It-folk efter angreb: Lav NemID om nu

postet i forkert tråd, sorry

I Danske Spil er man afhængig af, at løsningen fungerer. Virksomheden er nemlig underlagt den danske spilmyndighed, og brugerne skal derfor bruge NemID som adgang.

Det passer så ikke. Danske spil er forpligtet til at lave en sikker identifikation af dem der logger ind FX ved hjælp af NemID. Det kunne være de skulle læse den bekendtgørelse de arbejder under :-)

Det er kun lovgiverne der kan ændre noget. Desværre har de ikke ret meget forstand på IT, og lader den ene gang efter den anden klaphatte vinde udbud og lave store systemer, som allesammen ryger 200% over budget, og bliver sat i drift uden at virke.

Det er fordi lovgivernes IT rådgivere heller ikke har forstand på IT.

Der er brug for en programmør som kan fortælle ministeren hvor det skla laves, og så skal hun forstå det han siger, og så skal hun køre det igennem tinget, og før det sker, bliver intet lavet om.

Nu er det på 24+ time at NemID ikke virker, og jeg kan ikke spille på casino i danske spil, det er kedeligt :)

"Den offentlige login-løsning NemID er slet ikke god nok, lyder det fra flere eksperter i kølvandet på flere hackerangreb de seneste uger."

Sådan har det lydt fra eksperter, lang tid før den blev lavet og mens det har været "aktiv"

Der er så meget som peger på at dette produkt bare ikke kan klare opgaven og desuden ikke er en digital signatur.

Indse nu politikere at denne løsning var for billig og allerede var forældet før den var færdig!

Der er ingen grund til at pumpe flere penge i et skib som synker hold op med at spilde flere af vores skattepenge på dette fallit produkt!

det kan sagtens være at nem ide kunne være lavet smartere, men personligt mener jeg: du vil aldrig kunne holde for at et angreb rettes mod den server der udbyder / styre kontroolen og adgangen til nem ide den slags angreb vil vel altid kunne forekomme

Blandt mange andre IT-Kyndige her inden, har jeg været med til at eksponere svaghederne i NemID, desværre har næsten alle af mine forudsigelser blevet til virkelighed, det er en så inkompetent implementering af et login system at det burde være kriminelt.. Man har vidst i over 30 år at lave løsninger på denne måde, og med de teknikker som Nets/DanID bruger til NemID er ufattelige usikre.

Jeg har været med til at lave sådanne løsninger siden 1994, men bare fordi jeg ikke har en title af ekspert, eller professor, er det umuligt at råbe de ansvarlige op, noget jeg har forsøgt fra længe før NemID var indført.. Jeg har prøvet igennem alle indgange til staten, endda igennem teknlogirådet... Men ingen vil hører.

Og jeg har endnu en forudsigelse, der vil intet gøres, før der er blevet stjålet milliarder, pga den dårlige sikkerhed..

Lol Bankerne er nu ved at lave deres egne løsninger (igen)..

Og hvad er logikken i at hvis man får oprettet NemID til banken, så virker den (i første omgang) ikke til offentlige sider og omvendt? Fru Danmark tror selvfølgelig at når hun identificerer sig med NemID, så er hun identificeret uanset servicen hun benytter! Og hvad med medarbejder signaturer, de virker kun til det offentlige, ikke til banken. Fordi at bankerne ikke er klar. Klar til hvad, jeg har jo identificeret mig selv med NemID?

Uanset hvad "it-eksperter" siger, skal der nok være et par it-ordførere, der mener, at den nuværende løsning sagtens kan gøres sikker, og at det må være en politisk beslutning...

Drop N3MID!!! Borgernes IT sikkerhed skal varetages af en offentligt myndighed og ikke et privat ejet aktieselskab!

Det passer altså ikke, når I kritiserer Nem-ID så meget.

Jeg var selv meget bekymret tilbage i 2010 - og jeg klagede derfor til Forbrugerombudsmanden. Og jeg har fået deres forsikring om, at alle mine bekymringer var helt ude i skoven. Så nu er jeg MEGET mere rolig ... for der er jo slet intet af det, jeg skrev om, som blev virkelighed ... eller?

