DanID: »Vi er nødt til at holde vores sikkerhedsberedskaber for os selv«

Nets DanID's administrerende direktør lover i en ny, skriftlig kommentar til Version2, at han kan skrue op for sikkerheden, hvis det bliver nødvendigt.

Nets DanID har sendt administrerende direktør Søren Hjortflod på banen for at forsvare sikkerheden i NemID, efter at kritikken de seneste dage er haglet ned over danskernes digitale signatur.

Søren Hjortflod garanterer, at det er muligt at skrue op for sikkerheden i NemID, »hvis trusselsbilledet ændrer sig«. Men han vil ikke dele informationen om, hvordan det skal ske, med læserne.

»Vi er nødt til at holde vores sikkerhedsberedskaber for os selv,« konstaterer direktøren.

Han afviser, at den demonstration, som Ingeniøren og Version2 har givet af, hvor enkelt det er at iværksætte et man in the middle-angreb på NemID, giver bekymringer for sikkerheden på kort sigt.

Se video: Video: Så let kan kriminelle franarre dig dit NemID

»Sikkerhed er en løbende proces; en opgave som aldrig ender. Den handler om at bygge en sikkerhedsmur, der er høj nok til, at den dæmmer op for de misbrugsforsøg, vi ser i dag og i morgen,« lyder det fra direktøren.

DanID har sendt hans kommentar til Version2 skriftligt og igen bedt om at få den bragt i sin helhed. Det samme var tilfældet, da Ingeniøren og Version2 forsøgte at få svar på spørgsmål til demonstrationen af man-in-the-middle-angrebet, hvor DanID valgte at sende en samlet skriftlig kommentar.

Læs også: DanID afviser kritikken: »Et teoretisk scenarie«

DanID har ligesom centerchef Palle H. Sørensen fra Digitaliseringsstyrelsen takket nej til at deltage i en debat, hvor de kunne svare på spørgsmål fra Version2's læsere. Dengang lød det fra DanID's kommunikationschef i en e-mail til Version2:

»Jeg synes ikke, at det er en god idé at føje flere elementer til jeres dækning.«

Læs også: DanID og staten takker nej til dialog med Version2-læsere

Du kan læse hele Søren Hjortlflods nye kommentar, som er fremsendt til redaktionen torsdag, nedenfor:

Af administrerende direktør Søren Hjortflod, Nets DanID

»De seneste dages artikler i Version2 og Ingeniøren om sikkerheden i NemID-løsningen har givet anledning til, at forskellige organisationer har udtrykt bekymring for muligheden for afluring af NemID log-in oplysninger via en falsk hjemmeside.

Vi forstår godt, at man kan blive bekymret, og vi vil derfor gerne pege på nogle forhold omkring sikkerhed generelt, og sikkerheden i NemID specifikt.

Det, Ingeniøren viser, er et konstrueret eksempel, som ikke er nyt, og det har de fleste, der har udtalt sig, da også betonet. Alle sikkerhedssystemer kan brydes, hvis nogen er villige til at bruge nok tid og penge på det. I det konkrete tilfælde er sikkerheden i NemID ikke brudt, men omgået på en måde, så en bruger snydes til at aflevere sine oplysninger.

Sikkerhed er en løbende proces; en opgave som aldrig ender. Den handler om at bygge en sikkerhedsmur, der er høj nok til, at den dæmmer op for de misbrugsforsøg, vi ser i dag og i morgen. Og desuden at have viljen og evnen til at bygge muren højere i takt med, at det bliver nødvendigt.

I det virkelige liv vil udbyttet for de kriminelle ud fra vores vurdering ikke stå mål med de aktiviteter, de skal gennemføre, samt de præmisser, som skal være til stede, for at denne type angreb lykkes. Vi mener derfor fortsat, at risikoen for ægte svindel ved brug af denne fremgangsmåde er meget lille.

Sikkerheden i NemID er som sagt ikke en konstant størrelse. Hvis trusselbilledet ændrer sig, vil vi i løbet af kort tid kunne iværksætte de nødvendige tiltag, så tilliden til løsningen ikke svækkes.

