DanID's support: Se bort fra sikkerhedsadvarsel

Det var dog et fantastisk råd fra DanID. God måde at opdrage brugerne på "Ignorer sikkerhedsadvarsler". Der smed de lige de sidste mange års opdragelse mod phising væk! Flot DanID.

Jeg er ikke stærk i certifikat hejs, men hvis man laver en 'Always trust this publisher' betyder det så at man altid stoler på publisher som 'UNKNOWN'? Det lyder lidt som et wildcard til alle certifikater, der måtte dukke op i forbindelse med et bestemt domæne (jeg antager at 'Always trust this publisher' er knyttet til domænet).

Mon hackere kan finde på at sætte publisher til UNKNOWN? Og har det nogen betydning?

I disse dage afholdes den årlige rygklapperkonference i Århus.

Måske der var nogen der her til formiddag skulle stille sig op på scenen og sige:

Hallo klaphatte, er det dette fundament I vil bygge fremtiden på?

• slow clap *

Virkelig godt gået. Danmark er på vej til en spændende fremtid.

"This publisher" må da om noget referere til det specifikke certifikat og ikke navne eller andet deri.

Amatøragtigt

... og Danske Bank har lært lidt af lektien, de er skiftet til nød login procedure.

Dermed har DanID trukket hele sikkerhedsgrundlaget ud af deres egen løsning. Det er lige til at flæbe over, at man ikke kun udviser mangler ved selve driften, men også i forbindelse med support. Ikke nok med, at brugerne skal forholde sig til deres egen sikkerhed, på deres egne maskiner. Nu skal de også kende til DanID's system, ellers kan de ikke finde ud af om det er lokalt eller hos DanID er er noget galt. Og på Engelsk. Skal morfar også til at lære fremmedsprog, for at kunne benytte NemID. Det næste krav bliver vel en Bachelor fre MIT.

DanID. Udvis dog lidt respekt over for det ansvar i har, det er simpelthen noget svineri det der.

Hvis jeg var sådan én, så ville jeg mobilisere hele mit netværk af droner og igansætte mit automatiserede MiM-angreb på NemID nu. Når folk så får en advarsel så ringer de jo ind til DanID og får at vide, at de bare skal afvikle min onde applet.

Seriøst - hvis DanID tog sikkerheden seriøst, så ville de fortælle alle, der ringede ind, at der er problemer med deres system og at man må prøve senere.

De skulle i stedet have svaret "Du er nødt til at svare nej. Hvis det giver dig økonomiske tab eller tab af nogen anden art, så erstatter vi det. Uden diskussion."

Jeg har lige ringet derind. De råder mig til at at afvente, at de løser problemet. I har nok fået fat i en svipser i supporten.

Det bedste råd er "Bliv hvor du er! Rør ikke ved noget! Vi fikser problemet". Men er det næstbedste ikke at klikke "Run"? Hvorfor dog altid stole på applet.danid.dk med fare for aldrig at se dialogen igen?

Men det ville jo ødelægge deres oppetid, så kunne de risikere at tabe penge. I det horrible scenarie, må lidt problemer med sikkerheden gerne ignoreres... :)

Det er ikke sådan at V2 måske kunne vække kollegaerne på de store dagblade, så befolkningen får (mere kompetent) information om hvad der sker, og hvordan de bør forholde sig?

Prøv at ring derind. De siger helt sikkert, at du skal afvente. Der kan jo sidde en supporter, som laver en fejl. Det er trods alt menneskeligt at fejle

Prøv at ring derind. De siger helt sikkert, at du skal afvente. Der kan jo sidde en supporter, som laver en fejl. Det er trods alt menneskeligt at fejle..

Jeg må desværre nok mistænke dig for at gå DanID's ærinde, når du først siger det er menneskligt at fejle, og dernæst garanterer at svaret nu er et andet..

K

Prøv at ring derind. De siger helt sikkert, at du skal afvente. Der kan jo sidde en supporter, som laver en fejl. Det er trods alt menneskeligt at fejle

Der er mindst to brugere, der har fået enslydende svar om at ignorere den manglende sikkerhed.

