denne model fandtes også i de gamle netbankløsninger, og spiller en rolle i systemets sikkerhedsberedskab. «

Hvorfor er programkode camoufleret som GIF-filer? Hvorfor har DanID tilsyneladende brugt ’kodeobfuskering’ for at maskere programkoden?

»Filerne skal have et navn, og i stedet for at pege direkte på en .dll fil, har vi givet dem normalt klingende navne. Det gør dem ikke usynlige, men det gør, at den it-kriminelle skal gøre sig mere umage for at finde dem. «

Læserne kalder det ’security by obscurity’. Hvad mener DanID om det?

»Hemmeligholdelsen er kun et ekstra lag. Der er intet underlødigt ved at tage alle de virkemidler i brug, der står til ens rådighed. Vi ved udmærket at kamuflering af filerne ikke holder alle it-kriminelle væk fra koden, men det skal vel ikke forhindre, at vi gør livet mest muligt surt for dem?«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (38)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Niels Wind

Problemet er vel snarere at det ikke er til at vide om DanID virkeligt har flere lag under ’security by obscurity’.

Hellere kendt og vurderet sikkert af fagligt kompetente uvildige,
end ukendt og måske sikkert, fordi de nu selv siger at det er sådan. Det er vel også et udemærket princip i alles interesse?

  • 23
  • 0
Jesper Lund

Den omtalte kode bruges til at danne den såkaldte PC-tjeksum. Tjeksummen dannes ved at måle på forskellige parametre på brugerens pc, hvorefter den i anonymiseret form følger med log-in i netbanken.

Øh? Vi taler om en unik checksum (fingerprint) af min PC som sendes til DanID ved NemID login, hvor jeg er fuldt identificeret. Hvorfor kan det være i anonymiseret form? Anonym betyder at DanID ikke har nogen teknisk mulighed for at forbinde fingerprint (checksum) med persondata.

Bliver disse svar fra DanID's udviklere redigeret til mere "spiselig" form af DanID's spin-PR folk inden de sendes til version2?

Det bliver naturligvis heller ikke bedre når DanID som "forsvar" siger at netbankerne har lavet denne dataindsamling om min PC hele tiden -- uden nogensinde at gøre opmærksom på det eller indhente et samtykke,

  • 17
  • 0
Jesper Hedemann

i ved udmærket at kamuflering af filerne ikke holder alle it-kriminelle væk fra koden, men det skal vel ikke forhindre, at vi gør livet mest muligt surt for dem

Så de har lavet et program som kun skal gøre livet mest muligt surt for it-kriminelle, hvad med og lave noget som de it-kriminelle ikke kan pille ved...

og it-kriminelle arbejder jo tit sammen, så hvis først en finder ud af det...

  • 12
  • 0
Kim Schulz

...at DanID på den måde vælger at udstille deres manglende indsigt i sikkerhedsteori og hvad der er good practice (og måske værre endnu bad practice) inde for det område.
Det er snart mange år siden at der var stor enighed om at Security by Obscurity ikke burde ses som være en del af et sikkerheds system.

  • 15
  • 2
Anders Kvist

Det var jo det mange forventede - man kunne forestille sig at det kunne bruges til at modbevise en bruger der påstår at de ikke selv havde logget ind og overført 100.000kr til en hemmelig konto i Schweiz. Hvis checksummen passer med alle de andre logins brugeren har, ja, så er det jo svært at snyde og vil sikkert dække 99.99% af brugerne.

Det værste er jo at det ikke er særligt svært at ændre på mac adressen (i hvert fald på en Linux). Man kan jo let lave et script der ved boot sørger for at mac adressen på et ubrugt eth0/eth1/wlan0 bliver tilfældigt genereret - måske kun køre scriptet i tilfælde af at man vil forsøge at snyde :)

  • 6
  • 1
Sune Foldager

Det er snart mange år siden at der var stor enighed om at Security by Obscurity ikke burde ses som være en del af et sikkerheds system.

