Enhedslisten bider sig fast: VIL have svar på, om NemID er spionsoftware

Kan NemID bruges af efterretningstjenester til at overvåge danskernes pc'er? Enhedslisten forsøger nu for tredje gang at få svar på spørgsmålet.
21

Det lykkedes ikke første gang.

Læs også: Nu kommer afklaringen: Er NemID Danmarks stats-trojaner?

Heller ikke anden gang.

Læs også: Enhedslisten giver ikke op: Stiller nyt spørgsmål om NemID som statstrojaner

Derfor krydser Enhedslistens it-ordfører Stine Brix nu fingre for, at tredje gang er lykkens gang, når det handler om at få svar på, hvorvidt NemID kan bruges til at overvåge danskernes pc'er.

Senest har justitsminister Morten Bødskov afvist at oplyse, om NemID kan bruges til overvågning af danskerne.

Læs også: Justitsminister vil ikke afvise NemID som spionværktøj for politiet

»Han svarer, at han ikke vil oplyse det af hensyn til fortrolighed om politiets efterforskningsmetoder. Men jeg får dog en lille luns med oplysningen om, at der er finansministeriet, der står for det tekniske. Derfor har jeg straks smidt et nyt spørgsmål af sted til finansministeren,« siger Stine Brix til Version2.

Det tredje spørgsmål er derfor nu havnet i Folketingets kommunaludvalg med ordlyden:

»Vil ministeren oplyse, med henvisning til Retsudvalgets alm. del - spørgsmål 254 og 573, om det er teknisk muligt for myndighederne at bruge Nem-ID som indgang til at udføre dataaflæsning af borgeres computere?« spørger Stine Brix.

Stine Brix ser dog ikke be- eller afkræftelse af konspirationsteorien om NemID som bekvem bagdør på alle danskere pc'er som spørgsmålets primære ærinde.

»Det her er et lillebitte hjørne af, hvordan vi ønsker myndigheder og efterretningstjenester kan agere i forhold til borgerne. Hvad kan vi tillade og hvor meget vil vi overvåges?,« spørger Stine Brix retorisk.

Hun mener i øvrigt, at den manglende vilje til at besvare spørgsmålet stemmer dårligt overens med regeringens erklærede mål om større åbenhed i forhold til efterretningstjenesternes arbejde.

»Ministeren har heller ikke villet give oplysninger om, hvor mange gange PET har anvendt sniffersoftware. Så hvad består den åbenhed egentlig af? Det er vigtigt for at skabe tryghed i befolkningen, at vi har en efterretningstjeneste med lidt mere indsigt i end i dag,« siger Stine Brix til Version2.

Læs også: Bonnichsen: PET bør oplyse antallet af trojaner-sager

Endelig beklager it-ordføreren sig over den manglende vilje i systemet til at få spørgsmålet opklaret.

»Jeg er ikke konspirationsteoretiker, så mest af alt siger det noget om, at vores politiske system ikke er specielt service-minded. Og det er ærgerligt, for den slags spørgsmål er en god mulighed for at sætte fokus på og holde øje med et område,« siger Stine Brix til Version2.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Niels Dybdahl

Det at nemid appletten er signeret og dermed har adgang til ens pcs filsystem kan vel ikke begrundes med andet end at der er en hensigt om at placere på eller hente filer fra vores pcere. Ingen af delene er nødbendige for brugen af nemid. Så hvilke filer er der tale om og vil antallet af filer der skal placeres eller hentes blive udvidet? Mon der findes en jvm som kan køre appletten i en sandbox selvom den er signeret?

  • 4
  • 2
#2 Jesper Lund

Det at nemid appletten er signeret og dermed har adgang til ens pcs filsystem kan vel ikke begrundes med andet end at der er en hensigt om at placere på eller hente filer fra vores pcere. Ingen af delene er nødbendige for brugen af nemid.

Jeg tror ikke at NemID kan køre uden den binære kode i GIF filerne (prøv eventuelt at lade root eje det directory hvor GIF filerne plantes), og de kan kun downloades og installeres hos dig fordi det er en signeret applet. Så i den forstand er det "nødvendigt" at applet'en er signeret..

  • 2
  • 2
#5 Anonym

Ikke nok med at NemID kan bruges i forbindelse med at tvinge borgerne til at åbne sig for identitetstyverier, herunder Banksvindel. NemID kan også bruges til at tvinge en Minister til at lyve, eller omgå sandheden.

