NemID's store succes: Kun én netbank-tyv havde heldet med sig i 2011

V2 må altså gerne tjekke de historier de skriver, især fra DANID, hvor mange historier er rent spin. Nemid har jo bevirket stærkt stigende antal netbankindbrud. I de første to kvartaler af 2010 - altså før nemids indførelse, var der 0 - skriver nul - indbrud. De 8 indbrud i 3. kvartal 2011 er altså en mangedoblet forværring af sikkerheden. Dette er endog så meget værre når dette kunne være undgået med passende valg af løsning, og problematikkem med man-in-the-middle angreb i nemid-løsningen har været kendt længe, men blot ikke blevet taget alvorligt af DANID.

Er det en stor succes at gå fra 6 ud af 12 indbrud kommer afsted med penge til 8 ud af 8 ?

Set på situationen ud fra Best-case, så er det en reduktion af indbrud på 33% (4 stk), worstcase er det en fordobling af hvor mange indbrud der lykkes at komme afsted med penge (6/12 vs 8/8).

Hvordan kan man fra Finansrådet gå ud med den melding. Det er jo som i andre her ovenfor beskriver, direkte i modstrid med sandheden.

Hvis man virkelig vil bruge de offentligt kendte sikkerhedshuller i NemID til noget værdifuldt, så stjæler man ikke en krone over Netbank. Man stjæler oplysninger, hvilket er meget mere værd end småpenge man kan komme af sted med at negle. Den professionelle med de rigtige kapaciteter, lader sig ikke fange i at negle lidt småpenge.

Det er altid betænkeligt med mikrofonholderi, som denne artikel. Og man får også den tanke fra overskriften at der kun er tale om et enkelt indbrud, frem for de 8 der har været.

Når det er sagt, så ER sikkerheden altså blevet bedre, fordi de kriminelle ikke har særlig let ved at få fat i mine engangskoder.

Der er stadig en masse problemer med OCES delen, og applet vanviddet, men det ændrer ikke ved at netbank login er blevet mere sikkert pga. papkortet.

Der er 2 mio. danskere som anvender NemID.

For mig at se, er antallet af indbrud langt under hvad der bør afstedkomme panderynker.

Det er da (hvis tallene er rigtige) et rigtigt pænt resultat. Kort svindel oplever jeg alene årligt. Og almindeligt indbrud og tyveri har jeg oplevet 10 gange heraf 6 gange alene i 2007 i Ishøj.

Hvad siger bundlinjen. Hvor mange penge har systemet kostet i udvikling, administration og ekstra besvær. Holdt op i mod de tyverisager som man nu altså har forhindret. Samtidig bør man huske på at systemet jo slet ikke er sikkert i de tilfælde hvor en computer først er virus inficeret (hvilket mange er).

Netop fordi der er så mange brugere i forhold til nationen, kan det for den professionelle hacker være meget interessant at kigge på NemID. Det er sådan at der er over 50 % chance for at ramme en bruger med NemID, hvis man hacker en tilfældig Dansker. Hvis man samtidigt kigger på, hvad de informationer der kan skaffes af den vej har af værdi, så er der et meget stort økonomisk potentiale. I andre artikler, her på Version2, kan man læse hvor enkelt det er at hacke NemID brugere, det er der ikke nogen grund til at tage frem her. Men fordi det er så enkelt at hacke, og fordi NemID giver adgang til så mange oplysninger, er NemID sårbart.

En sniffer med de rette kapaciteter, vil kunne kompromitterer alle i Danmark, også dem med NemID. PET benytter f.eks. sniffer-metoder, der er rettet mod en række mistænkte. Der er ingen grund til at mene, at det ikke også er en mulighed andre benytter sig af, men med et mere suspekt formål.

For en fremmed magt, er der tale om at brugerafgrænsningen i NemID er dejligt komfortabel, hvis man vil vide en masse om Danmark med et negativt formål. Det samme gør sig gældende i forbindelse med anden, ikke direkte økonomiske IT-kriminalitet.

NemID kan IKKE beskytte sig imod at klientstationerne er kompromitteret, for NemID indeholder ikke en fremgangsmåde der kan fortælle noget om den slags. Hvis NemID vil forsøge sig med forskellige løsninger, f.eks. som det også er beskrevet her på Version2, hvordan der "hemmeligt" beregnes checksum i et forsøg på at identificere den enkelte klientstation, vil dette også kunne omgås. I realiteten, kan NemID ikke engang udtale sig om NemID er kompromitteret, for det er ude på de enkelte klientstationer der er åbent for at kompromitterer NemID. At det er muligt at sniffe og at det benyttes, f.eks. også i efterretningsøjemed er kendt og debatteret til hudløshed. Det må jo nærmest anses som uansvarligt smøl, hvis det ikke er noget man har udnyttet til fulde, i det omfang muligheden stilles til rådighed og man har kapaciteten til at løse opgaven.

Relationen, hvor man sammensætter et login som det er gjort med NemID, der giver tilgang til principielt alle borgeres oplysninger, samt den samlede borgermasses økonomi, er sårbarheden i NemID. Det er en alvorlig national situation, som gennem NemID stilles til rådighed.

Der er andre grundlæggende sårbarheder i NemID. Men her har jeg kun taget frem, hvad man i øvrigt kan læse og slutte sig til, her på Version2.

Det er kendt, at der bredt, fra anerkendte internationale sikkerhedsvirksomheder til det Danske Datatilsyn, udtrykkes betænkelighed omkring NemID. Det er fra min synsvinkel, med god grund at man udtrykker denne betænkelighed.

Den lille tyveknægt, er ikke noget stort problem. Han er nærmest selvfanget, hvis man i finanssystemet har styr på hvor pengene er hævet og af hvem. Der er alt mulig grund til at mene, at finanssystemet har styr på den side af sagen, men det er kun en lille del af den samlede NemID løsning.

Glem alt om at papkort, nøglegenerator, eller andre gadges. Det er nærmest en visuel fornøjelig løsning. Men til det formål, er der måske nogen der finder det spændende at lege med. Det er helt andre ting der skal i spil, hvis der skal fremtrylles en løsning på problematikken omkring NemID.

Det vigtige er vel kombinationen af antallet af indbrud og mængden af stjålne penge. Jeg vil heller have en løsning som "tillader" 10 indbrud à 10.000 kr end en løsning som resulterer i 1 indbrud à 100.000 kr.

Det vigtige er vel kombinationen af antallet af indbrud og mængden af stjålne penge. Jeg vil heller have en løsning som "tillader" 10 indbrud à 10.000 kr end en løsning som resulterer i 1 indbrud à 100.000 kr.

Både og, hvis du har et indbrud på Mærsks privat konto, er det nok let at slippe afsted med 100.000, uden det betyder så meget - men er det Carinas kontankthjælps kassekredit man kommer ind på, er det ikke sikkert man overhovedet kan overføre 5.000 kr væk derfra.

Så pengebeløbet der snydes for er kun delvist relevant, da det afhænger af hvad offeret har af værdier.

Dertil kommer der, hvordan vil du værdisætte et angreb der stæler din identitet, eller skriver under på et skøde i dit navn?

Der er stadig en masse problemer med OCES delen, og applet vanviddet, men det ændrer ikke ved at netbank login er blevet mere sikkert pga. papkortet.

Hvis det er papkortet i sig selv som gør løsningen sikker, ville jeg hellere have beholdt min gamle Jyske Netbank løsning (som netop benyttede samme type papkort). Ud over at den gamle var hurtigere og nemmere at bruge, var jeg tidligere aldrig kunne være i tvivl om HVOR jeg skulle/kunne bruge mit login. I dag kan jeg risikere at blive bedt om NemID-login på alle mulige underlige hjemmesider og (blot for at tæske på appletten igen) jeg bliver tilmed tvunget til at gøre min computer mere sårbar end tidligere ved at bruge deres usikre applet.

Uanset hvad, kan jeg ikke se dette som et skrift frem. Det er nok i højere grad 2 - 5 skridt tilbage.

Sammenlignet med OTP løsningen i Jyske Bank (html og javascript baseret), er NemID brugerne tvunget til at have Java installeret i browseren (en sikkerhedsrisiko i sig selv), og brugerne skal køre en signeret Java applet med samme rettigheder som brugeren selv har (f.eks. adgang til ~/.ssh).

Vi kan ikke hos DanID få oplyst hvad denne applet laver, udover at den indsamler ikke-nærmere bestemte oplysninger om vores computere (jeg venter stadig spændt på svar på min anmodning om egenindsigt i de oplysninger som DamID har behandlet om mig). Det har også vist sig at den signerede Java applet i virkeligheden er en boot loader for anden kode, ikke bare Java bytecode, men også native code.

Jeg vil betegne dette som en alvorlig sikkerhedsrisiko for mine computere. Det er muligt at NemID softwaren, som vi er tvunget til at installere, er helt udskyldig og at den ikke skaber en angrebsvektor som kriminelle kan udnytte. Men jeg ved det bare ikke, og det kan ikke kontrolleres på grund af DanIDs hemmelighedskræmmeri.

Sandboxing i en VM er en mulighed, som jeg selv er begyndt at benytte i kombination med et forsøg på at randomisere de oplysninger som NemID softwaren indsamler. Men det er ikke en realistisk løsning for alle. Jeg får også svært ved at benytte min lille netbook til NemID hvis jeg skal efterleve min egen sikkerhedspolitik.

Jeg kan ikke se at NemID er en succes for brugerne.

Een dag efter datatilsynet sætter fokus på yderst kritisable forhold ved NemID konstruktionen, kommer der en pseudoartikel fra bankernes interesseorganisation om hvor "dejligt" systemet fungerer og hvor glade alle er.

Det er ved at blive ret forudsigeligt.

Og som en anden påpeger mht prisen på at minimere svindlen; Jf. statistikken var svindel med netbanker på sin top omkring 6,5 mio kr for et år. Det er på linie med det årlige svind i Bilka ved Århus, som følge af rapseri ol.

Mon Bilka har overvejet at indføre et system, der identificerer de handlende biometrisk ved indgangen og bodyscanner dem ved udgangen, og ledsager hver handlende af en ansat, der tager tingene ned fra hylderne, så kunderne ikke har fysisk kontakt med varerne? Det ville nok kun koste et par hundrede gange mere end svindet, og formodentligt næsten eliminere det, og prisen kan jo bare hældes over på kunderne.

Men det er nok svært at forsvare, medmindre man var det eneste sted der var tilladt at handle..

.. så giv folk 100% dækning for tab, inkl firma'er, det er jo ikke noget problem, vel?

For mig at se, er antallet af indbrud langt under hvad der bør afstedkomme panderynker.

Ja, hvis NemID bare var netbank. Det er desværre ikke bare netbank. Det er skatteoplysninger, medicinske oplysninger og andre fortrolige data. Og så er 8 indbrud aldeles uacceptabelt!

Der er 2 mio. danskere som anvender NemID.

For mig at se, er antallet af indbrud langt under hvad der bør afstedkomme panderynker.

Set i lyset af at der som Morten Saxov skriver

Er det en stor succes at gå fra 6 ud af 12 indbrud kommer afsted med penge til 8 ud af 8 ?

Set på situationen ud fra Best-case, så er det en reduktion af indbrud på 33% (4 stk), worstcase er det en fordobling af hvor mange indbrud der lykkes at komme afsted med penge (6/12 vs 8/8).

er sket en fordobling i succes-raten fra 50% til 100%, synes jeg det er meget betænkeligt!

Som Thomas Hansen så rigtigt skriver i sit indlæg med overskriften

Sikkerheden og antallet af brugerrammen

er problemstillingen reelt en anden og LANGT mere alvorlig. Det er i øvrigt lidt pinligt at radioavisen på DR allerede har henvist til denne artikel og den umiddelbare konklusion, nemlig at antallet af netbank-tyverier har været det laveste siden NemID blev indført.

Kald en spade for en spade. NemID burde -- som i Sverige -- kaldes ved sit reelle navn: BankID. Så ville meget være lettere at diskutere. Så længe, der er så meget spin og mangel på transparens i Nets/DanID/NemIDs ageren, beder man jo om problemer. Det er ikke moderne CSR.

Hvor få indbrud er acceptabelt - og realistisk - i jeres øjne?

I forhold til tyverier fra banker, så har Keld Simonsen redegjort for, hvad der er realistisk og acceptabelt, i det første indlæg.

@Jonathan Jørgensen Du har fuldstændig ret, man glemmer nogle ting, blandt andet den kæmpe gevinst der allerede er realiseret ved digitalisering af de finansielle transaktioner, samt tiltroen til at yderligere digitalisering er nødvendig for at kunne effektivisere yderligere, og dermed imødegå demografiske medarbejderproblemer i både den offentlige og samt finansielle sektor, og her er denne lille dims vældig central.

@ Søren Ørslund. Der er vel ingen her i debatten, som er imod det Digitale samfund. De fordele der er ved den side af sagen, er helt åbenlyse. Det handler ikke om Digitaliseringen, men om hvordan man gør det.

Alle de ting man har kunnet gøre både i forhold til den private sektor og i forhold til den offentlige sektor, kan sagtens fungerer uden man blander dem sammen. Den sårbarhed der opstår når man blander dem sammen, er problematisk. Især fordi man ikke gør det på en sikker måde.

Det er ligeledes problematisk, at man tvinger det igennem, ved at udelukke borgerne fra en del af deres rettigheder over for samfundet, i det omfang at borgeren ikke underkaster sig NemID. F.eks. retten til at få SU.

Man skal holde for øje, at Danid / Netz / NemID, er et privat foretagende, som for længe siden skulle have leveret en sikker løsning, hvilket ikke er sket. Det er en privat virksomhed, der har fået beskyttelse for loven, og loven har været brugt som hjemmel for denne beskyttelse, herunder lovgivningen omkring terror, hvidvaskning og almindelig retspleje. I forhold til almindelig identifikation, er der tale om et tredie person system, det er helt uhørt at man benytter det til identifikation over for myndigheder. I forhold til hvidvaskning, terror og elektronisk krigsførelse, stiller NemID gennem deres usikre system, dette til rådighed, hvor de skulle have beskyttet. Der er nogen basale spille regler i et Demokratisk retssamfund, de skal overholdes.

Alt respekt for at man har vundet en licitation, og sagt at man kan levere en vare. Men når man ikke leverer varen, så må man gøre opmærksom på det, så kunden kan beskytte sig mod den mangel der opstår, og så må man trække sig. Det må være almindelig forretningsetik. Det er jo ikke sådan at der ikke findes en anden leverandør, for det gør der.

Det er heller ikke sådan, at andre gennem kritik, skal være behjælpelig med at opbygge sikkerheden omkring NemID, det er noget der skal være en del af deres fundament, og som de har fået udviklingsstøtte til. Åben nøgle kode, Digital Signatur, og hvad det ellers har været kaldt gennem tiden, er noget der har fået støtte gennem årtier. Der er ikke kun tale om den pris der er betalt omkring NemID, det er en meget lang proces, som har kostet mange penge gennem tiden og det virker fortsat ikke.

Der ligger mange flere basale fejl i NemID, det må forventes at det er noget DanID / Netz eller hvad de nu efterhånden kalder sig selv, er klar over. Så der kan imødeses mange andre og meget store udgifter i fremtiden.

Hvis/når NemID bliver til en sikker løsning, der respekterer retssamfundet, internettet er et anarkistisk system, og internettets frie bevægelighed, så vil det vise sig, at man har haft muligheden for at købe bedre og billigere løsninger. Man kan bare følge lidt med i de internationale tidsskrifter, så vil man kunne finde den slags løsninger. Hele den samlede Danske økonomi, er ikke større end hvad der svarer til en større Europæisk by, så der er masser af andre, der er kommet med den løsning man søger i forbindelse med NemID. Det i sig selv, at man ikke bare har købt en løsning, beskriver en unødvendig merudgift for samfundet.

Det smøl der ligger i, at man ikke allerede har trukket stikket, og er kommet videre med noget som fungerer, er ligeledes en udgift. Danmark bliver hægtet af på et område hvor vi kunne være førende, smøl kommer til at koste samfundet meget mere, end værdien af det sparede.

Så NemID kan let beskrives som en meget stor samfundsudgift. Det har ikke så meget med udgiften til NemID selv at gøre, men de følgeudgifter der påføres samfundet, ved at der ikke leveres en sikker løsning, og at leveringen af den løsning der kommer, trækkes i langdrag. Det koster kassen, for at sige det på godt Dansk.

Et hoved argument der kan være, for at vælge en Dansk løsning, altså at man af hensyn til den nationale sikkerhed vælger en ren Dansk løsning, forudsætter at man kan levere en løsning, der i sikkerhed er på højde med eller overgår andre løsninger. Det er ikke et holdbart argument i forhold til NemID, som netop er sårbart, i bogstaveligste forstand, ud over alle grænser.

NemID bliver udgiftskruen uden ende. Det spinder helt ud af kontrol på alle tænkelige måder. Økonomisk, sikkerhedsteknisk og i forhold til leveringstid som går mod uendeligt.

@Thomas Hansen Ok, lod mig måske påvirke en anelse af maskinestormer stemningen, og er selvfølgelig også selv bekymret overfor monopolet. Jeg tror bare ikke kunden (Økonomistyrelsen) kan bruge kritikken til specielt meget, hvis ikke der er nogle der bliver konkrete i forhold til den kontrakt der er indgået. Det kan være jeg ikke får læst alt, men jeg savner faktisk realiserbare forslag. Som udgangspunkt tror jeg ikke på der findes en løsning der stiller alle tilfredse. Man vil altid skulle vægte sikkerhed, økonomi og brugervenlighed, og vi vægter alle disse tre parametre forskelligt. Danid opfatter resultatet af undersøgelsen positivt fordi de vægter økonomi højt, vi opfatter resultatet negativt fordi vi vægter sikkerhed højt. Kritikken får ofte en form som antyder at dette blot er et spørgsmål om at der sidder de forkerte personer og laver dårlige løsninger, men det mener jeg er manglende respekt, og jeg er sikker på at hvis det blot var et spørgsmål om kompetence var problemerne løst. I debatten har jeg samtidig bemærket at mange pludselig er blevet fortalere for den "gamle" signatur løsning, og det virker som om man helt har glemt den hetz som den løsning var udsat for. Måske kunne den løsning have været forbedret og, hvis kritikken havde været konstruktiv. Mht. tvang (SU problematikken), så er den sag vel ikke så anderledes end at man vel heller ikke kan bestemme hvilket pas eller kørekort man anvender eller hvem der udsteder det. Jeg forstår heller ikke din betragtning omkring leveringstid? har du en opfattelse af at udviklingen af denne løsning skulle stoppe på et tidspunkt, eller hvad er det præcist du opfatter som en deadline?

Søren, jeg giver dig helt ret i at digitalisering og et fælles login har rigtig mange fordele. Men for at vi kan opnå alle fordelene, så er det et krav at det er nemt. Nemid har f.eks. bevirket at jeg forsøger at minimere login på netbanken.

Som det er i dag mener jeg at Nemid er for besværlig og at trygheden er givet på et falsk grundlag. Da man ikke har fuldstændig kontrol over hele systemet, så vil det stadigvæk kunne udsættes for bl.a. phishing angreb og fjernstyring efter at brugeren er logget ind (trojan). Samtidig vil jeg stille mig kritisk overfor spørgsmålet om hvorvidt danskerne opbevarer deres koder og papkort efter retningslinjerne.

Sådan var det nu også med den gamle netbank og jeg kan ikke se et stort problem her. I tilfældet med bankerne så var beløbene "små" og man kunnet sagtens retfærdiggøre at holde forbrugeren skadesløs. Nemid vil næppe betyde at man stopper med at overvåge for suspekte transaktioner.

Nemid har potentialet til at ændre væsentlige dele af vores hverdag. F.eks. kunne man nedlægge fysisk post, fjerne tilknytningen til den faste adresse og øge tilliden for net handel. Men jeg mener altså at det kræver at vi indser at min regning fra "DONG energy" ikke behøver at behandles på niveau med statens sikkerhed. Hvis vi sammenligner med situationen i dag, så er jeg også udsat for at andre kan observere posten på mit skrivebord eller at den havner i en forkert postkasse. Jeg føler ikke at jeg har nogen offentlige data som er særligt følsomme eller interessante for en hacker. Jeg vil faktisk mene at man har adgang til flere følsomme oplysninger hvis man har hacket min computer eller mobil (sms, billeder etc.).

Med nøgleordet "det skal være nemt", så er her et par konkrete foreslag til forbedring:

• Tillad at man som bruger kan godkende et lavere (eller højere) sikkerhedsniveau for enkelte applikationer. F.eks. på sin post, medical-journal eller netbank.
• Tillad at en godkendelse kan knyttes til en enhed+lokation og at en kode kun påkræves ved oprettelse.
• Lad erhvervslivet og forbrugerne tage systemet til sig ved at sænke priserne dramatisk. Eller fjern omkostningen helt. Det ligner monopol på sikker identitet.
• Tillad at man kan generere en kode på sin telefon (i stil med Google 2FA)
• Øg sikkerheden med audit trails (som brugeren kan læse) og info om seneste besøg ved næste login.
• Øg sikkerheden ved at gøre det nemt at se hvilke enheder som benyttes og hvornår (i stil med Google 2FA og Facebook).
• Øg sikkerheden ved at informere om logins på SMS/Apple-Push beskeder.
• Øg sikkerheden ved at tillade at folk kan godkende enkelte transaktioner (som f.eks. en bankoverførsel) via deres mobil telefon.

Lige til slut.. Jeg har faktisk stor respekt for både politikere og udviklerne som har turde ligge deres hoved på blokken og sikret os et mere digitalt Danmark. Nu skal blikket bare rettes mod version 2 ;-)

her et par konkrete foreslag til forbedring:

Dejligt at der endelig er nogen, der starter en konstruktiv debat! Jeg er helt enig i de fleste af dine forslag. Især har jeg undret mig meget over, at man både ved den gamle og den nye Digitale Signatur ikke valgte at frikøbe private virksomheder også. Ganske vist giver den nuværende ordning DanID et incitament til at tilskynde private virksomheder til at bruge ordningen, men jeg tror ikke det opvejer den lavere tilslutning på grund af den forholdsvis høje pris.

Jeg synes at en mulighed for at graduere sikkerhedsniveauet er en rigtig god ide. Man kan diskutere, om det er brugeren eller service-udbyderen, der skal bestemme niveauet - måske skal det være det laveste niveau, som begge accepterer? - men det giver altså ikke helt mening, at man skal bruge stærkere autentificering for at se billeder fra børnehaven end for at se sin konto-oplysninger.

Mht. audit-trails, hvad savner du så i forhold til hvad der er tilgængelig på NemID.nu (under hændelseslog)?

Jeg kan godt se det praktiske i at have nøgleviser på mobiltelefonen, men jeg kan altså også godt se det fornuftige i DanIDs argumenter. Man ser alt for tit - især på Android - udbrud af malware apps, og en sådan ville trivielt kunne kompromitere en mobiltelefon-nøgleviser.

Dejligt at der endelig er nogen, der starter en konstruktiv debat!

Bare lige til orientering - denne debat er på ingen måde ny, den har efterhånden kørt i noget med 5 år, og adskillige dygtige og vidende fagfolk har været på banen med tonsvis af konstruktive forslag.

Desværre er alle argumenter blevet tromlet over, hvorfor der nu kun er at vente på den totale katastrofe, som er evident, og vi kun kan håbe sker før end senere.