Nej det er der ikke; der er bred enighed om at det ikke skal være en afgørende del af sikkerheden; se fx Wikipedias artikel om emnet. I en reel (og altså ikke perfekt) verden, er obscurity et relativt udbredt virkemiddel som et led i en samlet strategi. Danske Bank fortæller heller ikke offentligt hvor deres databaseservere står.

  • 8
  • 5
Sune Foldager

Det værste er jo at det ikke er særligt svært at ændre på mac adressen (i hvert fald på en Linux). Man kan jo let lave et script der ved boot sørger for at mac adressen på et ubrugt eth0/eth1/wlan0 bliver tilfældigt genereret - måske kun køre scriptet i tilfælde af at man vil forsøge at snyde :)

"Det værste" af hvad? Så fordi en funktion kan omgås (næsten alt kan omgås), skal man helt lade være med at benytte den? Det drejer sig vel om at begrænse angreb og misbrug, og hvis en af metoderne er at en del angribere/misbrugere ikke kan finde ud af at omgå en funktion, så er det vel fint nok?.

  • 3
  • 9
Jan Gundtofte-Bruun

Men er det ikke noget nær umuligt at gøre sin software "pille-proof"?


Aha! Jo det er det -- men fidusen er at dét er det forkerte spørgsmål! Når man nu ikke KAN forhindre folk i at pille (se: fiasko med DVD-kryptering, afstemninger, etc) så skal systemet være skruet sådan sammen at det er sikkert SELV OM vi alle ved hvordan det er lavet.
Og hvis det først er blevet pillet ved, skal det enten stadig fungere fejlfrit eller slet ikke. Det er derfor det er en dårlig idé at bero på client-side code, for der gør det ingen forskel om filen hedder gif, jar, eller dll, og om den er signed eller ej.
De kritiske dele skal bare ikke skulle distribueres rundt til brugerne (som i sikkerhedsmæssig forstand skal ses som "angribere"). Hvis obscurity skal være et argument, så lad dog være med at vise os filerne overhovedet.

  • 12
  • 0
Jesper Lund

Det værste er jo at det ikke er særligt svært at ændre på mac adressen (i hvert fald på en Linux). Man kan jo let lave et script der ved boot sørger for at mac adressen på et ubrugt eth0/eth1/wlan0 bliver tilfældigt genereret - måske kun køre scriptet i tilfælde af at man vil forsøge at snyde :)

Hvis du vil skabe plausible deniabilitet for den dag hvor du betaler din narkogæld ved overførsel til en russisk bankkonto og derefter prøver at tørre den af på banken som at din NemID er hacket, skal du randomisere, din checksum f.eks. via MAC adressen, ved hvert eneste login.

Hvis denne checksum skal kunne bruges til at afsløre noget i den stil, skal der være tale om folk som husker at forbinde gennem en proxy så de får en IP adresse som de ikke har brugt før, men som ikke er opmærksom på at DanID indsamler oplysninger om deres PC.

  • 4
  • 0
Benjamin Krogh

Jeg talte med en mand fra en offentlig enhed (hvilken husker jeg ikke), om at indsamle data fra vejnet.
De fancy kameraer der står langs vejene, og kører OCR på nummerplader, gemmer kun de 2 første og 2 sidste cifre fra nummerpladen. Dette gøres fordi nummerpladen er person-henførbar og derfor ikke må gemmes.

Et lignende system, der anvender Bluetooth, må dog gerne gemme fuld BT-addresse (som er unik globalt) da denne ikke er person-henførbar.

Noget unikt er kun person-henførbart når der eksisterer et offentligt register på det.

Jeg spurgte selfølgelig om et fingeraftryk er en person-henførbar oplysning.
Svaret var nej.

