DanID's support: Se bort fra sikkerhedsadvarsel

Nu hvor det er fastslået at NemID ikke var tilgængeligt, medmindre man tilsidesatte IT-sikkerheden, må næste spørgsmål være om hændelsen tæller som NemID nedetid?

Set fra NemID-brugerens synsvinkel er det nok en fordel af supporten giver dette råd lige i denne forbindelse: Hvis en uheldig NemID-bruger i fremtiden falder for en phishing-email til en fake NemID java-applet og får tømt sin konto kan han henvise til at han blot "havde hørt" at det var i orden at trykke ok. Det vil vel stille brugeren bedre når han gør krav overfor banken om at erstatte tabet.

Skal vi vædde med at vi får et svar, der er alt andet end et klart ja/nej? Sikkert noget med at det ikke er op til ministen at vurdere.

• og derefter går den IT-politiske dagligdag videre med totalt ignorering af NemID-problemet.

Enhedslistens Stine Brix har været så venlig at tage sagen op over for Finansministeren: http://www.ft.dk/samling/20111/spoergsmaal/S2724/index.htm

;-)

.. gør det også.

" Der er kommet nyt certifikat til NemID Første gang du logger på efter den 21. marts, vil du blive spurgt, om du vil installere og køre Nets DanID applikation. Her skal du svare "Run" og eventuelt markere "Always trust content from this publisher".

Bemærk!! En fejl hos DanID gør at der i feltet Publisher står som UNKNOWN. Kontroller derfor at der i feltet From står https://applet.danid.dk inden du godkender."

Trist.

Driftsinformation
Der er kommet nyt certifikat til NemID
Første gang du logger på efter den 21. marts, vil du blive spurgt, om du vil installere og køre Nets DanID applikation. Her skal du svare "Run" og eventuelt markere "Always trust content from this publisher".</p>
<p>Bemærk!!
En fejl hos DanID gør at der i feltet Publisher står som UNKNOWN. Kontroller derfor at der i feltet From står <a href="https://applet.danid.dk">https://applet.danid.dk</a&gt; inden du godkender.

#fail

Appletten vil ikke starte og giver:

Do you want content signed by "Nets DanID" to have access to your computer?
The digital signature of this certificate could not be verified. Do not trust this certificate if you do not known who issued it.</p>
<p>Nets DanID
Issued by: Thawte Code Signing CA - G2
Expires: lørdag den 14. februar 2015 00.59.59 mellemeuropæisk normaltid</p>
<p>This certificate was signed by an unknown authority
osv.

Nå, men så betyder det vel at jeg ikke skal lave noget i netbanken ...

Nu har vi råbt og skreget i snart 2 år om et produkt der har nogle gedigne svagheder - uden at det har haft særlig effekt.

Nets gør fuldstændig som det passer dem - alene fordi det stærkeste værktøj "konkurrence om kunderne" til at luge dårlig kvalitet fra, er sat ud af spillet.

Man skulle tro at vi boede i 3. verdens land

Mvh Lars plbrake.dk

Bare til info

Christian Hemmingsen er i det mindste ærlig om hvor han arbejder.

Jeg synes, udover det monumentale fuck up som diverse banker og NemID support udviser, at kommentarer som fra denne "Richard Rønn" er et problem. En hurtig søgning på Google gav nada i DK - intet. Der findes ikke en person med spor på google af det navn, udover selvfølgelig de to poster i dagens debat. Hvem får den brillante idé at lave sådan et indlæg på et IT nyhedsmedie - jeg håber ved den hellige ko ikke det er Nets!

/Morten

Det skriver min netbank påhttp://www.finansbanken.dk/om/nyhedsarkiv/Pages/NemID-opdatering.aspx

"NemID-opdatering Selskabet bag NemID - DanID har foretaget en opdatering.

Du skal acceptere denne opdatering, når du logger på Netbank ved at klikke i "Always trust content from this publisher". "

Hvad sker der?

Lån og Spar Bank skriver på deres hjemmeside:

"Alle kunder får hertil morgen en popup i deres netbank, omkring DANID_DIGITAL_SIGNATUR.

Før du kan logge på skal du klikke på knappen 'Run'"

Nordea skriver:

"I øjeblikket er Nets DanID i gang med at forny certifikat. Det bevirker desværre lige nu, at certifikatet beskrives som ”UNKNOWN” (ukendt). Der burde stå ”Nets DanID”. Det er sikkert nok at sætte flueben i ”Always trust content from this publisher" og logge på Netbank."

Så nogle banken giver det samme svar som DanID.

