NemID's Java-hul: Din bank kan snage i alt på din harddisk

Den Java-applet, som bruges af NemID, giver alle de myndigheder og virksomheder, som understøtter NemID, adgang til at snage i brugernes private data på pc'en.

Hvis du anvender den nye digitale signatur NemID, så giver du samtidig banker, forsikringsselskaber og myndigheder adgang til at snage i de data, der ligger på din pc. Det mener It-Politisk Forening, som kritiserer det design, der ligger bag NemID.

»Det er konsekvensen af den tekniske løsning, og den måde Oracle har opbygget deres Java-appletter på,« udtaler kasserer Jørgen Elgaard Larsen fra It-Politisk Forening i en pressemeddelelse.

Problemet er ifølge Jørgen Elgaard Larsen, at NemID anvender en Java-applet, som kører på brugerens pc. Da Java-appletter først blev designet, valgte man dengang hos Sun, at der kun skulle være to niveauer af sikkerhed.

Enten kunne appletten kun køre inden for en sandkasse i browseren, eller også kunne appletten signeres, så brugeren kunne godkende, at appletten fik adgang til systemet med samme rettigheder som brugeren. Det sidste kan blandt andet bruges til at give appletten adgang til at hente filer, som ligger lokalt på pc'en.

Det er også den sikkerhedsindstilling, som ifølge It-Politisk Forening anvendes af NemID. Og det er et problem, fordi det giver alle NemID's kunder, som omfatter virksomheder og myndigheder, fuld adgang til at se brugerens filer.

Samtidig vil det også være muligt for de virksomheder og myndigheder, som har adgang til NemID at installere programmer på brugerens pc.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (95)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Brian Matzon

Såfremt at der ikke er generiske read/write rutiner samt behørig noscript, sealed access samt brug af java u20+ (den nye sandbox del), kan jeg altså ikke se problemet...

Det eneste angrebs vektor jeg lige ser, er hvis brugen har fået noget "snavs" i sin JREs classpath - men så var brugeren jo allerede kompromitteret.

  • 0
  • 0
Vijay Prasad

Men forudsætter det ikke at den applet, som DanId distribuerer har en funktionalitet, der gør det muligt at læse mine filer?

Jeg troede at NemID var en løsning hvor nøglen lå hos DanID, og hvor det hele skulle gøres så nemt så muligt at alle kunne benytte det på alle browsere (mange mobile browsere forestiller jeg mig ikke har Java - men understøttelse af standard-certifikater).

Hvorfor anvendes der overhovedet en applet i løsningen?

Mvh,

  • 0
  • 0
Henrik Stig Jørgensen

Tak til IT-politisk forening for at vise interesse for sagen. Jeg har længe undret mig over at diverse IT faggrupper har været så tavse i denne sag.

Jeg håber samtidig at IT-politisk forening vil følge op på dette samt udvide deres kritik, da dette jo kun er en del af problemet; Java-appletten krænker folks privatliv og giver DanID og deres kunder mulighed for at stjæle alle filer fra deres computer, men det helt store problem er at NemID også giver DanID mulighed for at overtage folks identitet, altså udgive sig for at være dig, hive alle oplysninger om dig ud af de offentlige services og netbanker, samt lave transaktioner i dit navn. Og alt dette kan de gøre uden at det på nogen måde kan bevises at det ikke var dig selv.

  • 0
  • 0
Lars Lundin

Jeg troede at NemID var en løsning hvor nøglen lå hos DanID, og hvor det hele skulle gøres så nemt så muligt at alle kunne benytte det på alle browsere (mange mobile browsere forestiller jeg mig ikke har Java - men understøttelse af standard-certifikater).

Ja, på min Nokia N900 kan jeg ikke bruge NemID, selvom jeg ville - men jeg kan godt logge ind på min tyske netbank, den er nemlig SSL-baseret og kræver ikke at kunne snage i mine private filer.

  • 0
  • 0
Ole Wolf

Det lyder, som om DanID er i konflikt med Persondataloven med sin løsning, mere præcist §6 stk. 2. Endvidere kan DanID være i konflikt med §6 stk. 4, såfremt brugeren benytter NemID til login på f.eks. sin fagforenings hjemmeside, i sundhedssektoren, til offentlige ydelser, m.v.

Såfremt f.eks. en bank overvåger brugerens transaktioner, som ikke direkte vedrører den specifikke bank, vil den pågældende bank også bryde Persondataloven, men det er et problem, at DanID gør det muligt for dem.

  • 0
  • 0
Henrik Stig Jørgensen

@Ole

Tag et kig på persondatalovens §41 stk. 3:

Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.

Den dataansvarlige er staten.

Databehandleren kan enten være staten eller borgeren.

Den uvedkommende er DanID, som er en kommerciel tredjepart, der overhovedet ikke har noget belæg for at skulle kunne have kendskab til personhenførbare informationer om borgere.

Systemet er helt og aldeles, grundlæggende fejldesignet uden nogen form for sikkerhed. Skaden er sket - den blev forvoldt d. 1. juli 2010 da man gav DanID fuld, uindskrænket adgang til alle det offentliges databaser og borgeres online identitet.

Nu gælder det om at få standset ulykken.

  • 0
  • 0
Ole Wolf

Ja, §41 stk. 3 går det heller ikke for godt med.

Det er dog ikke helt entydigt hvilken rolle, DanID opfylder. Når det handler om identifikation og autorisation, kan man sige, at DanID fungerer som databehandler; dog ikke direkte med personlige data såsom f.eks. skat, sundhed, som behandles af andre databehandlere.

Endvidere kan man også godt sige, at når DanID gør det muligt for enhver tilkoblet myndighed at tilgå brugerens data via DanIDs software, så bliver DanID reelt til en databehandler - og vel at mærke en databehandler, der ikke har bemyndigelse til denne behandling af brugernes data. Det betyder rent effektivt, at DanID er en tredjemand, som påtager sig rollen som databehandler uden den registreredes samtykke. Og så bliver der vist trådt grundigt på §42 også.

Og når nu vi er i gang, så kan DanIDs beslutning om at installere software <i>på trods af forsikringer om det modsatte</i> opfattes som et udtryk for, at DanID gør sig til dataansvarlig, idet DanID på egen hånd har besluttet sig for hjælpemidler for behandlingen af oplysninger.

  • 0
  • 0
Ole Wolf

Henrik: Jeg synes ikke, du kan sammenligne det med en ISP, når vi taler om en virksomhed, der sidder med personlige oplysninger på en person og bruger disse data som en service, således at andre kan få oplyst, at en bestemt person er den, vedkommende udgiver sig for.