Så her er lidt hyggelig læsning til fredagsøllen:

Klage:

NemID - vildledende markedsføring, forringelse af service, monopolisering & sikkerhed. Jeg deler min henvendelse i punkter:

1. Vildledende markedsføring: Alle netbank-brugere skal inden årets udgang benytte NemID. Det medfører desværre en hel del serviceforringelser og merudgifter for mange brugere. Ifølge NemID's reklamevideoer som kan ses på NemID.nu kan man "... bruge NemID fra en hvilken som helst computer med internetadgang." se screendump her: https://homepage.mac.com/olsen/NemID.jpgDette er ikke sandt. Faktisk er der ret store krav til systemversioner, der gør at bl.a. Mac-brugere, som har maskiner fra midten af 2006 og tidligere slet ikke kan komme på. Derudover kræver det et Mac OS som er fra 2007 eller nyere for at komme på. Det betyder at en meget stor gruppe brugere, som hidtil har kørt netbank på deres computere nu skal udskifte hele computeren for fortsat at benytte netbank. Desuden kan NemID ikke bruges fra en meget stor gruppe netbooks med Linux-varianter samt fra mobile enheder som iPad, iPhone, Android m.fl. Dette bliver først klart, når man læser de tekniske krav til NemID ... men altså en stærk vildledende reklame.

2. Forringelse af service: Flere netbanker har kunnet anvendes på forskellige mobile enheder som f.eks. iPhone m.fl. (se ovenstående). Det kan man ikke fremover. Dette er en klar forringelse af service. DanID forsvarer det med, at den gamle Digitale Signatur heller ikke kunne køre på mobile enheder - men dermed tager de kun udgangspunkt i kontakten med offentlige instanser og negligerer netbankerne. I den forbindelse er der modstridende oplysninger fra DanID, der nogle gange hævder, at bankerne ikke er forpligtet til at lukke for deres gamle adgang, som virker på mobile enheder og ældre operativsystemer. Men ifølge flere banker er de forpligtet til at have flyttet deres kunder til NemID inden 01.01.2011.

3. Monopolisering: Da alle er tvunget til at anvende NemID til at logge på netbank og ved kontakt med det offentlige, opstår der en monopolsituation. Det privatejede DanID kan som de eneste tilbyde en adgang. Forbrugerne har herefter intet andet valg. Jeg ved at flere udviklere ønsker at lave alternative login-systemer (bl.a. for at imødekomme et mobilt behov), men IT- og Telestyrelsen er i øjeblikket ved at overveje at klassificere hele NemID som national sikkerhed, hvorfor det ikke bliver muligt at få udleveret retningslinier for login eller kildekode. Dermed udelukkes andre virksomheder fra at lave konkurrerende løsninger.

4. Sikkerhed: NemID reklamerer med at hele systemet er sikkert, og at man kan bruge computere på bl.a. biblioteker. Men NemID efterlader log-filer på de computere man benytter. Logfilerne er p.t. krypterede, men skulle efter sigende allerede være blevet hacket, hvorved de kan afsløre bl.a. forbrugsmønster, tidspunkter for login mv.www.forbrugerombudsmanden.dk - Side 2 Derudover fortæller DanID, at både kodenøgler, logins og adgangskoder bor på servere hos DanID. Her er altså tale om en koncentration af stærkt personfølsomme oplysninger for hele Danmarks befolkning hos ET ENESTE privatejet firma. Da al kommunikation med banker og det offentlige Danmark fremover skal gå gennem DanID's servere vil det naturligvis være en lækkerbidsken for alle IT-kriminelle og -terrorister at få kontrol over ... eller spærre for adgangen. Hele Danmark vil gå økonomisk i stå, hvis DanID skulle blive sat ud af spillet. Dertil har DanID valgt at man kan logge på ved hjælp af sit CPR-nummer og en adgangskode. Adgangskoderne kræves ikke sikre, og der skelnes ikke mellem store og små bogstaver. Der kræves ikke specialtegn eller tal. Dette er substandard og virker utroligt i en verden, hvor man alle andre steder har fokus på sikkerhed. DanID forsvarer det med, at man får låst sin NemID-konto, hvis der tastes forkert 5 gange. Det er himmelråbende naivt, da det straks åbner for muligheden af, at folk kan chikanere hinanden ved at spærre for bankadgang og kontakt med det offentlige. Faktisk kan man også på den måde ramme tilfældige mennesker - for man skal bare gætte et CPR-nummer og taste koden forkert 5 gange, så er der spærret. Dette kan også bruges i et IT-terrorangreb, hvor et såkaldt bot-net på meget kort tid kan afprøve alle CPR-numre 5 gange - og på den måde lægge alle danskeres adgang ned. DanID forsvarer sig med, at de har taget sikkerhedshensyn for at forebygge den slags angreb - men vil ikke forklare hvad det går ud på. Jeg er sikker på, at der findes mange varianter de ikke har taget hensyn til - for det er bestemt en smal sag at få en flok computere til at simulere almindelige forsøg på at logge ind. DanID forklarer, at det bliver muligt at vælge, at CPR-nummer ikke kan anvendes som login ... men som standard kan det anvendes ... og man forklarer det med at det er bekvemt for brugeren at huske. Det overlader brugeren til selv at sørge for at tænke sig om ... det er ikke ok i et så personfølsomt miljø.