At supporten ikke som udgangspunkt har instruktion om at manglende sikkerhed betyder at brugeren må prøve igen senere, er ikke en fejl hos en enkel supporter, men derimod en fejl i supportens instruktion.

At DanID så åbenbart har udstedt nye instruktioner til supporten, er det der på engelsk kaldes at lukke stalden efter at hesten er stukket af.

Jeg må desværre nok mistænke dig for at gå DanID's ærinde, når du først siger det er menneskligt at fejle, og dernæst garanterer at svaret nu er et andet..

Der er mange trolde her på V2 ;)

Jeg må desværre nok mistænke dig for at gå DanID's ærinde

Især da Richard Rønn er helt ny bruger på Version2 med kun 2 indlæg (de 2 i tråden her). Jeg tør vædde en kold cola på, at han arbejder hos DanID.

Jeg har lige ringet derind. De råder mig til at at afvente, at de løser problemet. I har nok fået fat i en svipser i supporten.

Eller også har DanID endelig fanget hvor tåbeligt det har været at sige "bare klik OK".

Jeg tør vædde en kold cola på, at han arbejder hos DanID.

Det gør han ikke. Du kan sende colaen til Nets Lautrupbjerg 10 2750 Ballerup Att.: Christian Hemmingsen

Du kan sende colaen

Du må komme og hente den - ellers er den ikke kold.

Hvis jeg var sådan én, så ville jeg mobilisere hele mit netværk af droner og igansætte mit automatiserede MiM-angreb på NemID nu. Når folk så får en advarsel så ringer de jo ind til DanID og får at vide, at de bare skal afvikle min onde applet.

Godt tænkt :) Det har jeg luret lidt over. Først og fremmest, så kender vi (jeg) ikke årsagen til fejlens opståen. Men det KAN være en mulighed der er blevet afprøvet. At DanID er blevet udsat for et forsøg på et direkte MIM angreb. Helt godt gået, hvis det lykkedes at gøre dette, "ved roden".

Nemid har jo outsourcet support til et 3. partsfirma der får at vide hvordan forskellige ting skal håndteres (Javaproblemer og alt det). Men når der er nogle nye problemer, som dette, så famler de sig frem og i dette tilfælde har nogle 'kvikke' supportmedarbejdere så bare sagt at de skal trykke på OK knappen, fordi det tilsyneladende virker. Det er egentlig meget menneskeligt og let at se hvordan den slags kan ske. I mange situatinoer kan det jo være fint at supporteren tænker selvstændigt. Til sammenligning så er dem der betjener hotlinen i f.eks. den amerikanske sundhedsstyrelse, nogle dresserede abekatte der kører efter et script, og som du ikke kan få til at sige så meget som et ord der ikke står heri. Det er ofte ikke så brugbart.

Når det er sagt bør Nemid naturligvis indskærpe overfor supporten at alt hvad der har med sikkerhed, certifikater o.s.v. at gøre skal køre efter bogen og at brugeren derfor må vente med at logge på til fejlen er væk.

Du må komme og hente den - ellers er den ikke kold.

Jeg vil være så storsindet, at se bort fra colaens temperatur når den skulle ankomme i mit dueslag, bare du står ved dit væddemål. Addressen har du.

Nemid har jo outsourcet support til et 3. partsfirma der får at vide hvordan forskellige ting skal håndteres (Javaproblemer og alt det). Men når der er nogle nye problemer, som dette, så famler de sig frem og i dette tilfælde har nogle 'kvikke' supportmedarbejdere så bare sagt at de skal trykke på OK knappen

Men det er jo ikke første gang at DanID's supporter-stab brænder sig på ikke at eskalere sikkerhedsrelaterede forspørgsler til kompetente personer.

Mon der er tale om samme supporter der forsøgte at forklare hvorfor NemID endnu ikke var supporteret på mobiltelefoner? Havde supporten ikke også nogle søforklaringer vedrørende de famøse gif-filer.

Jeg mener helt klart at der tegner sig et mønster af en organisation der ikke tager denne slags supportsager alvorligt. Det kan ikke længere afskrives som enkelte menneskelige fejl blandt supporter-staben.