  • 4
  • 0
Bjarke Walling

Der er mange ting galt med NemID, men jeg synes ikke i sig selv at filnavnene eller kode-obfuskeringen er en af dem. Det er vel en form for “defense in depth” – tjek Wikipedia.

Kode-obfuskering er før brugt på Java Applets for at gøre størrelsen mindre, ligesom mange JavaScript-filer på webbet er minified. Det ser jeg intet problem i, sålænge den grundlæggende arkitektur og sikkerhed er sund, og det bør være kernen i debatten.

  • 6
  • 1
Andreas Bach Aaen

Den holder vist ikke. Jeg tror ikke på at Jyske Banks system, der udelukkende brugte javascript, genererede en "PC checksum" med tilsvarende input.
Hvis en bestemt PC-checksum bliver brugt til at køre rigtig mange nemID logins fra, så kunne det jo være en PC, styret af en kriminel der har fisket nogle nemID engangskoder via et phising site.
Mon så ikke denne specielle PC, men den uheldig checksum får tilsendt en spionprogram, der laver en del mere end bare en checksum?
Skal der en dommerkendelse til? Kan Danid gøre det uden?
Kan PET med en dommerkendelse i hånden bede Danid om at lægge et spionprogram ind på en persons computer? Teknikken og lovgivningen er klar til det. Er du?

  • 14
  • 0
Niels Didriksen

Øh? Vi taler om en unik checksum (fingerprint) af min PC som sendes til DanID ved NemID login, hvor jeg er fuldt identificeret. Hvorfor kan det være i anonymiseret form?


Helt enig. Den holder ikke en millimeter. Hvis den er linket op på brugerens ID, er den ikke anonym. Og hvis omvendt er anonym, kan den ikke bruges (som flere foreslår) til at etablere plausible deniability eller til sammenhold med tidligere logins.

Det naturlige følgespørgsmål må nødvendigvis nu være; "Beskriv venligst hvordan i bruger en anonym checksum og til hvad". Jeg forventer det vil give endnu mindre mening, med mindre de trækker i land på enten "anonym" eller "checksum".

  • 6
  • 0
Thue Kristensen

Det værste er jo at det ikke er særligt svært at ændre på mac adressen (i hvert fald på en Linux). Man kan jo let lave et script der ved boot sørger for at mac adressen på et ubrugt eth0/eth1/wlan0 bliver tilfældigt genereret - måske kun køre scriptet i tilfælde af at man vil forsøge at snyde :)

Jeg har længe kørt NemID i en virtuel maskine som startes med kommandoen

#!/bin/sh                                                                                                                                                                                                    
   
NAME=/tmp/ubuntu10.04.2.netbank_tmp_${RANDOM}_${RANDOM}_${RANDOM}.qcow2  
cd /home/thue/qemu  
qemu-img create -b /home/thue/qemu/ubuntu10.04.2.netbank.qcow2 -f qcow2 $NAME  
kvm -hda $NAME -boot c -m 2048 -net nic,macaddr=00:$(($RANDOM % 100)):$(($RANDOM % 100)):$(($RANDOM % 100)):$(($RANDOM % 100)):$(($RANDOM % 100)) -net user -soundhw sb16  
rm $NAME

Dvs tage en copy-on-write kopi af et diskbillede, køre på det, og så slette kopien når jeg er færdig.

Jeg havde randomiseret MAC-adressen, fordi det var den letteste måde at koordinere at køre flere virtuelle maskiner samtidigt, uden at de fik samme MAC-adresse.

Så jeg har altid haft et unikt fingeraftryk for hver nemID-session :).

  • 19
  • 0
Jon Linde

...Danske Bank fortæller heller ikke offentligt hvor deres databaseservere står.

Måske ikke direkte, men det er heller ikke nogen stor hemmelighed.
I praksis vil jeg mene at det er så godt som almen viden da jeg tror at de fleste kan finde ud af det i løbet af 10 minutters surfning.