Hvor længe vil de politikere finde sig i det, hvor længe vil de lade NemID trampe på dem. De lader sig tvinge til, bare at følge op på hvad DanID forlanger, uden at DanID leverer deres del af varen.

Stakels Corydon, Bødskov, og hvem der nu i øvrigt må stå frem. De kan lave en helt lille Nem-klub.

  • 2
  • 0
#6 Michael Nielsen

Det er da politikerne der ønsker denne øgede overvågning af borgerne.. Det er dem der har bestemt vi alle SKAL havde NemID, det er dem der nægter at tage sikkerhedsbristerne i systemet alvorligt, uagtet hvor meget dokumentation man smider efter dem, så henviser de bare til DanID's svar, eller nægter at svarer.

Det burde bevise at det er et politisk ønske fra alle fløje (lige måske undtaget EL), da ingen andre lytter til den konstruktive kritik, og de analyser der er blevet fortaget af NemID, fra udvildige kilder uden nogen økonomisk interesse i sagen..

Jeg har et lille foredrag, jeg gerne viser for interesserede politikere, sikkerheds problemer i NemID forklaret uden for meget teknik.

  • 0
  • 0
#7 Niels Schmidt

Der er en ting som NemID bare ikke må være! og det er usikker! Og det kan forstås på to måder, man bliver usikker på at skulle bruge den! og i og med at nogen kan få adgang igennem nemid så er dens sikkerhed jo kompromiteret! og der er derved lavet en bagdør som andre kan komme ind af!

Det er simpelthen for dårligt at det er nødvendigt at stille spørgsmålstegn i det hele taget! Men jeg er glad for at nogen gør det! Jeg håber bare for dette lands fremskridt og troværdighed, at de ikke sløser med vores personlige sikkerhed.

  • 3
  • 0
#8 Nils Bøjden

Befolkningen består at 98% som ikke fatter en bjælde af hvad i taler om.

Og 2% som ved hvad der foregår, men som resten af befolkningen opfatter som virkelighedsfjerne nørder.

Hvis man skal have gjort denne stasi-agtige overvågning til noget som befolkningen lytter til, skal der bruges andre kanoner.

Man skal kapre folketingets talerstol via et parti. Dette skal være et parti som største delen af befolkningen opfatter som værende troværdigt. Man skal overtale dagspressen og diverse internet baseret nyhedstjenester til at manifestere et slogan som hedder noget i retning af : Staten overvåger dig mere end der nogen sinde er blevet overvåget i Østtyskland. Der skal allieres med professionelle reklamebureauer for at få budskabet simpelt og stor ud så her og fru jensen forstår hvad der tår på spil. Og så skal der etableres en folkelig modstand i retning af Ghandis passive modstand, en modstand hvor folk nægter at bruge systemet.

Når alle disse er på plads vil der være en minimal mulighed for at systemet ændres.

Og i mellemtiden gælder det bare om at sandboxe så meget som muligt og lære din nabo og sidemand hvordan man gør dette.

  • 2
  • 1
#10 Lars Nierlsen

Hej

Jeg er en af de 98% som Nils Bøjden snakker om.

Jeg forstår ikke helt; hvis der er installeret noget på ens pc man ikke ved af hvorfor blokerer ens firewall så ikke for at ens pc sender noget ud?

Hvorfor blokerer ens spywareprogram ikke for lortet. dert er det da lavet til?

Jeg prøver at forstå men synes det er svært når man ikke er Hacker eller uddannet inden for EDB.

Jeg har dog forvildet mig ind på Version 2 s¨noget må jeg have gjort rigtigt.

Mvh

Lars

  • 2
  • 0
#12 Frithiof Andreas Jensen

Jeg forstår ikke helt; hvis der er installeret noget på ens pc man ikke ved af hvorfor blokerer ens firewall så ikke for at ens pc sender noget ud?

NemID kommunikerer via http/https som ikke blokeres af firewallen fordi de samme standard port og tilhörende protokoller bruges af web-browseren.

Set fra firewallen er NemID blot en web-browser, som opförer sig helt normalt.

Spywareprogrammer er lavet til at genkende et mönster lavet fra filnavne, processer, strenge i filer, o.s.v. Spywarerogrammet finder mönstre og slår dem op i en database over allerede kendt spyware.

Men NemID er ikke spyware. NemID kan bruges som spyware eller som en bagdör ind i offerets PC eller til at underskrive ting i offerets navn; Man kan sige at NemID först muterer til malware når "De Rette Myndigheder" beder om adgang. (Desuden har NemID fuld adgang til maskinen så det er sikkert allede forberedt at man kan ändre opsätningen efter behov - hvis der skulle väre noget anti-spyware eller en firewall der provokerer).