...under forudsætning af at "Richard Rønn" optræder med sit rigtige navn...

Godt tænkt :) Det har jeg luret lidt over. Først og fremmest, så kender vi (jeg) ikke årsagen til fejlens opståen. Men det KAN være en mulighed der er blevet afprøvet. At DanID er blevet udsat for et forsøg på et direkte MIM angreb. Helt godt gået, hvis det lykkedes at gøre dette, "ved roden".

Ja det er da lykkeligt. Nu har jeg lige forsøgt for 3. gang at komme på skat. Hver gang med en fejlmelding. Gad vide hvem der nu sidder med mine "hemmelige" koder.

Når det er sagt bør Nemid naturligvis indskærpe overfor supporten at alt hvad der har med sikkerhed, certifikater o.s.v. at gøre skal køre efter bogen og at brugeren derfor må vente med at logge på til fejlen er væk.

1) Fejlen MÅ ikke opstå. Alene at få denne fejl en enkelt gang, må ikke ske. Det må ikke ske, hverken hvis fejlen ligger hos DanID eller hvis fejlen ligger hos klienten. Uanset hvordan man vender og drejer det, så er det en sikkerhedsbrist i selve NemID løsningen at denne fejl kan opstå.

2) Som andre skriver, så er der ingen ide i, at man instruerer muge-karlen i at holde lågen lukket, efter hestene er stukket af.

Jeg kan af andre af dagens kommentarer forstå, at Nets er en Norsk virksomhed. I den forbindelse, vil jeg pege på, at der netop har været en anden stor offentlig IT skandale, Polsag. Der tilsvarende har rødder i Norge. Er der dermed tale om, at Danske skatteborgeres penge, skal bruges til at eksperimenter sig frem til IT-løsninger, der skal finde anvendelse i Norge ?

Det er ikke betryggende for Danske borgere, at vi igen skal se en sag, hvor udenlandske virksomheder, overlades et stort ansvar i Danmark, uden at disse virksomheder lever op til dette.

I forbindelse med nuværende og foreslået lovgivning, er jeg stærkt i tvivl om, det overhovedet er inden for grundlovens rammer, at der tildeles så stor magt, til udenlandske interesser. Oven i købet interesser, der er uden for EU-samarbejdet.

Ud over dette, så ligger der en mulighed i samkøring af data, på koncernniveau. Her skal det påpeges, at disse data dermed kan flyttes uden for EU's og Danske juridiske muligheder.

Mangel på sikkerhed, åbenhed, og sporbarhed, i den konstellation, er helt uacceptabel !

Jeg kan se at du er ny debattør her - er din stillingsbetegnelse hos Nets "Damage Controller"?

Jeg talte med NemId kl. 08:35 i morges. Deres officielle svar var "tryk bare ok". Jeg bad dem escalere fejlen, tale med overordnede, checke deres prodedurer, forklarede at det ikke kunne være korrekt. De De bekræftede at jeg skulle trykke "ja", på trods af at det var ville betyde at jeg overtrådte deres betingelser for brug af nemId. Supporten undersøgte sagen gentagne gange, og bekræftede at jeg "bare skulle trykke ja". Hele samtalen er optaget på vores ip telefoni system, og det var supporten klar over.

Jeg kan se at du er ny debattør her - er din stillingsbetegnelse hos Nets "Damage Controller"?

Nej, min stillingsbetegnelse er IT-udvikler og jeg er ikke ansat i DAN-ID (men i en anden afdeling i Nets). Jeg kan godt lide cola og da jeg har adgang til adressebogen kunne jeg rimelig nemt konstatere at der ikke er ansat nogen Richard Rønn i Nets (eller DAN-ID). Jeg venter spændt på Jespers cola, så SHIP IT!

Jeg kan af andre af dagens kommentarer forstå, at Nets er en Norsk virksomhed. I den forbindelse, vil jeg pege på, at der netop har været en anden stor offentlig IT skandale, Polsag.