  • 4
  • 0
Jesper Lund

I en reel (og altså ikke perfekt) verden, er obscurity et relativt udbredt virkemiddel som et led i en samlet strategi. Danske Bank fortæller heller ikke offentligt hvor deres databaseservere står.

Der er en stor forskel på placeringen af en server og NemID appletten. Jeg har intet behov for at vide hvor Danske Banks databaseservere er placeret. Det er heller ikke et område hvor der synes at være et nævneværdigt behov for peer review.

NemID appletten er kode som afvikles på min computer. Jeg vil vide hvad den kode laver, og hvis den indsamler information om min computer, vil jeg have præcis information om dette.

Hvis DanID mener at det er nødvendigt at appletten + det løse kode i GIF filer kan gøre "hvad som helst" på min computer i sikkerhedens navn (DanIDs sikkerhed), må DanID gøre tydeligt opmærksom på dette, så vi kan tage vores forholdsregler og sandboxe skidtet.

NemID minder mere og mere om Sony's famøse DRM rootkit, hvor Sony argumenterede for at deres rootkit var nødvendigt for deres sikkerhed og for beskyttelsen af deres ophavsretslige rettigheder (læs: vi er nødt til at overtage kontrollen med din computer for at beskytte vores musik CD'er mod kopiering; du bliver muligvis mere sårbar overfor andre angreb, men det kan vi ikke gøre noget ved, og det er vigtigt for vores sikkerhed at du ikke bliver informeret om dette).

  • 19
  • 0
Frederik Madsen

Jeg ved godt vi elsker at hade DanID herinde, og du har da også ret i at det han siger er forkert. Men hvis man nu læser sætningen i dens kontekst så skal man ikke være skide skarp for at kunne gennemskue han mener at checksummen ikke er annoym ved at DanID ikke ved hvem den tilhører, men derimod at den ikke siger noget om indholdet af din computer.

Jeg ved godt det ikke er det han siger - hvis vi nu skal fluekneppe alt vi overhovedet kan. Men er det ikke ret åbenlyst det er det han mener?

  • 4
  • 3
Jens C. Hansen

Hvis du vil skabe plausible deniabilitet for den dag hvor du betaler din narkogæld ved overførsel til en russisk bankkonto og derefter prøver at tørre den af på banken som at din NemID er hacket, skal du randomisere, din checksum f.eks. via MAC adressen, ved hvert eneste login.

Hvis denne checksum skal kunne bruges til at afsløre noget i den stil, skal der være tale om folk som husker at forbinde gennem en proxy så de får en IP adresse som de ikke har brugt før, men som ikke er opmærksom på at DanID indsamler oplysninger om deres PC.

Nu hvor checksummen er afsløret / obskuriteten fjernet, så er det jo potentielt et hul i alle bankers pengeskabe, for hvordan vil man nu afgøre sådanne tilfælde/sager - hvem har oprigtigt mistet penge, og hvem prøver at få banken til at betale sin (narko-/spille-/dummebøde)gæld?

Men det var måske også den problemstilling, du gerne ville fremhæve?

  • 1
  • 0
Jesper Lund

Nu hvor checksummen er afsløret / obskuriteten fjernet, så er det jo potentielt et hul i alle bankers pengeskabe, for hvordan vil man nu afgøre sådanne tilfælde/sager - hvem har oprigtigt mistet penge, og hvem prøver at få banken til at betale sin (narko-/spille-/dummebøde)gæld?

Men det var måske også den problemstilling, du gerne ville fremhæve?

Nej, min primære pointe er at jeg har svært ved at se DanIDs formål med at lave denne "unikke" fingerprinting. Google gør noget lignende for at tracke os (af samme grund randomiserer jeg løbende ID'et i min google.com cookie), men vi er i forvejen fuldt identificeret overfor DanID.