Men som jeg også sagde, så er DanID ikke en databehandler i de øvrige former for varetagelse af brugernes data; f.eks. er DanID ikke databehandler i f.eks. banktransaktioner m.v.

Også i forhold til skabelsen af en utilsigtet datakommunikationskanal kan du ikke sammenligne det med en ISP. Hvis du skulle drage en sammenligning med en ISP, ville det være mere i stil med, at den pågældende ISP f.eks. have et hul ind til ISP'ens regningsopkrævning, som andre kunne benytte sig af.

Bortset fra det, så er jeg enig i din betragtning omkring §41 stk. 3. Den falder dog ikke tilbage på DanID, men derimod pga. dataansvarligheden på formentlig Videnskabsministeriet.

  • 0
  • 0
Jørgen A Thomsen

Dette er virkelig uhyggeligt.

NemID er et system som stort set alle danskere bliver nødt til at bruge.

Det er indlysende, at PET,FET og politiet lynhurtigt ser mulighederne i en total overvågning af borgerne ved via NemIDs applet at installere spionsoftwrare på alle PCer, som kan aktiveres efter behov.

Konsekvensen af dette er, at man skal have en speciel PC, der udelukkende anvendes til login med NemID, og hvor personlige data omgående flyttes fra denne maskine til en anden maskine.

  • 0
  • 0
Jesper Mørch

Måske man skulle starte en bevægelse imod NemID, der leder frem til en politianmeldelse af samtlige ansvarlige parter i sikkerheds-farcen omkring nemID...
Der er jo indtil flere punkter af Persondata-loven som tydeligvis overtrædes, og det bliver ikke bedre af at klient-sikkerheden forringes til langt under hvad den er for Den Digitale Signatur (OCES-signaturen med privat nøgle).

Det virker som om NemID fejler på samtlige sikkerhedspunkter, inklusive de enkelte områder hvor sikkerheden påstås at være højere end den tidligere løsning.

Man kunne forestille sig at arkitekturen bag NemID måske blev gennemgået af folk med interesse i sikkerhed i stedet for kun af folk med interesse i profitmaksimering, hvis alt omkring NemID blev trukket i retten.

Tænk på at sagen med dokumentformater var ved at vælte den tidl. videnskabsminister - som dermed kunne have trukket hele regeringen med sig i faldet.
NemID har mindst lige så stort potentiale, og kan samtidig trække et par andre ting med sig i faldet. Det kan i sidste ende få en ganske gavnlig virkning på både erhvervsliv, konkurrence-evne og privatliv, men det kræver stadig at folk gør noget ved det, i stedet for blot at læne sig tilbage, brokke sig lidt og derefter installere skidtet...

  • 0
  • 0
Jørgen A Thomsen

Både Ivan Damgård og NemID tager udgangspunkt i "Den gode stat", som aldrig kunne tænke sig at indføre noget, der kunne give større kontrol med borgerne (og forbyde NemID at tale om det). Danmark har ifølge flere undersøgelser den mest naive befolkning.

Hvordan er det nu lige med hastighedskameraerne som politikerne nu med jubel vil sætte op i tusindtal over hele landet ?

  • 0
  • 0
Henrik Pedersen

Det vil desværre ikke være tilstrækkeligt at have en speciel PC, der udelukkende benyttes til NemID. Sikkerheden - eller rettere manglen på samme - liger netop ikke på din egen PC, men i hele NemIDs arkitektur.

Jeg tror nu han mente at politiet ville udnytte NemID's applet til at få adgang til dine filer på den lokale computer.

Jeg må også indrømme at det her ikke lyder særligt betryggende og jeg ser da frem til at ligge i telefonkrig med diverse offentlige tjenester den dag hvor vi får besked på at anvende NemID.

Jeg har ikke tænkt mig at lade nogen i min familie gå i fælden på dem hvis jeg kan forhindre det, og det er da en start.

Andre der er friske på at lave en AntiNemID.dk eller tilsvarende side? Jeg er frisk på at deltage i alle projekter imod denne skændsel på dansk samfund!

  • 0
  • 0
Jesper Mørch

Andre der er friske på at lave en AntiNemID.dk eller tilsvarende side? Jeg er frisk på at deltage i alle projekter imod denne skændsel på dansk samfund!

Count me in...
Ikke fordi jeg ønsker at vælte ministre, men fordi Danmark er bedre tjent uden en STASI-lignende overvågning af den danske befolkning - foretaget i profitmaksimeringens hellige navn...

edit
Hvad med at få teknologi-kyndige folk ind på Christiansborg... Man kunne jo gå massivt ind i et enkelt parti (eller oprette et selv) med det formål at få folk ind, der ved noget om konsekvenserne af den tredjedel eller mere af lovgivningen som direkte eller indirekte griber ind i IT og højteknologi.

  • 0
  • 0
Henrik Pedersen

Ikke se så negativt på det Claus, vi er mange IT kyndige mennesker herinde, og jeg er ret sikker på at man godt ville kunne sparke en ordentlig debat igang...

Jeg er langt fra den bedste til sådan et iværksætter projekt men jeg vil nu alligevel ligge det op som en mulighed til andre herinde, da der vidst ingen tvivl er om at NemID skal ned, og det skal være hurtigst muligt.

Der var også en der nævnte DR kontant. Medierne er jo også en mulighed for at skaffe support til en sådan side. Facebook støttesider, så man indiltrerede de sociale tjenester også. Jeg tror ikke den almene dansker ville være særligt glad for at folkene bag NemID

  1. Overtræder mindst 5 forskellige paragraffer, som jeg har set det nævnt i debatten herinde.
  2. Ville kunne udgive sig for at være personen selv og indgå digitale, men stadig juridisk bindende kontrakter.
  3. Skaber sikkerheds huller på brugerens computer ved brug af Appleten.
  4. Generelt anvender et dumt design (her ville lidt pædagogisk forklaring hjælpe,) men jeg er sikker på at det at der bliver anvendt papkort også ville trække en del ned, selv for den gennemsnitlige borger.
  5. Her kommer vi til den med banken skulle genkende dig på stemmen. Betryggende er alt hvad jeg vil sige til det...
  • Indsæt selv flere, eller korriger mig om nødvendigt, tog dem bare lige hurtigt ud af mit trætte hoved :)

EDIT Bemærkede lige at du nok mente det med at gå ind i folketinget, jeg undskylder min fejllæsning.

Du har nok ret i det ville blive svært, men hvis det var det der skulle til, så tror jeg godt at det kunne lade sig gøre. Det er bare et spørgsmål om hvornår vi når til det punkt, hvor en tilstrækkelig mængde personer siger stop og gør noget ved problemet.