Skulle vi ikke lige mane denne i jorden. Nets er en fussion af PBS og den tilsvarende norske virksomhed. Holdingselskabet er tilsyneladende registreret i Danmark. Der er 4 aktionære der har mere en 5% af aktierne: 3 danske banker og en norsk.

Datterselskabet NETS DanID er ifølge CVR.dk startet 3 år før offentliggørelsen af fusionen der gjorde PBS til NETS.

Jeg kan af andre af dagens kommentarer forstå, at Nets er en Norsk virksomhed. I den forbindelse, vil jeg pege på, at der netop har været en anden stor offentlig IT skandale, Polsag. Der tilsvarende har rødder i Norge. Er der dermed tale om, at Danske skatteborgeres penge, skal bruges til at eksperimenter sig frem til IT-løsninger, der skal finde anvendelse i Norge ?

Det er ikke betryggende for Danske borgere, at vi igen skal se en sag, hvor udenlandske virksomheder, overlades et stort ansvar i Danmark, uden at disse virksomheder lever op til dette.

Nets er en ikke en norsk virksomhed. Den er en nordisk virksomhed med hovedsæde i Ballerup. Nets er en fusion mellem de norske firmaer BBS og Teller og danske PBS. Derudover er der en masse andre mindre firmaer i Nets gruppen i Norden og Baltikum.

Hvordan Nets hænger sammen kan ses på http://www.nets.eu Gå ind under "About Nets" og "Organisation".

Lån og Spar Bank skriver på deres hjemmeside:

"Alle kunder får hertil morgen en popup i deres netbank, omkring DANID_DIGITAL_SIGNATUR.

Før du kan logge på skal du klikke på knappen 'Run'"

Nordea skriver:

"I øjeblikket er Nets DanID i gang med at forny certifikat. Det bevirker desværre lige nu, at certifikatet beskrives som ”UNKNOWN” (ukendt). Der burde stå ”Nets DanID”. Det er sikkert nok at sætte flueben i ”Always trust content from this publisher" og logge på Netbank."

Så nogle banken giver det samme svar som DanID.

Det skriver min netbank på http://www.finansbanken.dk/om/nyhedsarkiv/Pages/NemID-opdatering.aspx

"NemID-opdatering Selskabet bag NemID - DanID har foretaget en opdatering.

Du skal acceptere denne opdatering, når du logger på Netbank ved at klikke i "Always trust content from this publisher". "

Hvad sker der?

Så nogle banker giver det samme FORKERTE OG FARLIGE svar som DanID.

FTFY.

Lån og Spar Bank skriver på deres hjemmeside:

"Alle kunder får hertil morgen en popup i deres netbank, omkring DANID_DIGITAL_SIGNATUR.

Før du kan logge på skal du klikke på knappen 'Run'"

ROFL! Jeg er jo ved at trille ned af stolen - stop stop stop, jeg kan slet ikke klare så meget fail på en dag :-)

... så fremover skal man blot INDEN man sender folk til en malware applet skrive "der kommer en advarsel og det er OK, bare tryk videre - trust me!"

pyhh - er der snart flere områder NemID kan fejle på?

Jeg talte med NemId kl. 08:35 i morges. Deres officielle svar var "tryk bare ok". Jeg bad dem escalere fejlen, tale med overordnede, checke deres prodedurer, forklarede at det ikke kunne være korrekt. De De bekræftede at jeg skulle trykke "ja", på trods af at det var ville betyde at jeg overtrådte deres betingelser for brug af nemId. Supporten undersøgte sagen gentagne gange, og bekræftede at jeg "bare skulle trykke ja". Hele samtalen er optaget på vores ip telefoni system, og det var supporten klar over.

Godt arbejde :).

Du bør da absolut lægge optagelsen frit tilgængelig på Internettet!

Christian Hemmingsen er i det mindste ærlig om hvor han arbejder.

Jeg synes, udover det monumentale fuck up som diverse banker og NemID support udviser, at kommentarer som fra denne "Richard Rønn" er et problem. En hurtig søgning på Google gav nada i DK - intet. Der findes ikke en person med spor på google af det navn, udover selvfølgelig de to poster i dagens debat. Hvem får den brillante idé at lave sådan et indlæg på et IT nyhedsmedie - jeg håber ved den hellige ko ikke det er Nets!