DanID kan ikke forvente at de i længden kan holde deres fingerprinting (checksum) skjult. Selv om DanID gør sig store anstrengelser for at skjule det, er de alligevel nødt til at have en eller anden cover-my-ass formulering i brugerbetingelserne (som de henviste til i fredags), så de ikke kan blive hængt op på noget juridisk senere hen. Derudover må DanID forvente at deres kode på et eller andet tidspunkt vil bliver decompileret og studeret. At placere kode i GIF filer kan kun fremme den proces! Hele showet startede jo med at McAfee identificere NemID som en virus..

Så nej... jeg tror ikke at vejen nu er åbnet for at vi alle sammen risikofrit kan bedrage banken. Vi har jo også hele tiden fået at vide at det er helt sikkert med password og OTP koder :-)

Men jeg har stadig meget svært ved at se formålet med denne unikke checksum? Ret meget sikkerhed for DanID giver det ikke. DanID kan stole på deres OTP papkort og måske på java appletten hvis de effektivt kan checke integriteten af den. Men det giver ikke mening for DanID at stole på en checksum der er beregnet ud fra faktorer som er under angriberens kontrol.

Der er en grund til at der er et marked for tamper-proof hardware tokens..

En mulig anvendelse af checksummen kunne være at DanID ville have mulighed for at låse din NemID til en bestemt computer som en forsvarsmekanisme hvis NemID en dag er under et større angreb. Det ville gøre det nogle sværere at lave et MiTM angreb, men det ville også dræbe mobiliteten i NemID som vi har set i de fine reklamefilm.

  • 6
  • 0
Michael N. Steen

Nej, min primære pointe er at jeg har svært ved at se DanIDs formål med at lave denne "unikke" fingerprinting.

Jeg kan da sagtens forestille mig, at det er for at beskytte deres kunder, nemlig bankerne.

Ret skal være ret. Det kan (måske) også bruges til at vise eller sandsynliggøre, at en omstridt transaktion er sket fra en anden PC, end den du plejer at bruge til bankforretninger.

  • 3
  • 0
Casper Bang

En mulig anvendelse af checksummen kunne være at DanID ville have mulighed for at låse din NemID til en bestemt computer som en forsvarsmekanisme hvis NemID en dag er under et større angreb. Det ville gøre det nogle sværere at lave et MiTM angreb, men det ville også dræbe mobiliteten i NemID som vi har set i de fine reklamefilm.


Men både Facebook, Google mf. er jo i stand til at lave fingerprint af klienten uden brug af alt muligt mystisk nativ kode der skal sniges ind og eksekveres uden om en sandboks. Hvis DanID gjorde det på lignende måde ville det ikke alene forbedre tilliden (det er synligt hvad der sker, kode skal ikke sniges ind og nativ kode afvikles ikke) men også tillade adgang fra smartphones og tablets.

  • 5
  • 1
Michael Thomsen

Det var jo det mange forventede - man kunne forestille sig at det kunne bruges til at modbevise en bruger der påstår at de ikke selv havde logget ind og overført 100.000kr til en hemmelig konto i Schweiz. Hvis checksummen passer med alle de andre logins brugeren har, ja, så er det jo svært at snyde og vil sikkert dække 99.99% af brugerne.


Det er muligt, at DanID /TROR/ at de kan bruge en PC-checksum til noget sådant; men det er nu ikke ret svært at:

  1. overtage en fremmed PC
  2. fange næste gang man prøver at gå på netbank
  3. få en login-challenge og vise den til brugeren
  4. sende det brugerindtastede svar til nemid - du er nu logget ind med ALLE rettigheder (og siden du kender kodeordet kan du overføre penge uden ydereligere brugerinput)
  5. bag facaden overfører du nu 100.000 kr til din konto i Langbortistan
  6. sørge for, at overførslen ikke bliver vist på brugerens kontoudskrift

Det hele vil tage få sekunder og ingen vil opdage lidt ekstra ventetid.
PC-checksummen passer med den checksum som brugeren normalt bruger.
Med andre ord er en PC-checksum 100% ubrugelig.