Men for ikke lette vejen for de it-kriminelle, er vi nødt til at holde vores sikkerhedsberedskaber for os selv, ligesom vi heller ikke kan fortælle, hvilke sikkerhedstiltag vi måtte iværksætte. Det er netop en del af selve sikkerheden. Der kan udmærket komme en dag, hvor trusselsbilledet er ændret så markant, at der skal ændres på brugeroplevelsen, og så vil det naturligvis ske. Men det er ikke der, vi er i dag.

Endelig vil vi gerne minde om, at man altid bruger sin sunde fornuft, når man færdes på nettet. Hvis noget ser anderledes eller underligt ud, så tjek det en ekstra gang. Vær især meget opmærksom på links i en e-mail. NemID, banker og offentlige tjenester vil normalt aldrig sende en uopfordret e-mail med et link, hvor du skal logge ind med NemID.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (26)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kim Henriksen

Hvordan kan et man-in-the-middle angreb ikke være et problem?

At tømme folks kontier er én ting, men hvis et firma eller offentligtheden bruger nemid til at beskytte sine services, så kan der jo sagtens være masser af guld der, der netop gør det der skal til, står i mål med det man får ud af det.

  • 7
  • 0
Venligst Slet Min Bruger

"Vær især meget opmærksom på links i en e-mail. NemID, banker og offentlige tjenester vil normalt aldrig sende en uopfordret e-mail med et link, hvor du skal logge ind med NemID.«"

.. men det vil teleselskaber, golfklubber, fodboldklubber og alle mulige andre sikkert nok, og så er vi jo ligevidt.

  • 9
  • 0
Michael Olesen

Endelig vil vi gerne minde om, at man altid bruger sin sunde fornuft, når man færdes på nettet. Hvis noget ser anderledes eller underligt ud, så tjek det en ekstra gang.

Jeg vil da gerne vide hvordan Søren Hjortflod mener, at man kan bruge sin sunde fornuft til, at se om en side med nemid er legal eller ej?

  • 8
  • 0
Jon Linde

»hvis trusselsbilledet ændrer sig«

Kære hr. Søren Hjortflod.
Hør nu efter: Trusselsbilledet HAR jo netop ændret sig!
Der er ikke længere tale om en teoretisk MITM problematik, men et exploit som nemt kan lade sig gøre med en rimeligt simpel hjemmeside med et offentligt, (lovligt) SSL certifikat og udsendelse af phishing mails.

Hvis tilliden til NemID skal genoprettes, nytter det ikke noget at I fortsat stikker hovedet i busken og holder jer for ørerne mens at I synger "Tralala" af lungernes fulde kraft.

Én ting er at I har et stort problem - måske endda et grundlæggende teknologisk problem.

Værre er det, at hele verdenen nu også ved at I har et stort problem.
Dermed er risikoen for exploits også eksploderet ud af skalaen.

Som en naturlig følge vil udbredelsen af NemID nødvendigvis også blive hæmmet da ingen vil implementere NemID som login løsning.
Anvendeligheden af NemID bliver derved også reduceret for de få brugere som fortsat gerne vil/tør benytte NemID overalt.

  • 6
  • 0
Morten Bulskov

"Vær især meget opmærksom på links i en e-mail. NemID, banker og offentlige tjenester vil normalt aldrig sende en uopfordret e-mail med et link, hvor du skal logge ind med NemID.«"

Her vil jeg godt komme med et ØØHHHH NÅ! Jeg har indtl flere gange fået mail fra Skat med "der er ny post til dig, tryk på link og check" beskeder, så det er kære Hr.Hjortflod en lodret LØGN.

Når så samtidig at alle offentlige myndigheder kaster om sig med domænenavne, der ikke giver mening for almindelige mennesker, i deres opsætning af NemID, ja så er forvirringen komplet. Hvem ved f.eks (ud over os der arbejder med det) at fobs.dk er et fuldt ligitimt NemID domæne. Prøv nu at forstår at det er IKKE nemt gennemskueligt, og hvis i fortsætter med jeres "vi har sikkerhed nok, men vil ikke sige hvad", så er det ren "security through obscurity" og det ved alle seriøse IT folk ikke virker!

Forstå at jeres SSO løsning er usikker og begynd at respektere jeres brugere - og nej selvfabrikerede undersøgelser a la "90 % er glade" kan vi ikke bruge til noget.

/Morten

  • 14
  • 0
Christian Nobel

"Hvis noget ser anderledes eller underligt ud, så tjek det en ekstra gang."