  • 0
  • 0
Claus Bruun

@Henrik

Det var nu ikke folketinget, jeg mente. Jeg tror det er langt vigtigere at få den "alm." befolkning til at forstå, hvad der er ved at ske, og de konsekvenser det vil have.

Det langt fra nok at have teknikken dækket. Jeg tror med de folk, som debattere på computerworld, version2 mv., er vi godt dækket ind teknisk.

Det er dog lige så vigtig at være dækket ind juridisk for at kunne forestille sig de argumenter, der kan komme op - argumenter som en tekniker slet ikke vil kunne forestille sig ...

Og måske det vigtigste, det er meget vigtigt, at vi får kommunikeret dette rigtigt - ligenu er det kun teknik for teknikere - vi skal ud og have fat i den "alm." befolkning med korrekte og let forståelige argumenter. Med al respekt for Stephan Engberg (som jeg har lært meget af), har vi den forbindelse ikke brug for den type svadaer, men let forståelige argumenter gerne illusteret med tegninger og figurer, som klart fortæller folk, hvad der er galt, hvorfor det er et problem, og hvad det konkret kan betyde for dem.

  • 0
  • 0
Claus Bruun

@Henrik

Det var nu ikke folketinget, jeg mente. Jeg tror det er langt vigtigere at få den "alm." befolkning til at forstå, hvad der er ved at ske, og de konsekvenser det vil have.

Det langt fra nok at have teknikken dækket. Jeg tror med de folk, som debattere på computerworld, version2 mv., er vi godt dækket ind teknisk.

Det er dog lige så vigtig at være dækket ind juridisk for at kunne forestille sig de argumenter, der kan komme op - argumenter som en tekniker slet ikke vil kunne forestille sig ...

Og måske det vigtigste, det er meget vigtigt, at vi får kommunikeret dette rigtigt - ligenu er det kun teknik for teknikere - vi skal ud og have fat i den "alm." befolkning med korrekte og let forståelige argumenter. Med al respekt for Stephan Engberg (som jeg har lært meget af), har vi den forbindelse ikke brug for den type svadaer, men let forståelige argumenter gerne illusteret med tegninger og figurer, som klart fortæller folk, hvad der er galt, hvorfor det er et problem, og hvad det konkret kan betyde for dem.

  • 0
  • 0
Maxx Frøstrup

Jamen dejligt initiativ.

Min personlige mening og "FUD" ingangsvinkel er Case study 2 i Stephans lille bog om de overvågede som er lagt her:http://www.taenk.dk/upl/cms/5/2645_Deovervaagede.pdf

Casen på side 68 synes jeg er den mest interressante fordi den kør lige til benet og jeg tror faktisk den rammer rigtig mange i det danske land. Med tanken på at mange "almindelig mennesker" synes at finde det okay at svindle lidt med sin forsikrings krav ved uheld kombineret med Sort arbejde er okay nogle gange hos hr og fru Jensen.

Så tror jeg egentlig at når man understreger at med nemid behøver banken/forsikringen/Tinglysningen sandsynligvis slet ikke spørge om lov først fordi du allerede har accepteret dataindsamlingen ved at bruge NemID.

Jeg synes at have kigget meget nøje efter en klar og uafviselig bemærkning der siger at de forskellige steder ikke kan udveksle data bag din ryg. Men jeg har endnu ikke set den.
Jeg ser dog meget i retning af, jamen det gør vi da ikke fordi det vi ikke.... Og det kan jeg som almindelig person ikke bruge til en skid. Det svarer lidt til at sige vi snyder ikke fordi det må vi ikke (hvad er det nu lige vi skal bruge politiet til?).

Men hvis der kom noget mere folkeligt tilgængeligt som ikke bare kan fejes af vejen med: Sludder, vi det må vi ikke, så det sker ikke. Så har jeg en god håndfuld mennesker jeg vil diregere den vej.

Men da jeg i sociale sammenhæng er nørden og den mærkelige med de vilde ideer, kræver det folkelig accept, ellers spilder jeg den eneste chance jeg får. Så jeg ser gerne et initiativ Claus.

Hov, spørg da Stephan om ikke du må bruge udlæg fra den bog, den er for tung for min mor til hun får læst den fra ende til anden.

  • 0
  • 0
Claus Bruun

Sådan noget som case'ene i "De overvågede" var netop, hvad jeg havde i tankerne. Og lige så vigtigt: illustationer af, hvad/hvorfor det går galt, på et niveau at de flere kan videreforklare...

Hvis man kan lave nogle illustrstioner, der på et A4 ark kan fange folks interesse og samtidig forklare virkeligheden, så det kan huskes; ville være guld værd. "De overvågede" er nok noget af det bedste, jeg har set, men det kræver en masse læsning og der er stort set ingen illustrationer.

  • 0
  • 0
Claus Bruun

Sådan noget som case'ene i "De overvågede" var netop, hvad jeg havde i tankerne. Og lige så vigtigt: illustationer af, hvad/hvorfor det går galt, på et niveau at de flere kan videreforklare...

Hvis man kan lave nogle illustrstioner, der på et A4 ark kan fange folks interesse og samtidig forklare virkeligheden, så det kan huskes; ville være guld værd. "De overvågede" er nok noget af det bedste, jeg har set, men det kræver en masse læsning og der er stort set ingen illustrationer.

  • 0
  • 0
Henrik Pedersen

Det lyder efter min mening som en rigtig god idé, jeg er som sagt langt fra god til den slags.

Jeg holder dog stadig fast i en form for hjemmeside, og har overvejet at købe et domæne hjem. For selvom der er bred enighed blandt os teknisk orienterede personer, så mangler vi at få samlet den enighed på et sted, så politikere og medier kan se at vi rent faktisk mener det her. Så kan der selvfølgelig også være andre initiativer til at få resten af befolkningen med men det her kunne bakke op. Der er ingen grund til at kun at have et våben på banen, når vi rent faktisk er oppe mod en statslig løsning.

<sarkasme>
Alternativt kan vi starte en fond til at hyre kinesiske hackere som planter en af de mest avancerede virusser på markedet, som så trænger ind i NemID's datacentre, sletter ALT og brænder serverene ned til grunden.
Eventuelt med en aftale om de godt må lænse kontoerne for dem der står bag NemID og sørge for alt de ejer bliver solgt.
</sarkasme>

  • 0
  • 0
Thomas Petersen

Jeg syntes godt nok mange mennesker er rigtig bange for "overvågningssamfundet" - hvad skjuler i?

Eller der er ren paranonia over at en eller anden myndighed skulle snige sig ind på din PC og snuse til hvad der lå?