  • 7
  • 0
Rune Svendsen

Hvad er den Wuddlecahes-file for noget?

Jeg blev oprindeligt ledt til denne side fordi jeg forsøger at få NemID applet'en til at køre i Ubuntu på en Samsung ARM Chromebook ved brug af OpenJDK/IcedTea. Når jeg forsøger dette kan applet'en imidlertid ikke starte, og i terminalen får jeg en fejl der siger:

<ERROR> InstallerThreaddk.pbs.applet.bootstrap.do - Invalid checksum occurred Logon1

Når jeg søger efter denne fejl, er de eneste resultater jeg får relaterede til NemID. Så det er muligt at det ikke er OpenJDK/IcedTea den er gal med, men nærmere NemID-udviklerne der har lavet noget smart checksum-kode som ikke virker på mit system.

Her er den fulde log, hvis der er nogen der er interesserede: https://launchpadlibrarian.net/127591990/nemid.log

  • 0
  • 0
Jesper Lund

Jeg blev oprindeligt ledt til denne side fordi jeg forsøger at få NemID applet'en til at køre i Ubuntu på en Samsung ARM Chromebook ved brug af OpenJDK/IcedTea. Når jeg forsøger dette kan applet'en imidlertid ikke starte, og i terminalen får jeg en fejl der siger:

Det vil sandsynligvis ikke virke fordi NemIDs Java applet downloader og afvikler nogle binaries (forklædt som GIF filer), der specifikt er skrevet til bestemte x86 platforme. Der er ingen GIF binaries til ARM.

  • 1
  • 0
Rune Svendsen

Tak for dit svar Jesper. Det er jo ret relevant.

Jeg vidst dog ikke at man kunne skrive programmer skræddersyet til bestemte platforme i Java. Burde Java VM'en ikke kunne eksekvere koden på ethvert system der implementerer VM'en korrekt?

Ved du hvad de omtalte binaries gør som er inkompatibelt med ARM?

  • 0
  • 0
Frej Soya

Måske handler det mere om simpelt bedrag en såkaldte 'IT-kriminielle'. Ie, at banken vil beskytte sig mod deres egne kunder.

Der er sikkert et par stykker, der påstår de er blevet hacket, og banken kan så sammenligne deres historie, med den log over med pc checksummen som de selv har. Det er den bedste grund til den checksum jeg kan komme op med.

Kan vi ikke få et interview med dem der har et fagligt ansvar/deltaget i udviklen af nemid? (Ligesom reddit/IAMA) Det ville være langt mere interessant, og ikke mindst relevant.

  • 1
  • 0
Mads Bahrt

Jeg vidst dog ikke at man kunne skrive programmer skræddersyet til bestemte platforme i Java. Burde Java VM'en ikke kunne eksekvere koden på ethvert system der implementerer VM'en korrekt?

Du overfortolker hvad "portabilitetsgarantien" i Java dækker. Java giver udvikleren mulighed for at skrive portabel kode, men tvinger ikke til dette. Tværtimod stilles der stadig krav til udviklerens aktive rolle i at sikre dette. For eksempel er der intet der tvinger udvikleren til at lave sine filsti angivelser portable. Det er rimeligt simpelt at skabe understøttelse for dette, men du skal selv vælge at gøre det.

Tilsvarende giver JNI i java dig mulighed for at interagere med native programmer for f.eks. at kunne interagere med eksotisk hardware eller at kunne optimere for højere ydelse. Dette er i sagens natur ikke portabelt, men Java ville have haft svært ved at opnå sin nuværende stilling hvis man ikke somudvikler havde muligheden for at lave en afvejning imellem direkte adgang til det underlæggende system kontra portabilitet.