Hvad kunne du tænke dig, at Forbrugerombudsmanden skal gøre? Ved vurderingen af om vi skal tage en sag op, er det vigtigt for os at kende dine forventninger til sagens løsning. At Forbrugerombudsmanden belyser hele NemID-sagen fra forbrugernes side. Hidtil har ministeriet, IT- g Telestyrelsen og DanID blankt afvist alle kritiske spørgsmål. Alle hævder at NemID er lavet på denne måde fordi DET var den eneste måde. DanID forsvarer sig med at forgængeren - Digital Signatur - heller ikke virkede på mobile enheder, og at man må stille visse krav til udstyr. Det forudsætter, at man kun betragter NemID som afløser for Digital Signatur. Men NemID skærer andre steder fra: Netbank, kontakt med Skat og flere andre steder, hvor man tidligere har haft adgang fra mobile enheder. Her er der fra forbrugerens synspunkt serviceforringelser og for en del er de tvunget til opgraderinger/nyanskaffelser.

Hele sikkerhedsproblematikken mener jeg bør belyses grundigt. Hvis hele Danmark vælger at lægge sine æg i samme kurv - bør vi som borgere have dokumentation og sikkerhed for at den kurv er konstrueret solidt, så bunden ikke går ud af den. Ligeledes bør Forbrugerombudsmanden kigge på den monopolvirksomhed, som DanID nu bliver. DanID bliver de eneste som kan sælge adgang til virksomheder - og de eneste som kan udbyde adgang til banker og det offentlige.

Hertil fik jeg svaret:

27. september 2010

Forbrugerombudsmanden har modtaget Deres henvendelse af 1. september 2010, hvor De anfører, at NemID på hjemmesiden NemID.nu anvender vildledende markedsføring, er skyld i forringelse af servicen overfor forbrugerne, samt har monopol og dårlig sikkerhed.

Ifølge markedsføringslovens § 3, stk. 1 må erhvervsdrivende ikke anvende vildledende eller urigtige angivelser eller udelade væsentlige informationer, såfremt dette er egnet til mærkbart at forvride forbrugernes eller andre erhvervsdrivende økonomiske adfærd i markedet.

IT- og Telestyrelsen ejer hjemmesiden NemID.nu. NemID indføres i Danmark for, at forbrugerne og erhvervsdrivende får mulighed for at kommunikere samt indgå aftaler med det offentlige, bankerne og andre private erhvervsdrivende over nettet ved brug af samme log-in-metode og med samme koder. Udbredelsen af NemID sker i overensstemmelse med almindelige samfundsinteresser, og det vil fortsat være muligt at kommunikere med det offentlige, banker og andre erhvervsdrivende på andre måder.

Der er således efter Forbrugerombudsmandens opfattelse ikke tale om en situation, som er omfattet af markedsføringslovens §§ 1 eller 3.

På den baggrund finder vi ikke grundlag for at gå videre med sagen.

Med venlig hilsen osv.

Og fra daværende uvidenhedsminister Charlotte Sahl fik jeg også en sludder for en sladder om nationale interesser. Det finder jeg også gerne frem, hvis nogle skulle være interesseret. :-)

Kritikken af NemIDs arkitektur startede lang tid før angrebet, så vidt jeg husker ca. 1 time efter vi første gang fik en forklaring på hvorledes man ville gøre det...

"Vi ønsker ikke at kommentere arkitekturen eller sikkerhedsforanstaltninger, da vi ellers risikerer at give hackerne oplysninger, de kan misbruge,« siger han, men fortæller, at DanID har iværksat flere tiltag siden de første angreb."

Gad vide hvornår de finder ud af at security by obscurity ikke virker.

https://technet.microsoft.com/da-dk/magazine/2008.06.obscurity%28en-us%29.aspx

"Security by obscurity is, in a nutshell, a violation of Kerckhoffs' Principle, which holds that a system should be secure because of its design, not because the design is unknown to an adversary. The basic premise of Kerckhoffs' Principle is that secrets don't remain secret for very long."