Jeg syntes ærlig talt at mit liv er for kort til denne paranoia, hvis myndigheder vil ind på din PC, så gør det det - det behøver de slet ikke en bagdør i nemID til....

Hvad skjuler i, siden i er så bekymrede?

Jeg troede ellers at linuxentusiaster og open source tilhængere gik ind for åbenhed? :-)

Jeg har ingen betænkeligheder ved at ligge min harddisk online - har du? For helt ærligt, der er sku ikke noget særlig spændende på den....

  • 0
  • 0
Anders Thorseth

Al ære til underskriftindsamlinger og internetafstemninger, men nu var det viden og fakta, jeg snakkede om. Dokumenter, lister og tabeller er der rig mulighed for på wikipedia. Samtidig gør deres regler at partsindlæg, som feks. dit link er fuld af, kan slettes. Hvis jeg vil læse vrede blogindlæg kan jeg gå på ing.dk, hvor sådan en opførsel nyder fremme.

  • 0
  • 0
Jesper Mørch

Jeg syntes godt nok mange mennesker er rigtig bange for "overvågningssamfundet" - hvad skjuler i?

På nuværende tidspunkt nok ikke noget der ikke kan tåle offentlighedens lys, men hvad sker der om 5 år, når folk har vænnet sig til at alle virksomheder har krav på at kunne tilgå alt hvad du foretager dig online?

I forvejen har IFPI & APG fået tvunget et børneporno-filter ned over os - selvom enhver med blot minimalt kendskab til IT naturligvis ville benytte services som allerede er skjult for offentligheden... Det er jo ikke fordi den slags først er blevet ulovligt i sidste uge...

På den måde har vi allerede vænnet os til at myndighederne på den måde har ret til at censurere vores gøren og laden på internet.
Med terror-loven i hånden kan andre allerede nu fratage dig din personlige frihed alene ved mistanke om at du måske foretager dig noget som nogen ikke kan lide.

Det er et skråplan, en glidebane uden lige.
Med NemID bliver det endnu værre, da det ikke blot er det offentlige, men en kapital-styret virksomhed med profitmaksimering som drivkraften bag alle tiltag.
Google og Facebook tjener allerede gode penge på profilering af brugere...

Derudover er det meget uheldigt når en profit-virksomhed får monopol på sikker kommunikation i en hel nation, imens systemet er omgærdet af hemmelighedskræmmeri.
De dele af systemet som er blevet offentligt kendt, har alle sammen været skole-eksempler på hvordan man IKKE skal designe sikker kommunikation. Samtlige punkter som er blevet offentligt tilgængelige har vist sig at kunne misbruges til overvågning...

Jeg har ingen betænkeligheder ved at ligge min harddisk online - har du? For helt ærligt, der er sku ikke noget særlig spændende på den....

I så fald behøver du heller ikke en firewall på din computer, for der er sikkert ingen som er interesseret i at bruge din maskine som spam-relaying proxy eller som central for distribution af børneporno...

Det er ikke så meget et spørgsmål om hvad der beviseligt sker lige nu, som det er et spørgsmål om at forhindre misbrug i fremtiden... Et misbrug som fratager dig din identitet, men hvor DU SELV skal bevise at du IKKE har foretaget dig et eller andet, f.eks. købt 4 huse, overtaget IT-Factory for 200 mia, købt for 20 mio islandske kroner til kurs 100 etc.

Kald mig bare paranoid, men NemID tigger og beder om at blive misbrugt på lige præcis den måde... DERFOR er vi mange som er imod den måde befolkningen bliver vildledt og manipuleret på, for at lave så stor magtkoncentration som muligt - hos et kapital-drevet privat A/S.

There is no such thing as a free meal...
Alle er til salg, det er blot et spørgsmål om prisen...

På den baggrund giver det mening at være skeptisk!

  • 0
  • 0
Claus Bruun

Det var også een af grundene til at undgå wiki.

Jeg gider ikke en laaaang diskussion og flueknepperi om objektivitet/subjektivitet. Alt efter hvordan man ser det, er alt subjektivt - også det indlæg du netop har formuleret.

Jeg kan godt skrive noget på wiki, som er rigtigt (fact) uden at kunne komme med referencer eller henvisninger. Ellers ville der ikke være nogen innovation. Det kunne også være, at jeg var det eneste vidne eller den eneste, som kunne huske det. Men det bliver det ikke mere eller mindre rigtigt af.

Det er min holding, og der kommer ikke flere kommentarer på det, da denne diskussion ikke høre til under dette emne.

  • 0
  • 0
Jørgen A Thomsen

@Thomas Petersen

Hvad skjuler i, siden i er så bekymrede?

Prøv at læse

http://www.taenk.dk/upl/cms/5/2645_Deovervaagede.pdf

Det burde få alle 'jeg har intet at skjule'-personer til grundigt at overveje deres efter min mening noget uigennemtænkte holdning.

Hvad der er lovligt i dag er ulovligt i morgen.
Det kan der nævnes flere eksempler på fra de sidste 50 års lovgivning, senest knivloven.

Så kan det være, du lige pludselig blev ret ked af, at hele dit privatliv stod til skue for enhver.

  • 0
  • 0
Henrik Pedersen

Det kan være jeg registrerer det en af de kommende dage så, men skal lige have et par dyre varer igennem tolden først og få betalt regningen :(

Jeg syntes godt nok mange mennesker er rigtig bange for "overvågningssamfundet" - hvad skjuler i?

Eller der er ren paranonia over at en eller anden myndighed skulle snige sig ind på din PC og snuse til hvad der lå?

Det kan godt være du ikke har noget imod at alle og enhver kan tilttvinge sig adgang til din computer men jeg har da nogle nøglefiler, noget kode for mine klienter, og faktisk også noget software der styrer alting på mit værelse (ville ikke være så fedt hvis det gik amok mens jeg var væk). Jeg ønsker da heller ikke at folk kan sidde og se mine chatlogs, mails og private billeder.

Ja ja sikke et argument med de nok skulle få adgang. Hvad gør den danske regering mod AES-256 bit, med preboot autentikation? Hvis de kan bryde den, så synes jeg at vi alle bør give dem i bravende bifald.

Men jeg har intet som ikke må være på mine harddiske. Jeg holder bare på min ret til privatliv, ligesom der også skal en masse kendelser til at måtte trænge ind på din ejendom. Desuden er jeg af den klare overbevisning at hvis politiet kan gøre det, så kan de kriminelle også.

Tag fx det med brugen af låsesmede hos politiet. Så sent som for et par timer siden, tog jeg en guide på Youtube i at lave en bankenøgle fordi mine forældre var på arbejde, og de havde nøglen til postkassen, og jeg vidste der ville komme en pakke.

Det samme princip gælder for digital sikkerhed. Hvis de gode kan, hvorfor kan de onde så ikke også?

Hvis jeg i øvrigt registrerer sådan en side, er der mon så nogle der vil bidrage med indhold? Jeg kan selv klare xhtml, css, client side og server side scripting og alt det. Mere et spørgsmål om reel let forståeligt indhold, især da jeg går ind i et nyt skoleår i morgen, i form af 9C. Så mit skema vil være lidt presset.
Hvis nogle skulle komme mig i forkøbet, så tilbyder jeg også gerne hjælp dertil.

Og så en lille tanke. Hvad med stopnem.id ?

EDIT Jeg er sørme god til mit hjemmearbejde idag. *.id kan åbenbart ikke registreres, stryg den ... Men lader den alligevel stå som inspiration til andre.

  • 0
  • 0
Ebbe Hansen

Jeg har ingen betænkeligheder ved at ligge min harddisk online - har du? For helt ærligt, der er sku ikke noget særlig spændende på den....

Har du lige formateret din harddisk?

Ellers kan jeg sagtens finde ting og sager på den.

Der ligger private breve. Der ligger fotos af hele familien. Der ligger musik til en mp3spiller. der ligger links til alle de hjemmesider, du har besøgt de sidste mange dage. Der ligger mail. Der ligger software, hvor licenserne kan kopieres (selv windows, officepakke og andet sjovt). Bliver sådan en licens aktiveret holder den måske op med at virke på din pc.

Kort sagt. Der ligger til enhver tid materiale nok på en sådan harddisk til at den - i de forkerte hænder - kan ødelægge livet for dig og dine.

Ikke fordi du skjuler noget. Kun fordi det ikke er alle, der vil dig noget godt.

  • 0
  • 0
Troels Mikkelsen

Det lyder på mange af de ovenstående indlæg som om, at appletten, så snart den er startet og godkendt, giver DanID 1) fuld adgang til alle filer på brugerens computer, og 2) DanID adgang til at installere diverse programmer på brugerens computer. Kan det passe? @1 vil DanID kunne se f.eks indholdet af /, /Users og /usr på en *NIX-computer og @2) vil DanID kunne installere software der starter med computeren efter et reboot, uden at brugeren promptes for sit password?

  • 0
  • 0
Jesper Mørch

Uden at have efterprøvet det, vil jeg gætte på at en velfungerende og sikker(?) Java kun vil give adgang til dét som du kan tilgå som almindelig bruger uden at angive andre passwords.
Men det betyder ikke at jeg dermed stoler på Java og Java-appletter, signerede eller ej.

Heldigvis kan man normalt slagte java-ting med:
killall java
eller noget i den retning, afhængig af hvilken af de aktuelle eksekverbare java-filer der kører.

Er der ikke tale om en JAR-fil i den NemID-applet? For 7-8 år siden kunne JAR-filer åbnes i bl.a. Borland JBuilder, men det er mange år siden nu, og jeg har ikke rigtig fuldt med i udviklingen af Java-IDE'er, så jeg vil ikke gøre mig klog på hvad de kan åbnes med i dag.

  • 0
  • 0
Michael Degn

@Jesper

Medmindre der er et sikkerhedshul som kan udnyttes, vil java-appletten ikke kunne få højere rettigheder end brugeren. Det er dog slemt nok alligevel. På mange Linux systemer er der dog Apparmor og eller SELinux, som hjælper på sikkerheden, så hele systemet ikke kan kompromitteres.

Jeg har ikke NemID og ønsker heller ikke at få det, så ved ikke om der er tale om en jar-fil. Hvis det er tilfældet så er det nemt at åbne den, da det jo blot er en pakket fil. Enten kan den åbnes med f.eks. Arkivhåndteringsprogrammet eller med kommandoen:
[code=bash]unzip <filnavn>.jar[/code]
Indholdet kan så studeres i f.eks. Bluefish.

  • 0
  • 0
Thomas Petersen

Der skrives: "Der ligger private breve. Der ligger fotos af hele familien. Der ligger musik til en mp3spiller. der ligger links til alle de hjemmesider, du har besøgt de sidste mange dage. Der ligger mail. Der ligger software, hvor licenserne kan kopieres (selv windows, officepakke og andet sjovt). Bliver sådan en licens aktiveret holder den måske op med at virke på din pc."

Det er jo lige præcis det jeg mener - der ligger intet af værdi for en virksomhed eller myndighed.
Tror i virkelig at virksomheder og myndigheder ansætter ressourcer til at kigge dine private billeder igennem - så er i godt nok for langt ude.
Det er muligt at de kan (mon ikke de hele tiden har haft muligheden) men hvorfor skulle de??

"Kort sagt. Der ligger til enhver tid materiale nok på en sådan harddisk til at den - i de forkerte hænder - kan ødelægge livet for dig og dine."

Hvis dit liv bliver ødelagt af dette, så har du ikke noget liv. Tag dog at lave noget andet end at sidde foran skærmem!

  • 0
  • 0
Ole Wolf

Thomas: Hvis du mener, at den slags oplysninger ikke har værdi, så har du muligvis overset, hvorfor f.eks. Google er så succesfuld.

Virksomheder og myndigheder er heller ikke altid lige stuerene, og holder sig ikke tilbage fra at forholde sig til en persons private forhold (breve), afpresning (fotos), trusler (anklager om copyrightbrud, når en fil ender på .mp3), osv.

Når du skriver mails med en ven, hvor du snakker lidt om dine ønsker for tilværelsen, kan forkerte ord forhindre dit næste banklån.

  • 0
  • 0
Thomas Petersen

Der skrives: "Virksomheder og myndigheder er heller ikke altid lige stuerene, og holder sig ikke tilbage fra at forholde sig til en persons private forhold (breve), afpresning (fotos), trusler (anklager om copyrightbrud, når en fil ender på .mp3), osv.

Når du skriver mails med en ven, hvor du snakker lidt om dine ønsker for tilværelsen, kan forkerte ord forhindre dit næste banklån"

Hvis i virkelig er så paranoide, så bør i slet ikke ha' en internetopkobling....
Jeg syntes denne debat er for langt ude, alt for mistroisk og paranoid, og ærlig talt så bryder jeg mig ikke om det menneskesyn der fremvises her.
Naivt - måske, men tror i virkelig virksomheder gider kaste uanede ressourcer efter at snage i jeres billeder, private billeder og ligegyldige mails? De kan jo bare nøjes med jeres facebookprofil, hvor folk alligevel efterhånden deler rundhåndet ud af disse informationer.

Jeg kan forstå bekymringen, at kriminelle kan få adgang til webbank ect. men der er jeg som forbruger beskyttet. Så jeg forstår ærlig talt ikke i gider bruger så meget krudt på det.

  • 0
  • 0
Mathias Rangel Wulff

For at stoppe min følelse af ren afmagt har jeg købt

Stop-nemID.dk

Hvor jeg agter at tydeliggøre problemerne med den måde nemID er implementeret på og hvorfor det ikke er godt at alle tvinges til at bruge den. For at kunne samle trådene lidt for hvilket indhold der skal være på siden har jeg lavet et google dock på

www.kortlink.dk/7zv4

hvor i meget meget gerne må hjælpe med hvad der skal med.

Jo flere der tilføjer jo bedre...

Målet er at skabe så meget debat om nemID at politikkerne indser at det ikke går at tvinge løsningen ned over folk og at der bør være alternativer til at kommunikere med det offentlige.

  • 0
  • 0
Jesper Mørch

Hvis i virkelig er så paranoide, så bør i slet ikke ha' en internetopkobling....
Jeg syntes denne debat er for langt ude, alt for mistroisk og paranoid, og ærlig talt så bryder jeg mig ikke om det menneskesyn der fremvises her.

Problemet er, at vi i Danmark er ved at have en fuldt udbygget "big brother" til at overvåge alt og alle i real-tid.
Dermed har alle med adgang til "big-brother"-mekanismerne muligheden for overvågning og kontrol med befolkningen.
Menneskets natur er egoisme, og de sidste ca. 20 år har landets skiftende regeringer ledet landet med egoistisk profitmaksimering for øje. Vi er som mennesker blevet "opdraget" til at det er helt fint at angive naboen hvis han eller hun gør noget forkert.
Vi er på den måde blevet opdraget til at deltage i registreringen, overvågningen og afstraffelsen af vores medmennesker.
Vis mig en pengestærk virksomhed uden egoistiske og/eller korrupte ansatte!!
PBS som står bag DanID og dermed er den virksomhed som står bag NemID er indbegrebet af en pengestærk virksomhed.

Vil du helt ærligt påstå at vi nu, efter vi har fået alle andre sider af en ny STATSI-big-brother etableret, stadig ikke har grund til at være mistroiske?

Googles og Facebooks største indtjening kommer fra profilering af alle brugerne og de terabyte af data sælges for højestbydende til alle interesserede købere.
Tænk på den 13-årige pige som pludselig fandt det billede hun havde brugt til en dating-profil på Facebook i Ekstra Bladet ifm. en historie om børne-prostitution...
Det er ikke enestående, men blot begyndelsen, når vores personlige data sælges efter forgodtbefindende.
Og, her var der ikke engang tale om misbrug, da man som Facebook-bruger allerede har overgivet rettighederne til alt indhold til Facebook...
Der gælder lignende regler for Googles tjenester.

Med NemID er det et spørgsmål om at hele den financielle branche kommer til at eje din adgang til offentlig forvaltning og kommer til at handle på vegne af dig. Det er sådan selve arkitekturen er designet.

Hvis en finansiel virksomhed der er sat i verden for at tjene penge, kontrollerer dit medicin-forbrug og dine digitale recepter igennem NemID, kunne man forestille sig at den pågældende virksomhed ville hæve prisen voldsomt på livsforsikring, hvis du i perioder fik antidepressiver eller gik til psykolog eller psykiater. Altså, hvis du overhovedet kunne få lov at have en livsforsikring.

PBS ejes af bankerne som har særlige aftaler med de fleste forsikringsselskaber. Det er altså et særdeles realistisk scenario.

Husk på, at aktieselskaber normalt hele tiden skal profitmaksimere og generere maksimalt afkast til aktionærerne.
Den eneste måde at komme hæderligt til større pengebeløb er ved enten at vinde dem i lotteriet, eller at arve dem. Alle andre måder at komme til penge på, skyldes at man på den ene eller anden måde har tilsidesat god etik og moral.

Du kan selvfølgelig vælge at ignorere de nuværende og fremtidige trusler, men det er for sent at skifte mening når først dine data er blevet solgt.

Selvom man er paranoid kan man jo godt stadig blive forfulgt...

  • 0
  • 0
Venligst Slet Min Bruger

Fint initativ Mathias.

Selvom vi herinde fint kan se problemerne med NemID, så tvivler jeg på, at den almindelige dansker vil blive overbevist, når snakken går på signed/non-signed java-applets.

Det vigtigste er vel at få lavet en liste med de største problemer, vel og mærke på en måde, så alle kan forstå det.

  • 0
  • 0
Jesper Poulsen

Jeg kan forstå bekymringen, at kriminelle kan få adgang til webbank ect. men der er jeg som forbruger beskyttet.

Hvis din NemID bliver misbrugt som følge af det katastrofalt dårlige design, så er du ikke beskyttet af noget. Alt hvad der foretages med NemID er juridisk bindende - også selvom det er foretaget hos DanID eller med terrorlovgivningen i hånden.

Hvis du er blevet slået ned og har fået frarøvet dit papkort, samtidig med at der har ligget en keylogger skjult på din PC, så er du beskyttet.

Problemet er blot at det er så uhyggeligt let at misbruge din NemID på anden vis at en frygt for at blive overfaldet må siges at være ubegrundet.

Det er let at hænge dig op på handlinger som du ikke kan fraskrive dig (og det kan du ikke når NemID ligger til grund for handlingerne).

  • 0
  • 0
Thomas Petersen

Hvis det er så let at misbruge, hvorfor er det så ikke sket endnu????

Hvem siger det er let at misbruge? en nørd i en kælder som koder Java? har han set koden?? nej vel?

Altså fuldstændigt usaglig beskyldninger om misbrug som ikke engang er sket endnu.

Hvis nemid bliver misbrugt, så tror jeg ikke på at holder i retten - så længe jeg underskriver en tro og love erklæring om at jeg ikke har foretaget en eller anden handlig, så er det op til myndighederne at bevise det modsatte - det har jeg intet problem med. Hvis løsningen er så usikker på i påstår, så er jeg helt sikker på at bankerne aldrig ville have accepteret løsningen. Det er jo trods alt dem som som skal dække de tab et misbrug forårsager. Så hvis der sker misbrug, så vil de nok RET hurtigt lukke hullet :-)

Det er sjovt at i himler op omkring en javaapplet som nemid benytter som angiveligt giver adgang til at webstedet skal kigge på indholdet af din harddisk - Ikke en eneste har nævnt Echelon som har aflyttet og overvåget os i årtier.

Al elektronisk kommunikation bliver opsnappet, gennemset og gemt hvis det indeholder bestemte ord eller sammenhænge, inkl. telefonsamtaler SMS, FAX ect. Kun PGP i de første versioner beskytter mod aflytning, men mon ikke myndighederne har andre metoder hvis de virkelig vil finde ud af noget om dig?

Så jeg forstår ikke al den råbe "ulven kommer" uden belæg for noget som helst.

Hvis ikke bankerne ser/aflytter, så gør politi og forsvaret - spørgsmålet er hvad de bruger al den data til.....ingenting...indtil der sker noget voldsomt.

  • 0
  • 0
Henrik Pedersen

Omg... Don't feed the troll men du er mildest talt så langt ude naiv at...... jeg er målløs!

Selv en 15 årig (mig) kan se hvor galt du er på den. Og PGP, blaah. Truecrypt, det er open source så der ikke kan ligge noget crap fra regeringen i, og det bryder de sgu ikke bare. Eneste måde at bryde det på er som følger: A, Havde den korrekte nøgle. B, At kunne tage computeren mens den stadig er tændt og udvinde koderne af ram. Det kan også gøres hvis den lige akkurat er slukket (her kan en fysisk nedfrysning af ram endda være nødvendigt.)

Men den teknik er kun lige akkurat dukket op på markedet og koster SERIØST mange penge. Jeg tror ikke engang den danske regering har adgang til det. Og det er jo bare at få lukket i så snart de er i nærheden (google dead man switch eventuelt - har noget lignende hvis mine venner vil tjekke min bærbare :D)

Du kan GODT holde regeringen fra dine data, så længe det er Open Source og så længe det indbefatter kryptering og et nogenlunde fornuftigt stykke hardware 50 cm fra skærmen, så burde du være ret sikker over for det meste. Et bevis kan jo være jeg har hørt om en gennem min fætter som seeder store mængder torrents. Der kom der en foged og et "hold" fra APG. Ups der fik harddisken da lige et søm og en hammer. Sådan :) (støtter ikke den slags, synes copyrighthaverne skal have deres penge)
Men alligevel respekt for at få det gjort.

Men det var egentlig ikke en disktution om hvorvidt du kan beskytte dig mod staten. Det var Nem ID vs. Det Danske samfund og dets borgere (excl. politikere, banker, og lobbyister)

I øvrigt meget uhøfligt at disse "kælder entusiaster" på den måde. Det er tit sådanne folk som ender som de mest succesfulde, fordi de rent faktisk har en passion for deres emne.

Men jeg vil lade dette emne dø ud med disse ord i håb om resten af Version2's fornuftige læsere vil gøre det samme...

  • 0
  • 0
Thomas Petersen

Ja, det er temmeligt naivt at tro, at echelon ikke har belyst indholdet af din harddisk, eller iøvrigt kender ALT til din gøren og laden på nettet.

NemID er hvad NemID er, lige så god/dårlig en løsning som digital signatur var - jeg kan ikke se den store forbedring ift. digital signatur, men heller ikke en forværring.

  • 0
  • 0
Jesper Mørch

NemID er hvad NemID er, lige så god/dårlig en løsning som digital signatur var - jeg kan ikke se den store forbedring ift. digital signatur, men heller ikke en forværring.

Nej, NemID er en langt ringere løsning end den digitale signatur!
Jeg er næsten komplet ligeglad med en JavaApplet, selvom det er uheldigt at man vælger en løsning som har potentiale til at blive misbrugt.
Til gengæld er det dybt problematisk og skriger til himlen, at vi allesammen skal have fuld tillid til at et finansielt foretagende aldrig kommer til at ansætte korrupte medarbejdere, som kunne finde på at misbruge de data der ligger lige for næsen af dem...
Det finansielle foretagende er vist ejet af en amerikansk kapitalfond...
- Og, ja, det havde jeg jo næsten glemt... korrupte og magt-begærlige mennesker har en tendens til at blive tiltrukket til foretagender hvor magt og penge er koncentreret...
Hele arkitekturen i NemID er dybt forfejlet, da den koncentrerer AL magt og viden hos DanID (som er ejet af PBS). Det er en tikkende bombe der kun venter på at gå af...

Hvis det er så let at misbruge, hvorfor er det så ikke sket endnu????

Tjaah, nu har den jo kørt i 40 dage, og der er stadig ingen der har fået tømt deres bank-konti...
Nej, selvfølgelig ikke... Der er jo ikke ret mange tilsluttet endnu. Derudover er det værdiløst at starte med at tømme bankkonti før systemet er blevet rullet ud endnu...
Nej, det kan langt bedre betale sig at afvente lidt, og i stedet få perfekt adgang hele vejen ind - for så at slå til mod hele Danmarks befolkning på en gang...
Jeg kender navne på flere mellemøstlige grupperinger som sikkert ville betale mange penge for at få mulighed for at hævne Dansk Folkeparti, eller hvad fundamentalisterne nu er utilfredse med i denne uge...

Men, det kræver selvfølgelig at man fokuserer på andet end fuld tillid til alt og alle. Sådan var Danmark for 50 år siden, men i mellemtiden er vi blevet digitale og internationale. Ikke alle kulturer er som den danske, og ikke alle kulturer er begejstrede for demokrati. Til gengæld har drømmen om hurtige penge pustet nyt liv i international kriminalitet. Hvis du ikke ved hvad jeg mener, behøver jeg vel kun at nævne »Nigeria-breve« før en lille klokke ringer.

Det eneste punkt hvor NemID har bare et minimum af sikkerhed er med det famøse papkort. Det nytter bare ikke at have en kæmpe hængelås på den tykke branddør, hvis der kun er tynde trævægge og der holder en kæmpe gummiged ved siden af... Det er desværre NemID i en nøddeskal... foruden at vi i princippet samtidig lægger hele vores digitale identitet i hænderne på en kapitalfond som har et aktionærkrav om profitmaksimering...
Google og Facebook har også et aktionærkrav om profitmaksimering. I det mindste indrømmer de da offentligt at de sælger brugernes profilerings-data.

Tænk lidt over det.

  • 0
  • 0
Kim Garsdal Nielsen

Jeg syntes godt nok mange mennesker er rigtig bange for "overvågningssamfundet" - hvad skjuler i?

Eller der er ren paranonia over at en eller anden myndighed skulle snige sig ind på din PC og snuse til hvad der lå?

Jeg syntes ærlig talt at mit liv er for kort til denne paranoia, hvis myndigheder vil ind på din PC, så gør det det - det behøver de slet ikke en bagdør i nemID til....

Hvad skjuler i, siden i er så bekymrede?