  • 1
  • 0
Jørgen Larsen

@Casper Bang - Uden at vide det, så er forskellen formodentlig, at Google laver et browser fingerprint og ikke et PC fingerprint. Sidstnævnte består formodentlig af målepunkter, som er mere statiske end dem som benyttes i forbindelse med en browser fingerprint.

Det er indlysende, at fingerprint i sig SELV ikke er nogen garanti. De kan, som flere har påpeget, forfalskes. Det vil enhver advokat selvfølgelig også påpege. Jeg kan nu sagtens se anvendelsen af dette fingerprint, som en del af sikkerheden. Det hjælper dog af indlysende grund IKKE meget, hvis brugerens PC er kompromitteret.

  • 0
  • 0
Kenn Nielsen

Fingerprinting sandsynligvis er en blandt mange 'målepunkter' som de foretager.

Problemet er at ingen ved hvilke og hvor mange 'målepunkter' der er.

Derfor har DanID en stor bunke med beviser/indicier som de ikke fortæller om .

Skulle du(!) nu være så uheldig at nogen har kunnet overføre 100.000 til en konto i Rusland, så er det næsten umuligt for dig at sandsynliggøre at det ikke var dig.

DanID, fortæller dig ikke hvad de gemmer i deres kasse med beviser/indicier.
Derfor ved du ikke hvad du skal efterspørge, som kan underbygge/dokumentere din påstand.

DanID, derimod; de gør hvad de kan for at beskytte deres kunder: bankerne.
Så med udgangspunkt i at du selv har gjort det; vil de nu gennemsøge deres kasse med beviser/indicier efter noget som kan understøtte deres forudindtagede holdning.

Hvem tror på at du - eller din advokat - kan få hele kassen udleveret ?

K

  • 1
  • 0
Jørgen Larsen

@Kenn Nielsen - Mig bekendt er det ikke dig som skal bevise din uskyld, men modparten - her altså banken - som skal bevise din skyld ved at fremlægge beviserne. Sådan har vi da mig bekendt skruet vores retssystem sammen. Din advokat er ikke sin løn værd, hvis vedkommende ikke kan rejse berettigede tvivl om bevisernes gyldighed.

I de sager der rent faktisk HAR været er kunderne holdt skadesløse. Jeg skal ikke afvise, at bankerne har de skumle bagtanker som Du anklager dem for. Men indtil videre har de tilsyneladende ikke benyttet sig af muligheden - har Du et eksempel på, at det IKKE har været tilfældet?

Fingerprinting KAN selvfølgelig anvendes med det formål som Du fremhæver. Jeg påpeger blot i al stilfærdighed, at fingerprinting kan anvendes i en sammenhæng, der rækker ud over den situation. Det forhindre naturligvis IKKE, at man kan have stærke forbehold over for fingerprinting blot fordi det sikkerhedsmæssigt kan være opportunt. Men det er en helt anden diskussion.

  • 0
  • 0
Kenn Nielsen

Mig bekendt er det ikke dig som skal bevise din uskyld, men modparten - her altså banken - som skal bevise din skyld ved at fremlægge beviserne. Sådan har vi da mig bekendt skruet vores retssystem sammen. Din advokat er ikke sin løn værd, hvis vedkommende ikke kan rejse berettigede tvivl om bevisernes gyldighed.

Hmm..

Som jeg forstår vores retssystem, så vil det være sådan som 'Lady Justice' illustrerer.
http://ts1.mm.bing.net/th?id=H.4687115982472428&pid=15.1

Den ene vægtskål er din, her kan du lægge dine argumenter.
Den anden vægtskål er modpartens, her kan DanID lægge deres modargumenter.

Antal af valide argumenter vs. modargumenter spiller bestemt en rolle.

Såeh.. Når DanID har en 'kasse' de kan fiske i, og du ikke har mulighed for at udvælge modargumenter fra samme kasse, - hvordan er du så stillet ?

K

  • 0
  • 0
Log ind eller Opret konto for at kommentere