Det sikreste er at bruge en Virtuel Maskine som man kun körer NemID med eller måske en minimal "throw-away" netbook som kun indeholder madopskrifter samt måske et par debatindläg om Det Kongelige Teater til Politiken for ekstra tilforladelighed.

  • 0
  • 0
#13 Frithiof Andreas Jensen

Man skal kapre folketingets talerstol via et parti.

Lige präcis der dör projektet: Overvågningssamfundet er som bekendt slet ikke noget som folketinget har bestemt. Den overordnede "Antiterror"-lovgivning er outsourcet til EU, som igen henter sin inspiration (eller ordrer) fra USA.

Det beklagelige er at folketinget og ministerierne er enige i at Danskerne skal overvåges, vores opförsel kortlägges og alt hvad vi siger og gör arkiveres i op til 7 år - for det tilfälde at noget vi engang har gjort eller sagt bliver ulovligt - at de opfinder systemer som NemID og at man generelt går videre end hvad man har forpligtet sig til, bare for at lette tilvärelsen for Skat eller Justitsministeriet.

Jeg tror desvärre, på trods af Enhedslistens gode arbejde i denne sag, at aktivisme er vejen frem.

  • 0
  • 0
#14 Robert Larsen

Jeg tror ikke at NemID kan køre uden den binære kode i GIF filerne

Det tror jeg, at det kan. Jeg har en 64 bit Ubuntu maskine, og jeg kan død og pine ikke indlæse et 32 bit library fra Java. Jeg omdøbte 'error.gif' til 'libgif.so' for at gøre livet lidt nemmere men jeg får følgende fejl under indlæsning:

Exception in thread "main" java.lang.UnsatisfiedLinkError: /home/robert/code/NemID_Reversing/libgif.so: /home/robert/code/NemID_Reversing/libgif.so: wrong ELF class: ELFCLASS32 (Possible cause: architecture word width mismatch)  
    at java.lang.ClassLoader$NativeLibrary.load(Native Method)  
    at java.lang.ClassLoader.loadLibrary0(ClassLoader.java:1807)  
    at java.lang.ClassLoader.loadLibrary(ClassLoader.java:1732)  
    at java.lang.Runtime.loadLibrary0(Runtime.java:823)  
    at java.lang.System.loadLibrary(System.java:1028)  
    at dk.danid.plugins.Wuddelcakes.main(Wuddelcakes.java:18)

Jeg kan fint indlæse det på en 32 bit maskine, men det fejler bare på 64...og jeg har ellers intet problem med at bruge NemID på den maskine.

  • 0
  • 0
#18 Robert Larsen

Har du prøvet hvor meget i .jar du kan fjerne og så stadigvæk have en funktionerende danid-app?

Nej. Jeg "hygger" mig bare med at forsøge at genskabe C koden, som ligger bag "error.gif"...få lidt reverse engineering ind under huden :-) Umiddelbart er der ikke noget helt vildt skidt i koden, men DanID har jo muligheden for at sende en anden version af koden til specifikke brugere. Måske man skulle hakke noget sammen som holder øje med, om appletten eller dens ressourcer ændrer sig.

  • 0
  • 0
#20 Robert Larsen

Lur mig om ikke Danid allerede har en eller form for signatur, MD5 eller sådan noget, som kontrollerer den eksisterende .jar

Det har de helt sikkert...signerede jars indeholder også checksums, men det, jeg mente, er, at JEG gerne vil vide, når appletten ændrer sig i forhold til den version, som jeg har reverset og ved, hvad gør...det kan være en software opdatering, men det kan jo også være noget spion software fra regeringen.

Put on the tin foil hat!!!

  • 0
  • 0
Log ind eller Opret konto for at kommentere

De cyberkriminelle bliver stærkere, rigere og dygtigere: Version2 Infosecurity styrker dit forsvar

0

Whatsapp registrerer og gemmer dit telefonnummer, selvom du ikke er bruger

4

Alle ikke-opdaterede Apple-enheder kan stadig hackes med berygtet Pegasus-spyware

4
Job fra Jobfinder
Webinars and Whitepapersopen_in_new
Webinar
Webinar
Nyt samarbejde om it-sikkerhed for SMVer
Whitepaper
Whitepaper
Digitalt mindset & digital transformation
Webinar
Webinar
Forstå de seneste anbefalinger i Schrems II-sagen
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder