Enhedslisten giver ikke op: Stiller nyt spørgsmål om NemID som statstrojaner

Justitsministeren har ikke svaret klart på, om NemID kan bruges af efterretningstjenester til at opsnappe borgernes it-kommunikation. Derfor stiller Enhedslisten nu spørgsmålet en gang til - denne gang til Retsudvalget.

Er NemID i virkelighen en fantastisk bekvem måde for efterretningsvæsener som PET og FE at få adgang til mistænkte borgeres digitale kommunikation?

Det spørgsmål ønskede Enhedslistens it-ordfører Stine Brix at få svar på, men justitsminister Morten Bødskov (S) havde ikke mulighed for at give et svar inden for de rammer, der findes for de såkaldte § 20-spørgsmål.

Læs også: Nu kommer afklaringen: Er NemID Danmarks stats-trojaner?

»Spørgsmålet kan kun besvares fyldestgørende, hvis der til brug for besvarelsen indhentes udtalelser fra relevante myndigheder. Det bemærkes i den forbindelse, at NemID-systemet hører under Finansministeriets ressort,« skriver Morten Bødskov til Stine Brix.

»Egentlig er jeg ikke utryg ved at bruge NemID. Men det er meget vigtigt, at vi har adgang til at vide, hvordan staten overvåger sine egne borgere. Derfor er det et helt legitimt spørgsmål at stille på borgernes vegne,« siger Stine Brix til Version2.

Derfor har hun fredag stillet et nyt spørgsmål - denne gang som et såkaldt udvalgsspørgsmål, hvor den adspurgte har en længere frist til at udarbejde et svar.

»Vil ministeren oplyse, som opfølgning på sin besvarelse af Retsudvalget spørgsmål 254 (alm. del 2011-12), hvor stor en andel af de omtalte sager, hvor myndighederne har placeret såkaldte snifferprogrammer på private pc’ere m.v., har brugt NEM-ID som indgang til at placere sådanne programmer? Og vil ministeren, hvis NEM-ID ikke har været anvendt, indhente oplysninger om, hvorvidt det ville være teknisk muligt for myndighederne at anvende NEM-ID til dette formål?« lyder spørgsmålet denne gang.

Version2 følger sagen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anonym

Det besvarer jo sig selv.
NemID har anvendt snifferteknik, det er afklaret og har været oppe her på V2.

Dels besvarer det, at muligheden er der for at man kan anvende snifferteknik, direkte på brugernes PC, dels besvarer det, at man gør det.

Tilsvarende, er der i forbindelse med, at det er Netz/DanID som udvikler og driver NemID, alle de muligheder man kan drømme om, for at overvåge borgerne.
Man kan ganske enkelt følge borgerens anvendelse af økonomi, gennem Netz, og samtidigt følge borgerens interesser generelt, ved at anvendelse af informationer fra NemID.
Man kan ikke noget som helst, i hele det Danske samfund, uden at man er overvåget, ned til mindste detalje.

Tilsvarende, så er der lov på vej, som kræver anvendelse af et mail-system, der har baggrund i samme private organisation.

Velkommen til det absolutte overvågningssamfund, langt bedre end overvågning med kamera.
Nu kan du intet gøre, uden at Netz kan følge med.
At de ikke holder sig tilbage, er påvist.

Det værste er, at det også åbner mulighed for, at fremmede magter og organisationer, kan gøre helt det samme, for NemID er ret simpelt at kompromitterer. Man skal bare kompromitterer brugerne, så stiller NemID selv resten af systemet til rådighed.

Man kan stile og roligt trække alle tænkelige informationer, om alle Danskere. Man skal bare sætte sig og vente på at brugerne selv lukker op, f.eks. i forbindelse med Skat, Bank og lignende.
Det er der igen der kan beskytte sig imod, og ingen der kan vide om det sker.
Eller rettere, vi ved faktisk, at der sker noget, som ikke engang DanID eller deres rådgiver kan dæmme op for.

Tilsvarende kan man, benytte samme system, til at gøre uoprettelig skade på hele Dansk økonomi.

NemID, var vist bare en lidt for nem ide.

  • 5
  • 9
Jens Peter Jensen

"Spørgsmålet kan ikke besvares af hensyn til mørke magter."

Ja, enten interne (militærets og politiets efterretningstjenester) eller eksterne (USA, ... ?). Men det er nok tvivlsomt, om den ansvarlige minister har nosser nok til direkte at indrømme det. Derfor er udenomsnak det forventede svar.

  • 7
  • 0
Anonym

Jeg tror ikke en hat på, at det er med grundlag i Efterretningstjenesterne, at NemID er skruet sammen som det er.
Det er bare en mulighed.
Den information man kan skaffe på den måde, kan man nemt fremskaffe på anden måde, hvis man ønsker det.

Jeg tror det er med grundlag i nogen meget snævre økonomiske hensyn.
Jeg tror også, at man slet ikke har overvejet hvor nemt det faktisk er, at kompromitterer NemID, inden man satte alt på et kort.