/Morten

Bare til info

Lån og Spar Bank skriver på deres hjemmeside:

"Alle kunder får hertil morgen en popup i deres netbank, omkring DANID_DIGITAL_SIGNATUR.

Jeg har lige taget et skærmdump af undersiderne på lsb.dk og nordea.dk, hvor de anbefaler at acceptere certificatet. Til eftertiden :).

@Henrik: Det er fint at du gjorde supporten opmærksom på at du optog samtalen. Jeg vil blot for en god ordens skyld (idet der er mange misforståelser) gøre opmærksom på, at det havde du ikke behøvet. I Danmark er det altid fuldt lovligt at optage sine samtaler, uden at informere andre i samtalen. Det eneste krav for at have lov til at optage er, at man selv deltager i samtalen.

Man har som udgangspunkt også ret til at offentliggøre samtalen efterfølgende, med mindre indholdet kan falde ind under andre mere generelle bestemmelser. F.eks. straffelovens bestemmelser om personlige oplysninger der må kunne forlanges hemmeligholdt (Straffeloven § 264d) eller lign. bestemmelser. Man kan naturligvis også blive holdt erstatningsansvarlig hvis samtalen indeholder forretningshemmeligheder som man ikke har ret til at afsløre o.s.v. Der stilles også yderligere krav hvis man er en journalist, idet offentliggørelsen da skal være i overensstemmelse med god presseetik.

Men i det omtalte tilfælde er der næppe noget til hinder for at offentliggøre samtalen.

En hurtig søgning på Google gav nada i DK - intet.

Du har vist brug for et google kursus. Der er minimum et hit på google, der ikke relaterer til version2. Hvis man tillader et videre efternavn (det er vel set før at folk ikke har brugt deres fulde navne som brugernavne) så er der to hits.

Derudover kan det være ligegyldigt hvem vedkommende er: det er indholdet i kommentaren, der er vigtigt, ikke diverse conspiracy theories. Giv vedkommende en tommel-ned hvis du er uenig.

Nu har vi råbt og skreget i snart 2 år om et produkt der har nogle gedigne svagheder - uden at det har haft særlig effekt.

Nets gør fuldstændig som det passer dem - alene fordi det stærkeste værktøj "konkurrence om kunderne" til at luge dårlig kvalitet fra, er sat ud af spillet.

Man skulle tro at vi boede i 3. verdens land

Mvh Lars plbrake.dk

Jeg kan supplere med Jyske Netbanks info. De skriver på deres login-side (kl. 15:27):

Første gang du logger på efter den 20. marts, vil du blive spurgt, om du vil installere og køre Nets DanID applikation. Her skal du svare "Run" og eventuelt markere "Always trust content from this publisher"

Tog ligeledes et skærmdump.

Driftsinformation Der er kommet nyt certifikat til NemID Første gang du logger på efter den 21. marts, vil du blive spurgt, om du vil installere og køre Nets DanID applikation. Her skal du svare "Run" og eventuelt markere "Always trust content from this publisher".

Bemærk!! En fejl hos DanID gør at der i feltet Publisher står som UNKNOWN. Kontroller derfor at der i feltet From står https://applet.danid.dk inden du godkender.

Appletten vil ikke starte og giver:

Do you want content signed by "Nets DanID" to have access to your computer? The digital signature of this certificate could not be verified. Do not trust this certificate if you do not known who issued it.

Nets DanID Issued by: Thawte Code Signing CA - G2 Expires: lørdag den 14. februar 2015 00.59.59 mellemeuropæisk normaltid

This certificate was signed by an unknown authority osv.

Nå, men så betyder det vel at jeg ikke skal lave noget i netbanken ...

@Lars Christensen. Jeg må give dig ret. Jeg har nu i over en måned ikke kunne lave transaktioner i min netbank fordi nemid appletten crasher når jeg skal signere min transaktion. Jeg kan sagtens logge ind og bruge netbanken, jeg kan bare ikke lave en transaktion.