Nåeh ja det er klart, for nemid.nu ser jo helt normalt ud for en almindelig dansker.

Dvs. allerede før vi er startet er det hele gået galt - virkelig befordrende for troværdigheden.

  • 7
  • 0
Jens Schumacher

Det er meget veldokumenteret at der ikke kommer noget godt ud af security through obscurity.... http://en.wikipedia.org/wiki/Security_through_obscurity

Jeg kan ikke se at NedID manden kommer med et eneste nogenlunde fornuftigt argument for hvorfor det skal være hemmeligt hvordan de vil forhindre musbrug. (jeg vil tro at det er fordi de ikke kan med mindre de vil tilbage til tegnebrættet)

Vær især meget opmærksom på links i en e-mail. NemID, banker og offentlige tjenester vil normalt aldrig sende en uopfordret e-mail med et link, hvor du skal logge ind med NemID.

WTF??? Hvad ryger de hos NemID??? BULL FUCKING SHIT.... Jeg får hver eneste måned mails fra e-boks om at der er kommet post og de mails indeholder links... Så sent som igår sendte skat en mail om at min forskudsopgørelse var klar (komplet med direkte link til logon siden på et eller andet sub domæne...

  • 9
  • 1
Brian Schmidt Pedersen

Men for ikke lette vejen for de it-kriminelle, er vi nødt til at holde vores sikkerhedsberedskaber for os selv, ligesom vi heller ikke kan fortælle, hvilke sikkerhedstiltag vi måtte iværksætte. Det er netop en del af selve sikkerheden.

Det er altid fedt, når man bruger "Security Through Obscurity" principper, til at beskytte sig med.

  • 4
  • 0
Sune Foldager

Det er meget veldokumenteret at der ikke kommer noget godt ud af security through obscurity.... http://en.wikipedia.org/wiki/Security_through_obscurity

Den artikel er faktisk noget mere nuanceret end du og andre lægger op til når I næsten hånende fejer konceptet af banen.

Banker fremlægger jo heller ikke planerne over deres datacentre; det bruges faktisk i vid udstrækning med succes.

  • 2
  • 0
Finn Christensen

Den artikel er faktisk noget mere nuanceret end du og andre lægger op til når I næsten hånende fejer konceptet af banen.

Artiklen indeholder kun småsnak og intet sikkerhedsmæssigt nyt udover det vi har kendt de sidste 2-3 år... man kan vi overhovedet forvente andet fra personen Søren Hjortflod, der nok er mere faglig kompetent ifm. reklame og salg end sikkerhed.

Juli 2007 direktør for TDC Key Account.
Fra 2010 salgs- og markedsdirektør i DanID,
her i 2011 direktør for Nets DanID A/S.

Set fra dem, der driver Nets (bankerne) og skal have udbyttet af anstrengelserne, så er det vel den bedste baggrund for deres mand.

Men for kunderne skyld (befolkningen) vil jeg nu personligt foretrække kompetent teknisk baggrund, og undgår videst muligt at lægge mine økonomiske samt vitale personlige oplysninger i hænderne på salg- og marketingsinteresser.

  • 3
  • 0
Nils Bøjden

Hver gang man skriver at NemID bla. indeholder en digital signatur får man en masse "thumbs down". Gad vide hvorfor?

Kunne de som har givet thumbs down skrive hvorfor? Det vil jeg meget gerne vide.

  • 1
  • 4
Nils Bøjden

Måske fordi det ikke er korrekt?

Jo. Det er absolut korrekt. Og det er en af de ting der gør NemID til en særdeles farlig partner i den digitale jungle.

https://www.nemid.nu/om_nemid/hvad_er_nemid/sikkerhed/teknikken_bag_nemid/

NemID er bygget op om 2 forskellige grænseflader. Først logger du dig ind med din 2-faktor login til NemIDs servere. Derefter overtager din digitale signatur med privat nøgle og hele svineriet arbejdet for dig og verificeret dig over for udbydernes (bank, stat, forsikring osv) infrastruktur.

Så NemID indeholder lege præcis din private nøgle i PKI strukturen. Fordi den indeholder en digital signatur er den særligt farlig da den er i stand til at illudere dig.