Det var bare, for nem en ide, og nu bliver det vanskeligt at trække stikket.
Da man samtidigt har negligeret alle eksperter, både i Danmark og internationalt, står man svagt, når der skal hentes hjælp fra den kant.

  • 3
  • 1
Niels Loft

Det er et tyndt svar fra ministeren. "Det er finansministeriet ressort"
som om det er finansministeriet der holder styr på hvad politiet laver.
På samme måde kan man jo forestille sig at finansministeriet vil svare i samme teflon stil:
"Spørgsmålet kan kun besvares fyldestgørende, hvis der til brug for besvarelsen indhentes udtalelser fra relevante myndigheder. Det bemærkes i den forbindelse, at politiet hører under justitsministeriets ressort"

Det er tyndt at politikerne lader mistanken om nemid blive hængende ubesvaret.
For det er jo netop kun en mistanke så længe man undviger at svare på spørgsmålet.

Hvis nemid ikke bliver misbrugt til at installere aflytningssoftware, hvorfor afviser Danid så ikke denne mistanke? Det kan vel ikke være gavnligt for Danid at mistanken om nemid er tilstede?

  • 3
  • 0
Daniel Madsen

Thomas: Hvilke andre nemme muligheder er det du hentyder til at myndighederne skulle have for at sniffe oplysninger fra specifikke personers computere ?

Det er jo kommet frem at PET ved flere lejligheder har installeret trojanere på specifikke brugeres computere: http://www.version2.dk/artikel/pet-vi-bruger-trojanere-mod-mistaenkte-da...

Prøv at overvej det engang, hvordan opnår de det i praksis ?
Det er klart at der er forskellige muligheder (og man har også gjort det før NemID blev til), men INTET ville idag være nemmere end at benytte NemID til det formål og det ville være fuldstændig risikofrit for PET.

NemID er det oplagte valg fordi de her 100% kender brugerens identitet og de kan reelt vælge at differenciere indholdet af JAR-filen baseret på brugerens identitet, således at de kun indlæser trojaneren på mistænkes computere.

Det, holdt op imod at NemID indeholder nogle meget mistænkelige ting (hvad pokker laver unix og windows native executables i en JAR pakke - tilmed forsøgt forklædt som uskyldige billedfiler) gør at der er grund til bekymring.

Vi ved at PET reelt installere trojanere på specifikke personers computere og vi ved at de har et motiv for at ville anvende NemID til dette formål, eftersom det ville gøre denne del utrolig meget nemmere og fuldstændig risikofri OG derudover har vi dokumentation for at NemID er mere end hvad det giver sig ud for at være (det ligner reelt noget vi andre sammenhænge ville kalde for en "Trojan").

Jeg mener derfor ikke det er at tage sølvpapirshatten på at råbe vagt i gevær her og rart at se enhedslisten agere vagthund i denne sag.

  • 4
  • 1
Daniel Madsen

Derudover kan jeg jo ikke lade være med at bemærke hvor vagt ministeren afviser §20 spørgsmålet. Hvis spørgsmålet er helt ude i hampen, så kan det vel ikke være så svært at ringe til en kollega og blankt afvise at det skulle have noget på sig - hvis det vitterligt ikke finder sted, som beskrevet, så er spørgsmålet jo latterligt og burde være nemt at afvise.

At "Spørgsmålet kan kun besvares fyldestgørende, hvis der til brug for besvarelsen indhentes udtalelser fra relevante myndigheder" virker jo lidt som om ministeren enten er doven, reelt ikke ved hvad der foregår eller har haft en interesse i at sylte spørgsmålet - ingen af delene er specielt betryggende.

  • 3
  • 0
Peter Jespersen

jeg vil nu ikke sige at man kan få de samme resultater ad anden vej, med mindre at en anden trojaner kommer i spil.

NemID giver jo løbende adgang til den personlige computers helligste - ved at den har fuld adgang til filsystemet.

Men jo, det er sandsynligvis ikke et primært designparameter,

  • 1
  • 0
Anonym

@ Daniel Madsen

Hvis der er noget som helst, som PET elle FE har behov for at vide, så kan de bare bestille en aflytning.
Det har de helt enkelt lov til.
Jeg mener også, at det er noget de skal have lov til.

Når NemID stiller en alternativ mulighed til rådighed, så er det jo nærmest idioti, hvis ikke man benytter denne mulighed, da man f.eks. ikke længere har behov for at informerer ISP om sin aktivitet.

I forbindelse med f.eks. TOR, eller hårdt krypteret elektronisk kommunikation, kan der være specielt formål med at installerer en Trojaner, da den vil kunne opsnappe informationen inden kryptering.
Problemet er, at det kan alle andre efterretningstjenester eller organisationer også. Nå ja, og dygtige hackere, oav... ;)
Specielt for NemID, stiller man et helt system til rådighed, hvor man nemt har adgang til alle den givne persons (eller virksomhed) oplysninger.
Som det også ses, kan disse muligheder tilsvarende benyttes til direkte kriminalitet.