Og nu har min support sag så endelig været omkring nets.. og her er så svaret som min bank fik fra nets: "Dette problem er kendt fra andre kunder, og der findes desværre ikke andre løsninger pt. end at prøve fra en anden maskine ( i dette tilfælde jo så en tredje).

Fejlen dækker over en gruppe af fejl i programmet, som laver login og signering med NemID, der ikke findes selvstændige fejlkoder for. Det skyldes i høj grad, at fejltilstanden ikke er forudset. Notifikationer om fejlen er sendt til DanID (uden person og transaktions specifik data), ligesom fejlrapporter i f.eks. Microsoft office og Mozilla Firefox, og vi støtter DanID så godt vi kan for at få løst problemerne."

Eller sagt med andre ord. Vi er fløjtende lige glade med, at selv om du kører en officielt supporteret software stack so virker vores 'shit' ikke.

Det er simpelt hen til at blive rasende over. Det er så mega mega dårligt, at jeg sku må skrive til nogen når nu mit blodtryk er nede på normalt nivea igen.

// Jesper

.. gør det også.

" Der er kommet nyt certifikat til NemID Første gang du logger på efter den 21. marts, vil du blive spurgt, om du vil installere og køre Nets DanID applikation. Her skal du svare "Run" og eventuelt markere "Always trust content from this publisher".

Bemærk!! En fejl hos DanID gør at der i feltet Publisher står som UNKNOWN. Kontroller derfor at der i feltet From står https://applet.danid.dk inden du godkender."

Trist.

;-)

Jaja, bare spørg Skat. De sender stadig mails med links

Hej Morten Andersen,

Ja undskyld mig! Hvad ville du sige til at stewardessen overtog styringen af flyet på din næste charterrejse, bare fordi hun havde set en film om Anders And?

At de kvajer sig i US, er næppe det samme som at så kan Nets ansatte uden behøring viden eller erfaring bare kvaje rundt i over 3.000.000 brugeres IT-sikkerheds adgang til snart sagt en hvilken som helst platform i DK!

Jeg håber virkelig at dette var den sidste pind til SlemIds exit fra NETS/DanID's lokaliteter. Lad dog et (ikke bankrelateret) firma overtage drift samt god videreudvikling, jeg kan anbefale den lokale børnehave - de er gode til sandkager og næppe mindre ansvarsbevidste end Nets!

Mvh Lars plbrake.dk

Enhedslistens Stine Brix har været så venlig at tage sagen op over for Finansministeren: http://www.ft.dk/samling/20111/spoergsmaal/S2724/index.htm

Skal vi vædde med at vi får et svar, der er alt andet end et klart ja/nej? Sikkert noget med at det ikke er op til ministen at vurdere. - og derefter går den IT-politiske dagligdag videre med totalt ignorering af NemID-problemet.

Set fra NemID-brugerens synsvinkel er det nok en fordel af supporten giver dette råd lige i denne forbindelse: Hvis en uheldig NemID-bruger i fremtiden falder for en phishing-email til en fake NemID java-applet og får tømt sin konto kan han henvise til at han blot "havde hørt" at det var i orden at trykke ok. Det vil vel stille brugeren bedre når han gør krav overfor banken om at erstatte tabet.

...under forudsætning af at "Richard Rønn" optræder med sit rigtige navn...

Yup. Hvor befandt pågældende sig da indlægget blev skrevet?

Sad vedkommende på Nets' net?

Cola'en er til afhentning.

Skal vi vædde med at vi får et svar, der er alt andet end et klart ja/nej?

Hmm... nu fik vi så svaret. Og jeg tog jo så næsten fejl. Jeg synes dog stadig ikke at det er et helt klart "nej", for ministeren kategoriserer det åbenbart som nogle enkeltstående personlige fejl hos individuelle supportere - og så kan den IT-politiske dagligdag, som forudsagt, gå videre med totalt ignorering af NemID-problemet.

Nu hvor det er fastslået at NemID ikke var tilgængeligt, medmindre man tilsidesatte IT-sikkerheden, må næste spørgsmål være om hændelsen tæller som NemID nedetid?