It-ordfører: Minister forholder sig ikke til NemID som 'single point of failure'

Illustration: REDPIXEL.PL/Bigstock
Finansminister Bjarne Corydon mener ikke, et alternativ til NemID vil være gavnligt i den danske it-infrastruktur.

»Mener ministeren ikke, det er et problem, at NemID, der er blevet en så kritisk del af den danske it-infrastruktur, er så nem at lægge ned med et DDOS-angreb?.«

Sådan lyder et af spørgsmålene, som it-ordfører Dennis Flydtkjær (DF) stillede finansminister Bjarne Corydon (A) om NemID, efter den seneste måneds DDoS-angreb.

Men ministeren svarer ifølge it-ordføreren så vagt og ukonkret, at Dennis Flydtkjær nu vil stille spørgsmålene igen. Blandt andet er han utilfreds med, at ministeren og Digitaliseringsstyrelsen kun forholder sig overordnet til problematikken ved bl.a. at svare, at man er opmærksom på, at NemID’s centrale placering udgør en risiko.

»Hvad enten man implementerer én eller flere login-løsninger, vil man stadig være sårbar over for hackere, da disse løsninger også kan angribes og lægges ned. NemID-løsningen er valgt ud fra en afvejning af forskellige forhold, herunder et højt sikkerhedsniveau, økonomi og behovet for en stor udbredelse, anvendelse og forståelse af løsningen i den brede befolkning. En central løsning som NemID giver desuden mulighed for at skabe større sikkerhed end den enkelte bruger og de enkelte systemansvarlige er i stand til, blandt andet fordi sikkerheden kan styres via en robust og professionel it-infrastruktur,« skriver ministeren blandt andet i sit svar.

Selv om Dennis Flydtkjær er enig i betragtningen om, at it-systemer ikke er perfekte, køber han ikke argumentet om, at løsninger, der bygger på forskellige platforme og teknologier, skulle være lige så udsatte som én enkelt løsning.

»Det handler om at sprede risikoen. Hvis du vil lægge ét system ned, skal du kende én svaghed. Men hvis der er flere systemer, der er konstruerede på forskellige måder, skal du finde en række svagheder. Herefter skal du angribe samtidig, for at du lægger det hele ned,« siger Dennis Flydtkjær til Version2 og fortsætter:

Manglende konkurrence på digital signatur

»Samtidig presser man selskaberne til at holde sig skarpe i forhold til sikkerhed, brugervenlighed og så videre. Med monopollignende tilstande bliver virksomhederne dovne, og tager eksempelvis ikke højde for DDoS-angreb i flere år. Havde der været en konkurrent, der havde tænkt på det, ville brugerne være flyttet over til konkurrenten, som har styr på tingene.«

»Jeg ser det som en tilståelse af, at de godt ved, at det er kritisk at have et single point of failure, når de ikke svarer direkte på spørgsmålet,« siger Dennis Flydtkjær til Version2 og fortsætter:

»Det er en klassisk taktik i §20-spørgsmål at henvise til et andet svar, man giver, og så håbe på, at folk ikke lægger mærke til, at der faktisk ikke blev svaret på spørgsmålet.«

Det er i det hele taget et gennemgående problem for de svar, Dennis Flydtkjær har fået, at formuleringerne er så vage, at det ikke rigtig kan bruges til noget, lyder det fra it-ordføreren.

»Det er nogle meget bløde svar. ’Vi kigger på det, undersøger nogle ting og overvejer senere hen at gøre noget mere’. Det er ikke ret konkret, så det er svært at være tilfreds med svarene. Og svarene giver jo næsten sig selv - selvfølgelig forbedres sikkerheden løbende,« siger Dennis Flydtkjær til Version2.

For eksempel konkluderer finansministeren i et af svarene, at Nets har løftet opgaven med NemID tilfredsstillende. Dennis Flydtkjær fortæller, at han efter et møde med Nets for et par uger tilbage, er overbevist om, at Nets har opfattet alvorligheden og er mere på mærkerne fremadrettet.

»Men bagudrettet synes jeg ikke, det eksempelvis er godt nok, at det først er i januar, at man tænker på DDoS-angreb. Det er ret alarmerende, at man ikke har haft mere styr på det.«

Dennis Flydtkjær vil stille de spørgsmål, han ikke følte, han fik svar på, igen, og så vil han gøre dem endnu mere konkrete indtil han får et svar, han er tilfreds med.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (28)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Hans Schou

Mit umiddelbare forlsga til at begrænse DDoS angreb vil være at udnytte at der snart kommer en NemID i Ecmascript.

