DanID's support: Se bort fra sikkerhedsadvarsel

Support-telefonen hos DanID opfordrer brugerne til at ignorere den sikkerhedsadvarsel, der i øjeblikket popper op på skærmen.
57

Support-funktionen hos DanID har her til morgen været under pres, efter at en natlig opdatering medførte en certifikatfejl for NemID-appletten.

Læs også: Natlig opdatering smadrer NemID-certifikat - Danske Bank skifter til nød-login

Version2 har ringet til supporttelefonen på 80 30 50 70 for at høre, hvad brugerne bliver rådet til. Efter at være gået galt i byen i DanID's tast selv-sluse et par gange havner jeg som nummer ni i køen. Kort derefter er jeg nummer seks, og et minuts tid efter er jeg igennem hos supporten:

*Hej, jeg hedder Morten. Jeg forsøger at logge på sundhed.dk med mit NemID, men får en advarsel med ordlyden 'The application's digital signature cannot be verified. Do you want to run the application?'.

»Hvad står der nede under "From" - hvor kommer appletten fra?«

Der står https://applet.danid.dk

»Og hvor forsøgte du at logge på?«

På sundhed.dk

»Det er, fordi vi har haft en fejl med en opdatering i nat. Du kan bare sætte hak i 'Always trust content from this publisher' og klikke på run.«

Læs også: DanID: Vi ruller fejlramt certifikat tilbage

Men jeg er opdraget med, at når der popper sådan en certifikatadvarsel op, så skal man være varsom med at fortsætte?

»Ja, og det er også helt fint. Men hvis du sætter fluebenet i 'Always trust content from this publisher', burde den ikke dukke op igen. Og hvis den gør, er du velkommen til at ringe til support igen.«

[aid:

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (57)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Brian Jacobsen

Jeg er ikke stærk i certifikat hejs, men hvis man laver en 'Always trust this publisher' betyder det så at man altid stoler på publisher som 'UNKNOWN'?
Det lyder lidt som et wildcard til alle certifikater, der måtte dukke op i forbindelse med et bestemt domæne (jeg antager at 'Always trust this publisher' er knyttet til domænet).

Mon hackere kan finde på at sætte publisher til UNKNOWN? Og har det nogen betydning?

Anonym

Dermed har DanID trukket hele sikkerhedsgrundlaget ud af deres egen løsning.
Det er lige til at flæbe over, at man ikke kun udviser mangler ved selve driften, men også i forbindelse med support.
Ikke nok med, at brugerne skal forholde sig til deres egen sikkerhed, på deres egne maskiner. Nu skal de også kende til DanID's system, ellers kan de ikke finde ud af om det er lokalt eller hos DanID er er noget galt.
Og på Engelsk.
Skal morfar også til at lære fremmedsprog, for at kunne benytte NemID. Det næste krav bliver vel en Bachelor fre MIT.

DanID. Udvis dog lidt respekt over for det ansvar i har, det er simpelthen noget svineri det der.

Jesper Lund Stocholm Blogger

Hvis jeg var sådan én, så ville jeg mobilisere hele mit netværk af droner og igansætte mit automatiserede MiM-angreb på NemID nu. Når folk så får en advarsel så ringer de jo ind til DanID og får at vide, at de bare skal afvikle min onde applet.

Seriøst - hvis DanID tog sikkerheden seriøst, så ville de fortælle alle, der ringede ind, at der er problemer med deres system og at man må prøve senere.

Kenn Nielsen

Prøv at ring derind. De siger helt sikkert, at du skal afvente. Der kan jo sidde en supporter, som laver en fejl. Det er trods alt menneskeligt at fejle..

Jeg må desværre nok mistænke dig for at gå DanID's ærinde, når du først siger det er menneskligt at fejle, og dernæst garanterer at svaret nu er et andet..

K

Lars Lundin

Prøv at ring derind. De siger helt sikkert, at du skal afvente. Der kan jo sidde en supporter, som laver en fejl. Det er trods alt menneskeligt at fejle

Der er mindst to brugere, der har fået enslydende svar om at ignorere den manglende sikkerhed.

At supporten ikke som udgangspunkt har instruktion om at manglende sikkerhed betyder at brugeren må prøve igen senere, er ikke en fejl hos en enkel supporter, men derimod en fejl i supportens instruktion.

At DanID så åbenbart har udstedt nye instruktioner til supporten, er det der på engelsk kaldes at lukke stalden efter at hesten er stukket af.