PS. Tak for hintet Christian

  • 2
  • 2
Nils Bøjden

Nej, det er ikke din digitale signatur, for du har ikke dannet den og du har dermed ikke kontrol over den

Jo da.

https://www.nemid.nu/om_nemid/hvad_er_nemid/sikkerhed/teknikken_bag_nemid/

"Det indebærer, at brugeren får udstedt en digital signatur, der består af en privat nøgle og et certifikat med en offentlig nøgle."

Jeg kan love dig for at det er din private nøgle. Både i praksis og lovgivningsmæssigt.

  • 1
  • 2
Michael Thomsen

Jeg har ikke nogen privat nøgle som har noget med nemid at gøre.
Jeg har heller ikke noget certifikat med en offentlig nemid nøgle.

Jeg har derimod en digital signatur fra den gamle TDC løsning hvor jeg (som den eneste) er i besiddelse af min private nøgle.

  • 0
  • 0
Morten Jensen

DISCLAIMER: IANAL.

Jeg kan love dig for at det er din private nøgle. Både i praksis og lovgivningsmæssigt.

Jeg er lidt forvirret, for ja det er en elektronisk signatur, men nej det er ikke en "avanceret elektronisk signatur" jf. Lov om elektroniske signaturer §3, stk 1, pkt 2, litra c.[1]

Dét der forvirrer mig, er om det betyder noget i praksis. I §13 står der:

§ 13. Bestemmelser i lovgivningen, hvorefter elektroniske meddelelser skal være forsynet med signatur, skal anses for opfyldt, hvis meddelelsen er forsynet med en avanceret elektronisk signatur, der er baseret på et kvalificeret certifikat, og som er fremstillet ved brug af et sikkert signaturgenereringssystem. Ved elektroniske meddelelser til og fra en offentlig myndighed gælder dette dog kun, såfremt andet ikke følger af lov eller bestemmelser fastsat i medfør af lov.

Er de så fritaget for at bruge avanceret elektronisk signatur? Uden at vide det, ville jeg tro at Nets kunne klassificeres som "udsteder af kvalificerede certifikater", og at de derfor skulle følge loven.

Dette undrer mig også:

§ 6. Nøglecentre skal fastsætte og anvende betryggende procedurer til at kontrollere identiteten og andre forhold vedrørende underskriveren forud for udstedelsen af certifikatet.

Stk. 2. Oplysninger om procedurerne som nævnt i stk. 1 skal være offentligt tilgængelige.  

Er Nets et nøglecenter? Der ikke meget brugbar oplysning om NemID offentligt tilgængelig.

Der er et eller andet med at Nets er fritaget for den lov, men hvorfor? Jeg kan kun huske deres eget argument, at det ville være for dyrt/besværligt at lade folk have deres egen nøgle.

[1] https://www.retsinformation.dk/forms/r0710.aspx?id=6193

  • 2
  • 0
Nils Bøjden

Niels, kan du ikke prøve at finde nogle henvisninger til andre love eller domsafgørelser, hvor ordet privat betyder noget som du ikke selv har fuld kontrol over, og som aldrig har været i din besiddelse.

Du mangler en væsentlig situation. Der hvor du har givet tilladelse til at andre godt må være i besiddelse at det du opfatter som værende privat. Det er en ganske normal situation. Bla er en del advokater kommet i spjældet for at misbruge den situation hvor de optræder på vegne af en person. Så længe den gode advokat ikke foretaget sig noget strafbart, vil du skulle hæfte med de aftaler / midler som du har overdraget til advokaten. Det hedder på normal dansk en fuldmagt.

Du kan starte med at læse :
https://www.nets-danid.dk/produkter/for_tjenesteudbydere/nemid_tjenesteu...

Det er det du siger ja til når du accepterer en NemID. Heri står der bla.:
"DanID har endvidere den 21. august 2008 indgået kontrakt med IT- og Telestyrelsen om Digital Signatur for Borger".

  • 1
  • 1
lArs hAnsen

I det konkrete tilfælde er sikkerheden i NemID ikke brudt, men omgået på en måde, så en bruger snydes til at aflevere sine oplysninger.

Søren Hjortfod har ganske ret i at sikkerheden omkring man-in-the-middle angreb ikke er blevet brudt. Sikkerheden mod man-in-the-middle angreb er nemlig totalt fraværende i NemID løsningen og det er jo svært at bryde noget der ikke er der.

  • 2
  • 0
Log ind eller Opret konto for at kommentere