Som det er nu, skal borgerne direkte kontakte https://applet.danid.dk/ og hente noget kode der fra. Det skal i stedet være sådan at når man går ind på https://borger.dk/, så foregår al kommunikation imellem borgeren og danid.dk igennem borger.dk. Så klientens login-request bliver sendt til borger.dk/nemid/, der så sender det videre på nemid.danid.dk.

nemid.danid.dk skal så ligge på et beskyttet net der kun kontaktes af godkendte severe eller på en VPN eller noget andet. Det skal ikke være sådan så offentligheden kan kontakte nemid.danid.dk direkte.

Mht til SSL-certifikater er det kun https://borger.dk man skal stole på. borger.dk skal selv stå inde for den videre kommunikation.

Hvis man så skal angribe nemid.danid.dk så skal man gøre det via alle dem der er koblet op til NemID, og hvis det er mange, så bliver det ret svært. Hvis fx borger.dk kommer under angreb, og det belaster nemid.danid.dk, så kan man vælge at koble borger.dk ud, så alle andre services fungere.

...eller noget i den retning. Der er mange muligheder, der er bedre end det nuværende system.

  • 2
  • 7
#2 Christoffer Kjeldgaard

Du vil i den løsning du beskriver også have et offentligt kontaktpunkt: borger.dk som kan lægges ved via DDoS.

Den eneste reelle løsning er at lade folk have deres egne certifikater - så kan du nægte at besvare alle requests, der ikke sender et gyldigt certifikat med, der både er underskrevet af DanID og en gyldig nøgle. Certifikatet kan gemmes på PCen, USB-nøgle, smart-card whatever. Det fungerer fint for Dankortet, her kan folk godt forstå at hvis man indsætter et kort skal man indtaste et PIN.

  • 3
  • 0
#3 Peter Mogensen

Jeg havde egentlig godt bemærket snakken om flere løsninger. Michael Aastrup Jensen havde ligefrem formuleret et af spørgsmålene som om han tog IT-folkene på Version2 til indtægt for at det skulle være en god ide at lave "fallback løsninger":

http://www.version2.dk/artikel/byge-af-spoergsmaal-om-nemid-til-minister...

Men man løser jo ikke et problem med at have et dårligt system ved at bygge endnu et dårligt system. Hvis det alternative system man laver faktisk er godt - hvorfor er det så ikke det primære system?

Løsningen på at have et dårligt system er selvfølgelig at erstatte det med et bedre.

  • 2
  • 0
#4 Rasmus Petersen

Ja, den vil have et offentligt kontaktpunkt som kan lægges ned, men i modsætning til nu, er det ikke NemID-app'en der fejler, men blot den specifikke service (her borger.dk), som så kan kobles af systemet som Hans Schou foreslår.

Det kunne være en løsning under de nuværende forudsætninger, men det kunne lyde til, at hele løsningen skal gentænkes.

  • 2
  • 1
#5 Allan Astrup Jensen

Flydtkjær har jo ret i at det er bedst at sprede risikoen på flere systemer, så hvis det ene er nede så kan det andet bruges. Monopoler er af det onde - også offentlige! Det er i orden med NEMID eller et andet fælles system, hvis borgeren også kan vælge et alternativt password, som ikke behøver at være det samme til alle formål og kan skiftes efter behov. Når Skat, Version2 og gmail mfl kan, hvorfor så ikke alle?

  • 0
  • 1
#6 Peter Mogensen

Monopoler er af det onde

Ja - Men er det han snakker om at der skal være flere "udbydere" ? Det virker ikke sådan på mig. Det lyder mere som om han ønsker at "leverandøren" skal bygge endnu et ("fallback") system.

At få en infrastruktur, hvor flere udbydere end DanID kan deltage og man som borger kan vælge hvem man stoler på vil selvfølgelig være fornuftigt - også ud fra at sikkerhedsperspektiv. Man har mere grund til at stole på nogen, hvis man ikke har fået et ultimatum om at skulle bruge dem.

  • 1
  • 0
#7 Thue Kristensen

»Hvad enten man implementerer én eller flere login-løsninger, vil man stadig være sårbar over for hackere, da disse løsninger også kan angribes og lægges ned.

Men med asymmetrisk kryptering, så kan man jo netop lave et system hvor man kan underskrive uden at skulle ind over en central server. Så er der ikke noget at angribe og lægge ned.

  • 1
  • 0
#10 Christoffer Kjeldgaard

Jeg tror vi snakker forbi hinanden. Du taler om, at istedet for at vi kontakter applet.nemid.dk så kontakter vi borger.dk, som så kontakter applet.nemid.dk - hægter du borger.dk af, knækker kæden, præcis som tidligere.

Hvis det skulle gøres i den eksisterende løsning kunne man opsætte en række af domæner, som kan kontaktes i tilfælde af at det primære domæne ikke kan kontaktes - På den måde hjælper det ikke noget hvis et enkelt domæne lægges ned, og de sekundære domæner skal holdes hemmelige. Det er ikke en super løsning, men den sikrer nogenlunde mod DDoS.

Det er denne metode bagmænd af botnet bruger for at sikre at deres Command & Control servere holdes i luften.

Personligt synes jeg at vi skal gå tilbage til den gamle certifikatsløsning - Den kan også bygges til at fungere på mobiltelefoner, ellers kan der anvendes SMS som tofaktor godkendelse, som en række banker allerede gør.

  • 0
  • 0
#11 Christoffer Kjeldgaard

Asymmetrisk kryptering kræver stadig at hver person har deres private nøgle. Den private nøgle skal så igen beskyttes af et lag af sikkerhed, og det skal helst være 2-faktor godkendelse.

Det er rigtigt at du ikke er afhængig af en central server - men du skal stadig modtage beskederne et sted fra, som har den offentlige nøgle. Du har så ret i, at da de offentlige nøgler som sådan ikke er hemmelige, kan de lægges på forskellige domæner - men det kan også gøres med nemID, se evt mit eksempel ovenfor.

  • 0
  • 0
#12 Anders Midtgaard

Nu har jeg ikke lige fulgt med i hvad alle har skrevet.

Men jeg bruger selv google autentificering og det er da genialt. Man forsøger at logge på med brugernavn og password, og der bliver sendt en sms til din smartphone(måske email) og har man ikke en smartphone, så kan man printe et kort ud med nogle engangskoder nøjagtig ligesom der bruges nu(evt med en kodegenerater til at have i lommen som bla danskeBank.

Google Autentificering kan kædes sammen med eks lastpass softwaren, hvor man så kan koble det sammen og sætte yderligere sikkerhed på ved at man eks kun kan logge på ens konto fra Danmark, europa etc. Der findes et væld af sikkerheds indstillinger og muligheder. Kig nu mod nogle af alle de fremragende teknologier der allerede findes og som er 98% compatible med stort se alle kendte platforme win, linux, MAC, android og browsere IE, Firefox, chrome.

Ligeledes bliver der sendt informationer, når nogle logger på fra computere der ikke er autoriserede, nogle ændre koder, osv osv.

Det burde være muligt at lave en modificeret løsning som kan bruges som fælles logon ved at undersøge.

Backupsystemer er som regel bare et spg. om økonomi og viden nok! Henrik her fra Version2 har skrevet et glimrende indlæg herom.

  • 1
  • 1
#13 Hans Schou

Jeg tror vi snakker forbi hinanden. Du taler om, at istedet for at vi kontakter applet.nemid.dk så kontakter vi borger.dk, som så kontakter applet.nemid.dk - hægter du borger.dk af, knækker kæden, præcis som tidligere.

Det vi tidligere har set, er at nogen har angrebet applet.nemid.dk for $10, og det lagde så alle banker og andre services ned.

Det jeg ville var, at hvis nogen angreb borger.dk, så vil jeg ofre det site. Det bekymre mig ikke så meget om et enkelt site er nede, hvilket der kan være mange årsager til, men hvis alle dem der benytter sig af nemid er nede, så ser jeg et problem.

Hvis det skulle gøres i den eksisterende løsning kunne man opsætte en række af domæner, som kan kontaktes i tilfælde af at det primære domæne ikke kan kontaktes - På den måde hjælper det ikke noget hvis et enkelt domæne lægges ned, og de sekundære domæner skal holdes hemmelige. Det er ikke en super løsning, men den sikrer nogenlunde mod DDoS.

Jeg havde nu tænkt mig at de havde et VPN ip-nummer ala 10.11.12.13, og om der så rent faktisk er et domæne tilknyttet hitme7.nemid.nu er ikke så væsentligt.

Det er denne metode bagmænd af botnet bruger for at sikre at deres Command & Control servere holdes i luften.

De må lave så mange DDoS angreb på 10.11.12.X som de vil.

Personligt synes jeg at vi skal gå tilbage til den gamle certifikatsløsning - Den kan også bygges til at fungere på mobiltelefoner, ellers kan der anvendes SMS som tofaktor godkendelse, som en række banker allerede gør.

Hvis bare engangsnøglerne er med i den plan, hvilket jeg ikke helt kan se, så er jeg med. Papkort er brugbart, access-key er på nogle punkter bedre.

  • 1
  • 0
#14 Kaare Kyndal

"NemID-løsningen er valgt ud fra en afvejning af forskellige forhold, herunder et højt sikkerhedsniveau, økonomi og behovet for en stor udbredelse, anvendelse og forståelse af løsningen i den brede befolkning"

Nej det er valgt fordi det var det billigste og så lovede de vist nok at det ville virke!

Måske har løsningen "udbredelse, anvendelse og forståelse af løsningen i den brede befolkning" Men ikke blandt folk som ved hvad de snakker om!

NemID er en pinlig løsning for Danmark og de bliver bare værre og værre jo mere der komme frem!

  • 0
  • 0
#15 Christian Nobel

Nej det er valgt fordi det var det billigste og så lovede de vist nok at det ville virke!

Vi ved jo ikke engang om det er rigtigt - valget kan ligeså godt være resultatet af en meget stærk branches beskidte lobbyarbejde.

I stedet for at lade skatteborgerne betale for et nyt fælles login til bankerne, havde det så ikke været billigere at bibeholde og pudse den gamle digitale signatur af?

Hvorfor skal bankernes forretning, som jo dybest set må anses for et privat anliggende, overhovedet blandes ind i borgernes forhold til det offentlige - det er stort set ligeså slemt som den demontering af magtens tredeling man prøver at cementere for tiden.

  • 2
  • 0
#17 Allan Astrup Jensen

Myndighederne tør ikke indrømme den centrale overvågning som et argument for NEMID, men fx. NEMID's monopol i det offentlige og i bankerne samt kravet om at danskespil, andre spiludbydere og diverse pokersites skal kræve at spillerne kun kan login med med NEMID, så Skat let kan kontrollere spillernes vaner, gevinster og tab, illustrerer det virkelige formål med NEMID.

  • 0
  • 0
#18 Peter Mogensen

Det ville være muligt med en PKI-dongle. Desværre har NemID så valgt at det stadig skal foregå gennem deres propritære system og så er vi ligevidt. Man skal stadig stole på dem, når de siger at deres kode gør som de siger. Det de ønsker er selvfølgelig en garanti for at din private nøgle ikke bare er genereret i software og ligger og flyder over hele Internettet.

  • 0
  • 0
#19 Christoffer Kjeldgaard

Hvis bare engangsnøglerne er med i den plan, hvilket jeg ikke helt kan se, så er jeg med. Papkort er brugbart, access-key er på nogle punkter bedre.

Certifikatet kan du eksempelvis lægge på en USB nøgle. USB nøglen tager du så med dig hvis du vil logge på fast fra en anden maskine.

Hvis du eksempelvis vil logge på fra en offentlig computer skal du bruge en genereret nøgle, som du kan modtage via SMS eller få sendt det til dig via post.

I praksis betyder det at både dig og danID har din private nøgle - men kun DanID kan generere en ny nøgle.

Det er ikke rocket science at få et JAVA program til at tjekke om en enhed med et specifikt ID er tilstede. Og det kan sagtens gøres sikkert, ved eksempelvis at hashe IDet med en hemmelig algoritme inden det sendes afsted. For at kompromittere PCen skal du overtage maskinen. Du kan ikke umiddelbart klone en USB enheds ID uden at have fysisk adgang, eller administratorrettigheder via remote-control.

Og selv hvis enheden bliver klonet skal du stadig kende personens password.

Hvis du ønsker yderligere sikkerhed kan du sammenkæde eks. CPUens unikke serienummer med USB-enheden når den aktiveres - så bliver det rigtig, rigtig svært og logge ind fra andre maskiner.

Dermed, på din hjemmePC behøver du ikke længere bruge papkortet, da USB-enheden sikrer din PC. Når du er væk fra din PC eller på mobil skal du bruge papkortet.

Jeg lavede en proof of concept single sign on løsning som udnyttede det her for et års tid siden, som et skoleprojekt. Brugertest udført i forbindelse med projektet viste at folk i aldersgruppen 15 - 60 år kunne tilpasse sig det ret hurtigt. I løbet af en uge var størstedelen glade for løsningen, omkring 80%. Testpanelet bestod af 20 mennesker, så det er på ingen måde repræsentativt, men det giver da stof til eftertanke.

  • 0
  • 0
#20 Peter Mogensen

@Christoffer Det lyder som sort snak i mine ører. Blot éet ud af mange spørgsmål: Hvad er pointen i USB-nøglen, hvis formålet er at beskytte imod en kompromiteret PC og en angriber nemt kan lave et virtuelt USB-device med et vilkårligt IDE og bilde et hvilket som helst JAVA-program ind at der sidder sådan en enhed i maskinen?

  • 0
  • 0
#21 Christoffer Kjeldgaard

For at klone enheden skal du have enhedens ID og det certifikat der ligger på den. For at få fat i det, skal du kunne læse fra enheden - hvilket betyder du skal have administratorrettigheder på PCen. Når du er nået til det punkt er alle forsvarspunkter alligevel brudt - så betyder det intet om du har et nøglekort eller ej, du skal bare afvente at brugeren logger ind.

Hvis du ønsker at angriberen skal igennem din maskine kan du koble enheden sammen med f. eks. din CPUs serienummer, og så kan du ikke logge ind fra en anden maskine, med mindre du har skrevet noget virtualiseringssoftware, der kan afvikle JAVA og kan dynamisk ændre din CPU's serienummer, hvilket må siges at være ret omstændigt.

Papkortet giver dig ingen ekstra sikkerhed når først din PC er kompromitteret, og det vil der aldrig være en sikkerhedsløsning der kan beskytte imod en komprommiteret PC.

  • 0
  • 0
#22 Peter Mogensen

Når du er nået til det punkt er alle forsvarspunkter alligevel brudt - så betyder det intet om du har et nøglekort eller ej, du skal bare afvente at brugeren logger ind.

Det kommer an på hvilken slags angreb du vil lave. Med engangsnøgler (som på pap-kortet) er du begrænset til MitM-angreb. Du kan kun lave noget sålænge du kan narre brugeren til at indtaste flere nøgler. Med den private nøgle på et device, som den ikke kan forlade og hvor alle krypto-operationer foregår på devicet er du begrænset til kun at kunne gøre noget sålænge den sidder i.

Og i øvrigt forstår jeg ikke hvad du mener med "certifikat" på USB-nøglen. Et sådant er vel offentlig viden under alle omstændigheder.

  • 0
  • 0
#23 Christoffer Kjeldgaard

Jeg var et tilfælde inde og skifte læge på borgerkontoret i Aalborg kommune og skulle bruge en af de PCere der var opstillet til formålet.

Det gav mig en smule paranoia at der frit var adgang til PCens USB-porte og den var logget ind som lokal administrator. Intet ville forhindre mig i at indsætte en USB nøgle og installere en simpel keylogger eller overvågningssoftware der kan fås overalt på nettet og så bare gå hjem og afvente at nogen forsøger at logge på nemID fra PCen.

Alle mine alarmklokker frarådede ihvertfald mig og benytte den opstillede maskine.

  • 0
  • 0
#24 Christoffer Kjeldgaard

@Peter: Du er ikke begrænset til noget som helst når først PCen er komprommitteret. Du behøver ikke opsnappe nogen oplysninger, du kan bare afvente at brugeren selv logger ind og så overtage kontrollen via remote control.

På samme måde med USB nøglen - enten skal du til at lave noget meget omstændigt emulering, som der til dags dato ikke findes noget software der kan og det kommer der heller ikke til at eksistere offentligt. Herefter skal du opsnappe brugerens brugernavn og password, og herefter logge ind selv - eller du kunne bare afvente at brugeren selv logger ind.

I begge tilfælde, kan du ikke logge ind før brugeren selv gør det igen.

  • 0
  • 0
#25 Christoffer Kjeldgaard

@Peter:

Certifikatet kunne være en hashed fil af din private nøgle, der er låst med dit password - det vil sige, for at kunne bruge certifikatet til noget skal du kende brugerens adgangskode og brugernavn - og du skal kunne succesfuldt kunne klone enheden, hvilket må siges ikke at være umuligt, men meget, meget svært. Det er heller ikke umuligt at klone papkortet - f. eks. kunne man tage et billede/video med PCens webcam, som de fleste laptops i dag har, i håbet om at opsnappe en del af en eller flere nøgler. Det er bare om at være kreativ nok.

  • 0
  • 0
#26 Peter Mogensen

Certifikatet kunne være en hashed fil af din private nøgle, der er låst med dit password

Et "certifikat" - ihvertfald når vi i samme åndedrag siger "private nøgle". Er et dokument indeholdende din offentlige nøgle (og noget info om dig), signeret af en pålidelig part, hvem man bør stole på har gjort sig en smule umage for at sikre sig at det faktisk er din offentlige nøgle, der er tale om før de signerer.

Hvis du bruget ordet "cerfitikat" om noget helt andet, så bliver det nogle lange udredninger før folk forstår hvad du siger.

  • 0
  • 0
#27 Peter Mogensen
  • 0
  • 0
Log ind eller Opret konto for at kommentere