NemID er et 3 person system, der er IKKE tale om egentlig identifikation, der er tale om en udredning over for 3 person, om en given identitet.

Et andet problem med NemID's måde at "identificerer" på, vil du kunne finde i en anden tråd.
Her er anbefalingen, at man helt sletter alle data fra disk, hvis der er mistanke om at man er kompromitteret.
"Den med papkortet", er ikke tilstrækkeligt, man vil simpelthen være nød til at slette sin maskine.
Hvis du ikke forstår hvorfor, så må du lede på V2, hvor der er andre der udtaler sig om, at den eneste mulighed er at man sletter sin maskine, hvis man har mistanke om at man er kompromitteret.
Dette paradoks opstår bl.a. fordi, man benytter et 3 person system.

At enhver, fysisk kan stjæle et givent papkort, er her ikke taget med i betragtningen, det er blot et andet usikkerhedsmoment.
Er man lidt ivrigt interesseret inden for området, vil man opdage, at det tilsvarende har været forsøgt med USB-nøgler, som man så har opdaget også kan stjæles.

NemID er skabt for at beskytte nogen snævre økonomiske interesser, i forbindelse med drift at nogen private virksomheder, intet andet.
I stedet for at forlange den organisation gør hvad de er bedst til, har Staten valgt at støtte den, i noget som organisationen ikke evner.

Jeg anser NemID som kørt næsten helt af sporet.
Fra min vinkel, er der kun et par tiltag man kan gøre, for at genskabe en sikker løsning omkring NemID. For det er, så vidt jeg kan se, muligt.
Jeg har ingen interesse i at beskrive en løsningsmodel, det må de helt selv rode med. Hvilket de i øvrigt også giver udtryk for, at de foretrækker.

At man nu vil indfører en lov, som beskriver at NemID er sikkert, ændrer ikke ved, at NemID fortsat er usikkert.

  • 2
  • 2
Jesper Lund Stocholm Blogger

Det er klart at der er forskellige muligheder (og man har også gjort det før NemID blev til), men INTET ville idag være nemmere end at benytte NemID til det formål og det ville være fuldstændig risikofrit for PET.


Jamen er det ikke super fedt? Så er der ikke længere risiko for at en nabo ser dem, når de dirker døren op og der er ikke risiko for at PETs folk aflyttes eller filmes, når de manuelt skal bryde ind og installere en trojaner på en persons PC.

Jeg har rigtigt svært ved at se, at brugen af NemID til dette er andet end en klokkeklar win/win situation for os som samfund.

(og nej, jeg er ikke sarkastisk)

  • 0
  • 1
Niels Didriksen

(og nej, jeg er ikke sarkastisk)


Nej, det er du vel ikke. Jeg er for længs løbet tør for fantasi nok til at forestille mig, hvad for nogle hjernelamme koncepter, du kan finde på at gøre dig til bannerfører for. En obligatorisk statstrojaner forklædt som en digital identitet til alle danskere havde jeg f.eks. ikke set komme.

En af de markante forskelle på at anvende nemid som statstrojaner og den fysiske plantning som du snakker om, er ellers ret nem at få øje på.

-I.o.m. nemids trojaner-funktionalitet ligger permanent og latent på alle danskeres maskiner, er det et spørgsmål om NÅR og ikke HVIS, før nogle nasty guys finder ud af at bruge det til noget snavs. Sig til hvis du skal bruge empirisk dokumentation.

-Dit scenarie fortsætter, at "systemet" ikke begår fejl eller misbrug. Der er væsentligt større mulighed for at garantere retssikkerheden for uskyldige, hvis der skal fysiske hands-on før man kan foretage efterretningsmæssige indgreb. Eller overgreb...

Og meget mere... Men jeg fornemmer at det er formålsløst at argumentere med så rabiate holdninger.

  • 2
  • 0
Anonym

Jeg har rigtigt svært ved at se, at brugen af NemID til dette er andet end en klokkeklar win/win situation for os som samfund.

Der er regler for overvågning. De skal følges, uanset om man anvender egentlig gammeldags aflytning, eller om man anvender en trojaner.

Der er væsentlig forskel på om vi lever i en politistat, eller om vi lever i en retsstat.

Anvendes trojanere, eller nogen anden form for overvågning, i bred forstand over for store dele af befolkningen, lever vi ikke i et retssamfund, men i en politistat.

Hvis snævre økonomiske interesser, har haft et samarbejde med en politimyndighed, omkring overvågning af store dele af befolkningen, er der tale om et egentlig angreb på retssamfundet og det frie demokrati.

Alene, at det ikke kan lade sig gøre at klarlægge om der er foretaget en sådan overvågning med anvendelse af trojaner, men at man alene må forlade sig på f.eks. mediedækning, beskriver at der er et alvorligt problem.

Når det er sagt, så skal politiet selvfølgelig have lov til at gøre deres arbejde i fred, med de muligheder der er til rådighed, både teknisk og retsligt.

  • 1
  • 0
Log ind eller Opret konto for at kommentere