Anonym

Hvis jeg var sådan én, så ville jeg mobilisere hele mit netværk af droner og igansætte mit automatiserede MiM-angreb på NemID nu. Når folk så får en advarsel så ringer de jo ind til DanID og får at vide, at de bare skal afvikle min onde applet.


Godt tænkt :)
Det har jeg luret lidt over.
Først og fremmest, så kender vi (jeg) ikke årsagen til fejlens opståen.
Men det KAN være en mulighed der er blevet afprøvet. At DanID er blevet udsat for et forsøg på et direkte MIM angreb.
Helt godt gået, hvis det lykkedes at gøre dette, "ved roden".

Morten Andersen

Nemid har jo outsourcet support til et 3. partsfirma der får at vide hvordan forskellige ting skal håndteres (Javaproblemer og alt det). Men når der er nogle nye problemer, som dette, så famler de sig frem og i dette tilfælde har nogle 'kvikke' supportmedarbejdere så bare sagt at de skal trykke på OK knappen, fordi det tilsyneladende virker. Det er egentlig meget menneskeligt og let at se hvordan den slags kan ske. I mange situatinoer kan det jo være fint at supporteren tænker selvstændigt. Til sammenligning så er dem der betjener hotlinen i f.eks. den amerikanske sundhedsstyrelse, nogle dresserede abekatte der kører efter et script, og som du ikke kan få til at sige så meget som et ord der ikke står heri. Det er ofte ikke så brugbart.

Når det er sagt bør Nemid naturligvis indskærpe overfor supporten at alt hvad der har med sikkerhed, certifikater o.s.v. at gøre skal køre efter bogen og at brugeren derfor må vente med at logge på til fejlen er væk.

Peter Makholm Blogger

Nemid har jo outsourcet support til et 3. partsfirma der får at vide hvordan forskellige ting skal håndteres (Javaproblemer og alt det). Men når der er nogle nye problemer, som dette, så famler de sig frem og i dette tilfælde har nogle 'kvikke' supportmedarbejdere så bare sagt at de skal trykke på OK knappen

Men det er jo ikke første gang at DanID's supporter-stab brænder sig på ikke at eskalere sikkerhedsrelaterede forspørgsler til kompetente personer.

Mon der er tale om samme supporter der forsøgte at forklare hvorfor NemID endnu ikke var supporteret på mobiltelefoner? Havde supporten ikke også nogle søforklaringer vedrørende de famøse gif-filer.

Jeg mener helt klart at der tegner sig et mønster af en organisation der ikke tager denne slags supportsager alvorligt. Det kan ikke længere afskrives som enkelte menneskelige fejl blandt supporter-staben.

Jørgen Henningsen

Godt tænkt :)
Det har jeg luret lidt over.
Først og fremmest, så kender vi (jeg) ikke årsagen til fejlens opståen.
Men det KAN være en mulighed der er blevet afprøvet. At DanID er blevet udsat for et forsøg på et direkte MIM angreb.
Helt godt gået, hvis det lykkedes at gøre dette, "ved roden".

Ja det er da lykkeligt.
Nu har jeg lige forsøgt for 3. gang at komme på skat.
Hver gang med en fejlmelding.
Gad vide hvem der nu sidder med mine "hemmelige" koder.

Anonym

Når det er sagt bør Nemid naturligvis indskærpe overfor supporten at alt hvad der har med sikkerhed, certifikater o.s.v. at gøre skal køre efter bogen og at brugeren derfor må vente med at logge på til fejlen er væk.

1) Fejlen MÅ ikke opstå.
Alene at få denne fejl en enkelt gang, må ikke ske.
Det må ikke ske, hverken hvis fejlen ligger hos DanID eller hvis fejlen ligger hos klienten.
Uanset hvordan man vender og drejer det, så er det en sikkerhedsbrist i selve NemID løsningen at denne fejl kan opstå.

2) Som andre skriver, så er der ingen ide i, at man instruerer muge-karlen i at holde lågen lukket, efter hestene er stukket af.

Jeg kan af andre af dagens kommentarer forstå, at Nets er en Norsk virksomhed. I den forbindelse, vil jeg pege på, at der netop har været en anden stor offentlig IT skandale, Polsag.
Der tilsvarende har rødder i Norge.
Er der dermed tale om, at Danske skatteborgeres penge, skal bruges til at eksperimenter sig frem til IT-løsninger, der skal finde anvendelse i Norge ?

Det er ikke betryggende for Danske borgere, at vi igen skal se en sag, hvor udenlandske virksomheder, overlades et stort ansvar i Danmark, uden at disse virksomheder lever op til dette.

I forbindelse med nuværende og foreslået lovgivning, er jeg stærkt i tvivl om, det overhovedet er inden for grundlovens rammer, at der tildeles så stor magt, til udenlandske interesser. Oven i købet interesser, der er uden for EU-samarbejdet.

Ud over dette, så ligger der en mulighed i samkøring af data, på koncernniveau.
Her skal det påpeges, at disse data dermed kan flyttes uden for EU's og Danske juridiske muligheder.

Mangel på sikkerhed, åbenhed, og sporbarhed, i den konstellation, er helt uacceptabel !

Henrik Høyer

Jeg talte med NemId kl. 08:35 i morges. Deres officielle svar var "tryk bare ok". Jeg bad dem escalere fejlen, tale med overordnede, checke deres prodedurer, forklarede at det ikke kunne være korrekt. De De bekræftede at jeg skulle trykke "ja", på trods af at det var ville betyde at jeg overtrådte deres betingelser for brug af nemId. Supporten undersøgte sagen gentagne gange, og bekræftede at jeg "bare skulle trykke ja". Hele samtalen er optaget på vores ip telefoni system, og det var supporten klar over.

Christian Hemmingsen

Jeg kan se at du er ny debattør her - er din stillingsbetegnelse hos Nets "Damage Controller"?

Nej, min stillingsbetegnelse er IT-udvikler og jeg er ikke ansat i DAN-ID (men i en anden afdeling i Nets).
Jeg kan godt lide cola og da jeg har adgang til adressebogen kunne jeg rimelig nemt konstatere at der ikke er ansat nogen Richard Rønn i Nets (eller DAN-ID).
Jeg venter spændt på Jespers cola, så SHIP IT!

Peter Makholm Blogger

Jeg kan af andre af dagens kommentarer forstå, at Nets er en Norsk virksomhed. I den forbindelse, vil jeg pege på, at der netop har været en anden stor offentlig IT skandale, Polsag.

Skulle vi ikke lige mane denne i jorden. Nets er en fussion af PBS og den tilsvarende norske virksomhed. Holdingselskabet er tilsyneladende registreret i Danmark. Der er 4 aktionære der har mere en 5% af aktierne: 3 danske banker og en norsk.

Datterselskabet NETS DanID er ifølge CVR.dk startet 3 år før offentliggørelsen af fusionen der gjorde PBS til NETS.

Christian Hemmingsen

Jeg kan af andre af dagens kommentarer forstå, at Nets er en Norsk virksomhed. I den forbindelse, vil jeg pege på, at der netop har været en anden stor offentlig IT skandale, Polsag.
Der tilsvarende har rødder i Norge.
Er der dermed tale om, at Danske skatteborgeres penge, skal bruges til at eksperimenter sig frem til IT-løsninger, der skal finde anvendelse i Norge ?

Det er ikke betryggende for Danske borgere, at vi igen skal se en sag, hvor udenlandske virksomheder, overlades et stort ansvar i Danmark, uden at disse virksomheder lever op til dette.

Nets er en ikke en norsk virksomhed. Den er en nordisk virksomhed med hovedsæde i Ballerup. Nets er en fusion mellem de norske firmaer BBS og Teller og danske PBS. Derudover er der en masse andre mindre firmaer i Nets gruppen i Norden og Baltikum.

Hvordan Nets hænger sammen kan ses på
http://www.nets.eu
Gå ind under "About Nets" og "Organisation".

Per Kjær Jensen

Lån og Spar Bank skriver på deres hjemmeside:

"Alle kunder får hertil morgen en popup i deres netbank, omkring DANID_DIGITAL_SIGNATUR.

Før du kan logge på skal du klikke på knappen 'Run'"

Nordea skriver:

"I øjeblikket er Nets DanID i gang med at forny certifikat. Det bevirker desværre lige nu, at certifikatet beskrives som ”UNKNOWN” (ukendt). Der burde stå ”Nets DanID”. Det er sikkert nok at sætte flueben i ”Always trust content from this publisher" og logge på Netbank."

Så nogle banken giver det samme svar som DanID.

Henrik Kramshøj Blogger

Lån og Spar Bank skriver på deres hjemmeside:

"Alle kunder får hertil morgen en popup i deres netbank, omkring DANID_DIGITAL_SIGNATUR.

Før du kan logge på skal du klikke på knappen 'Run'"

ROFL! Jeg er jo ved at trille ned af stolen - stop stop stop, jeg kan slet ikke klare så meget fail på en dag :-)

... så fremover skal man blot INDEN man sender folk til en malware applet skrive "der kommer en advarsel og det er OK, bare tryk videre - trust me!"

pyhh - er der snart flere områder NemID kan fejle på?

Thue Kristensen

Jeg talte med NemId kl. 08:35 i morges. Deres officielle svar var "tryk bare ok". Jeg bad dem escalere fejlen, tale med overordnede, checke deres prodedurer, forklarede at det ikke kunne være korrekt. De De bekræftede at jeg skulle trykke "ja", på trods af at det var ville betyde at jeg overtrådte deres betingelser for brug af nemId. Supporten undersøgte sagen gentagne gange, og bekræftede at jeg "bare skulle trykke ja". Hele samtalen er optaget på vores ip telefoni system, og det var supporten klar over.

Godt arbejde :).

Du bør da absolut lægge optagelsen frit tilgængelig på Internettet!

Morten Bulskov

Christian Hemmingsen er i det mindste ærlig om hvor han arbejder.

Jeg synes, udover det monumentale fuck up som diverse banker og NemID support udviser, at kommentarer som fra denne "Richard Rønn" er et problem. En hurtig søgning på Google gav nada i DK - intet. Der findes ikke en person med spor på google af det navn, udover selvfølgelig de to poster i dagens debat.
Hvem får den brillante idé at lave sådan et indlæg på et IT nyhedsmedie - jeg håber ved den hellige ko ikke det er Nets!

/Morten

Morten Andersen

@Henrik: Det er fint at du gjorde supporten opmærksom på at du optog samtalen. Jeg vil blot for en god ordens skyld (idet der er mange misforståelser) gøre opmærksom på, at det havde du ikke behøvet. I Danmark er det altid fuldt lovligt at optage sine samtaler, uden at informere andre i samtalen. Det eneste krav for at have lov til at optage er, at man selv deltager i samtalen.

Man har som udgangspunkt også ret til at offentliggøre samtalen efterfølgende, med mindre indholdet kan falde ind under andre mere generelle bestemmelser. F.eks. straffelovens bestemmelser om personlige oplysninger der må kunne forlanges hemmeligholdt (Straffeloven § 264d) eller lign. bestemmelser. Man kan naturligvis også blive holdt erstatningsansvarlig hvis samtalen indeholder forretningshemmeligheder som man ikke har ret til at afsløre o.s.v. Der stilles også yderligere krav hvis man er en journalist, idet offentliggørelsen da skal være i overensstemmelse med god presseetik.

Men i det omtalte tilfælde er der næppe noget til hinder for at offentliggøre samtalen.

Peter Lind

En hurtig søgning på Google gav nada i DK - intet.

Du har vist brug for et google kursus. Der er minimum et hit på google, der ikke relaterer til version2. Hvis man tillader et videre efternavn (det er vel set før at folk ikke har brugt deres fulde navne som brugernavne) så er der to hits.

Derudover kan det være ligegyldigt hvem vedkommende er: det er indholdet i kommentaren, der er vigtigt, ikke diverse conspiracy theories. Giv vedkommende en tommel-ned hvis du er uenig.

Lars Christensen

Nu har vi råbt og skreget i snart 2 år om et produkt der har nogle gedigne svagheder - uden at det har haft særlig effekt.

Nets gør fuldstændig som det passer dem - alene fordi det stærkeste værktøj "konkurrence om kunderne" til at luge dårlig kvalitet fra, er sat ud af spillet.

Man skulle tro at vi boede i 3. verdens land

Mvh Lars plbrake.dk

Jakob Ottesen

Jeg kan supplere med Jyske Netbanks info. De skriver på deres login-side (kl. 15:27):

Første gang du logger på efter den 20. marts, vil du blive spurgt, om du vil installere og køre Nets DanID applikation. Her skal du svare "Run" og eventuelt markere "Always trust content from this publisher"

Tog ligeledes et skærmdump.

Henrik Kramshøj Blogger

Driftsinformation
Der er kommet nyt certifikat til NemID
Første gang du logger på efter den 21. marts, vil du blive spurgt, om du vil installere og køre Nets DanID applikation. Her skal du svare "Run" og eventuelt markere "Always trust content from this publisher".

Bemærk!!
En fejl hos DanID gør at der i feltet Publisher står som UNKNOWN. Kontroller derfor at der i feltet From står https://applet.danid.dk inden du godkender.

fail

Appletten vil ikke starte og giver:

Do you want content signed by "Nets DanID" to have access to your computer?
The digital signature of this certificate could not be verified. Do not trust this certificate if you do not known who issued it.

Nets DanID
Issued by: Thawte Code Signing CA - G2
Expires: lørdag den 14. februar 2015 00.59.59 mellemeuropæisk normaltid

This certificate was signed by an unknown authority
osv.