Jeg talte med NemId kl. 08:35 i morges. Deres officielle svar var "tryk bare ok". Jeg bad dem escalere fejlen, tale med overordnede, checke deres prodedurer, forklarede at det ikke kunne være korrekt. De De bekræftede at jeg skulle trykke "ja", på trods af at det var ville betyde at jeg overtrådte deres betingelser for brug af nemId. Supporten undersøgte sagen gentagne gange, og bekræftede at jeg "bare skulle trykke ja". Hele samtalen er optaget på vores ip telefoni system, og det var supporten klar over.

Godt tænkt :)
Det har jeg luret lidt over.
Først og fremmest, så kender vi (jeg) ikke årsagen til fejlens opståen.
Men det KAN være en mulighed der er blevet afprøvet. At DanID er blevet udsat for et forsøg på et direkte MIM angreb.
Helt godt gået, hvis det lykkedes at gøre dette, "ved roden".

Nemid har jo outsourcet support til et 3. partsfirma der får at vide hvordan forskellige ting skal håndteres (Javaproblemer og alt det). Men når der er nogle nye problemer, som dette, så famler de sig frem og i dette tilfælde har nogle 'kvikke' supportmedarbejdere så bare sagt at de skal trykke på OK knappen, fordi det tilsyneladende virker. Det er egentlig meget menneskeligt og let at se hvordan den slags kan ske. I mange situatinoer kan det jo være fint at supporteren tænker selvstændigt. Til sammenligning så er dem der betjener hotlinen i f.eks. den amerikanske sundhedsstyrelse, nogle dresserede abekatte der kører efter et script, og som du ikke kan få til at sige så meget som et ord der ikke står heri. Det er ofte ikke så brugbart.

Når det er sagt bør Nemid naturligvis indskærpe overfor supporten at alt hvad der har med sikkerhed, certifikater o.s.v. at gøre skal køre efter bogen og at brugeren derfor må vente med at logge på til fejlen er væk.

Prøv at ring derind. De siger helt sikkert, at du skal afvente. Der kan jo sidde en supporter, som laver en fejl. Det er trods alt menneskeligt at fejle

Det er ikke sådan at V2 måske kunne vække kollegaerne på de store dagblade, så befolkningen får (mere kompetent) information om hvad der sker, og hvordan de bør forholde sig?

Jeg har lige ringet derind. De råder mig til at at afvente, at de løser problemet. I har nok fået fat i en svipser i supporten.

De skulle i stedet have svaret "Du er nødt til at svare nej. Hvis det giver dig økonomiske tab eller tab af nogen anden art, så erstatter vi det. Uden diskussion."

Hvis jeg var sådan én, så ville jeg mobilisere hele mit netværk af droner og igansætte mit automatiserede MiM-angreb på NemID nu. Når folk så får en advarsel så ringer de jo ind til DanID og får at vide, at de bare skal afvikle min onde applet.

Seriøst - hvis DanID tog sikkerheden seriøst, så ville de fortælle alle, der ringede ind, at der er problemer med deres system og at man må prøve senere.

Dermed har DanID trukket hele sikkerhedsgrundlaget ud af deres egen løsning. Det er lige til at flæbe over, at man ikke kun udviser mangler ved selve driften, men også i forbindelse med support. Ikke nok med, at brugerne skal forholde sig til deres egen sikkerhed, på deres egne maskiner. Nu skal de også kende til DanID's system, ellers kan de ikke finde ud af om det er lokalt eller hos DanID er er noget galt. Og på Engelsk. Skal morfar også til at lære fremmedsprog, for at kunne benytte NemID. Det næste krav bliver vel en Bachelor fre MIT.

DanID. Udvis dog lidt respekt over for det ansvar i har, det er simpelthen noget svineri det der.

Amatøragtigt

... og Danske Bank har lært lidt af lektien, de er skiftet til nød login procedure.

I disse dage afholdes den årlige rygklapperkonference i Århus.

Måske der var nogen der her til formiddag skulle stille sig op på scenen og sige:

Hallo klaphatte, er det dette fundament I vil bygge fremtiden på?

Jeg er ikke stærk i certifikat hejs, men hvis man laver en 'Always trust this publisher' betyder det så at man altid stoler på publisher som 'UNKNOWN'? Det lyder lidt som et wildcard til alle certifikater, der måtte dukke op i forbindelse med et bestemt domæne (jeg antager at 'Always trust this publisher' er knyttet til domænet).

Mon hackere kan finde på at sætte publisher til UNKNOWN? Og har det nogen betydning?

Det var dog et fantastisk råd fra DanID. God måde at opdrage brugerne på "Ignorer sikkerhedsadvarsler". Der smed de lige de sidste mange års opdragelse mod phising væk! Flot DanID.