Nå, men så betyder det vel at jeg ikke skal lave noget i netbanken ...

Jesper Frimann

@Lars Christensen.
Jeg må give dig ret. Jeg har nu i over en måned ikke kunne lave transaktioner i min netbank fordi nemid appletten crasher når jeg skal signere min transaktion. Jeg kan sagtens logge ind og bruge netbanken, jeg kan bare ikke lave en transaktion.

Og nu har min support sag så endelig været omkring nets.. og her er så svaret som min bank fik fra nets:
"Dette problem er kendt fra andre kunder, og der findes desværre ikke andre løsninger pt. end at prøve fra en anden maskine ( i dette tilfælde jo så en tredje).

Fejlen dækker over en gruppe af fejl i programmet, som laver login og signering med NemID, der ikke findes selvstændige fejlkoder for. Det skyldes i høj grad, at fejltilstanden ikke er forudset. Notifikationer om fejlen er sendt til DanID (uden person og transaktions specifik data), ligesom fejlrapporter i f.eks. Microsoft office og Mozilla Firefox, og vi støtter DanID så godt vi kan for at få løst problemerne."

Eller sagt med andre ord. Vi er fløjtende lige glade med, at selv om du kører en officielt supporteret software stack so virker vores 'shit' ikke.

Det er simpelt hen til at blive rasende over. Det er så mega mega dårligt, at jeg sku må skrive til nogen når nu mit blodtryk er nede på normalt nivea igen.

// Jesper

Adam Tulinius

.. gør det også.

" Der er kommet nyt certifikat til NemID
Første gang du logger på efter den 21. marts, vil du blive spurgt, om du vil installere og køre Nets DanID applikation. Her skal du svare "Run" og eventuelt markere "Always trust content from this publisher".

Bemærk!!
En fejl hos DanID gør at der i feltet Publisher står som UNKNOWN. Kontroller derfor at der i feltet From står https://applet.danid.dk inden du godkender."

Trist.

Lars Christensen

Hej Morten Andersen,

Ja undskyld mig! Hvad ville du sige til at stewardessen overtog styringen af flyet på din næste charterrejse, bare fordi hun havde set en film om Anders And?

At de kvajer sig i US, er næppe det samme som at så kan Nets ansatte uden behøring viden eller erfaring bare kvaje rundt i over 3.000.000 brugeres IT-sikkerheds adgang til snart sagt en hvilken som helst platform i DK!

Jeg håber virkelig at dette var den sidste pind til SlemIds exit fra NETS/DanID's lokaliteter.
Lad dog et (ikke bankrelateret) firma overtage drift samt god videreudvikling, jeg kan anbefale den lokale børnehave - de er gode til sandkager og næppe mindre ansvarsbevidste end Nets!

Mvh Lars plbrake.dk

Finn Aarup Nielsen

Set fra NemID-brugerens synsvinkel er det nok en fordel af supporten giver dette råd lige i denne forbindelse: Hvis en uheldig NemID-bruger i fremtiden falder for en phishing-email til en fake NemID java-applet og får tømt sin konto kan han henvise til at han blot "havde hørt" at det var i orden at trykke ok. Det vil vel stille brugeren bedre når han gør krav overfor banken om at erstatte tabet.

Peter Mogensen

Skal vi vædde med at vi får et svar, der er alt andet end et klart ja/nej?

Hmm... nu fik vi så svaret. Og jeg tog jo så næsten fejl. Jeg synes dog stadig ikke at det er et helt klart "nej", for ministeren kategoriserer det åbenbart som nogle enkeltstående personlige fejl hos individuelle supportere - og så kan den IT-politiske dagligdag, som forudsagt, gå videre med totalt ignorering af NemID-problemet.

Log ind eller Opret konto for at kommentere

App-udvikler: Nogen har gang i noget skummelt og ønsker adgang til vores Apple-certifikat

0

Asus med opsigtsvækkende udmelding: ShadowHammer-angreb påvirkede kun hundredvis af enheder

3

Nets løber med kæmpekontrakten: De skal udvikle og drive afløseren for NemID

23
Mest debatteredeMest læste
Webinars and Whitepapersopen_in_new
Webinar
Webinar
Lær hvordan din it-afdeling effektivt kan standardisere og automatisere processer i SMV'er
Whitepaper
Whitepaper
Sådan vælger du det bedste intranet
Webinar
Webinar
Ny software-defined storage løsning leverer over 1 million IOPS
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder
Brugerundersøgelse Version2
maximize minimize