Vi skjuler faktisk mange helt almindelige ting. For vores forældre, børn, ægtefæller, venner, arbejdsgivere, etc.

For nogen år siden var der en mediehistorie om kokain på Christansborgs toiletsæder.

Overvågningssamfundets logiske reaktion på "problemet" burde have været mere overvågning. Overvågningskameraer rettet mod sædet på Christiansborgs toiletsæder ville afsløre den slags uønsket adfærd. Folk, der vælger at sidde på toiletterne med genitalierne frit åbne for overvågningen, gør det af egen fri vilje og gør intet ulovligt, så de kan ikke have noget mod overvågningen.

Sådan er logikken hos fortalerne for mere overvågning (sic!). Fri mig!

/Kim

  • 0
  • 0
Jesper Poulsen

Jeg har ingen betænkeligheder ved at ligge min harddisk online - har du?

Har du lås på dine døre?

Bruger du dem?

  • Eller kan alle gå lige ind i din bolig og tage hvad de vil have?

Giver du et sæt nøgler til de danske myndigheder så de selv kan gå ind og tage hvad de vil have?

Har du en bankboks?
Hvis ja, har den så to nøgler hvor din bankrådgiver ligger inde med begge nøgler?
- NemID er opbygget på præcis den måde. Du ved ikke om din bankrådgiver kigger i din bankboks og du har ingen mulighed for at finde ud af det. Du ved heller ikke om han/hun benytter sig af eventuelle oplysninger der måtte være at finde i din bankboks.

På den anden side. Med det oplæg du er kommet med i denne debat, så ligger din hoveddørsnøgle nok under dørmåtten og inde i din bolig er der tydeligt mærket op hvor værdierne er.
Du har garanteret en Facebook-profil hvor din fulde adresse står og kan søges af alle, samtidig med at du har billeder af dit fladskærms-TV, dine designermøbler og dine bærebare PC'er der ligger frit tilgængeligt for alle.

Du har jo ikke noget at skjule, vel?

  • 0
  • 0
Kenn Nielsen

Tjaah, nu har den jo kørt i 40 dage, og der er stadig ingen der har fået tømt deres bank-konti...

Med nemid får man ikke tømt sin konto.

Man tømmer den jo selv, for det er jo fuldstændigt sikkert, og det er KUN dig der har dine nøgler.

(ironi kan forekomme)

God fornøjelse med at modbevise dén !

Bare tænk på dem som fik stjålet deres biler selvom der var startspærre i:
1) Hvis du har begge nøgler, har du selv gjort det, for man kan ikke stjæle din bil , der har startspærre, uden den ene af dine nøgler.
2) Hvis du mangler en nøgle har du garanteret handlet uforsvarligt, og kunne godt have givet nøglen til en som skulle skaffe din bil af vejen.

Både 1) og 2) anses som forsikringssvig, og er strafbart.

K

  • 0
  • 0
Thomas Petersen

Nu er det jo også selvsamme selskab som står for samtlige elektroniske transaktioner med dankort/mastercard mm. - er det blevet misbrugt af korrupte medarbejdere?

Nej vel.
Men det er klart at sålænge der er mennesker indvolveret, så er muligheden for svindel til stede.
Men hellere et menneske bag, end en dum server der bare gør hvad man beder den om.

Jeg har fuld tillid til PBS / NEMID, da de i årtier har håndteret bankernes løsninger med fuld tilfredshed - uagtet om det er en amerikansk fond som ejer dem, så der det stadig danskere bag skærmen, og de danske banker som står bag løsningerne.

  • 0
  • 0
Ole Wolf

Thomas: Prøv så at stille spørgsmålet, om et kreditkortselskab er blevet pålagt overvågning af kundernes transaktioner. Ja, ikke? Var der ikke noget med en dansk kvinde, som pludselig kom på listen over terrormistænkte, da hun bestilte noget beklædning fra en slyngelstat?

I øvrigt ER der eksempler på svindel med kreditkort her i landet, og så længe ikke alle sagerne er opklarede, kan man ikke udelukke, at der sidder en lidt rigere medarbejder ved selskabet.

  • 0
  • 0
Thomas Petersen

Nej!

Men det er jo det samme med dankortet - hvis det bliver misbrugt er jeg som forbruger beskyttet.

Og bliver min nemid misbrugt er det op til myndighederne at bevise det er mig som har gjort det - og ikke omvendt!

Problemet med digital signatur, uagtet det var lidt mere sikkert (men ikke så meget mere sikkert) var at det var alt for bøvlet at få folk til at bruge den. For meget teknik dræber folks lyst til at bruge produktet.

Det er et gement regnestykke, som PBS også har gort sig med dankortet. Hvis det koster 100 mil. at drive en 100% sikker løsning om året, men kun koster 20 mil at drive en 80% sikker løsning....så regner man hvor meget svindel udgør, så længe svindlen er minimal (10-20 mil) så er det en god forretning.

Så længe margen er til fordel for profitten får vi ikke en 100% sikker løsning. En 100% sikker løsning vil de fleste forbrugere nægte at bruge, for den vil sikkert være så bøvlet at det kun er IT-kyndige som forstår den.

Alt kan misbruges, og ligesom med dankortet må det jo være dig som forbruger der har misbrugt det ikke???

Nej vel, og man er beskyttet ved at man underskriver en tro og love erklæring, pengene tilbageføres og bankerne undersøger sagen.
Hvis man har givet sin pinkode ud til en fremmed, så dækker de ikke tabet.
Ligesom her med NEMID, hvis man selv har givet adgang, så dækker de heller ikke....men igen er det op til dem at bevise.

Heldigvis lever vi et retssamfund, hvor der ikke hersker anarki som visse indlæg i denne debat ligger op til.

  • 0
  • 0
Ole Wolf

Thomas: På et eller andet niveau håber jeg, at det lige netop bliver dig, der oplever svindel på din bekostning - for derefter at opleve, at så mange politikere har garanteret NemIDs totale sikkerhed, at siden din digitale underskrift ligger på misbruget, så MÅ det jo være dig.

Jeg ved ikke, om du har oplevet at få dine kreditkort misbrugt, men det er ikke altid en specielt behagelig oplevelse. Og selv om man (som regel) får medhold, så er det lidt trist at få sin konto lænset på månedens dag 1, og derefter ikke har noget at leve af eller betale husleje for. Det er ikke alle banker, der låner penge til "uansvarlige folk, der tydeligvis bruger alle pengene på første dag i måneden".

  • 0
  • 0
Thomas Petersen

Nu skal vi jo ikke glemme at MENID løsningen er opstået som følge af Jyske bank har benyttet den i 10 år - og som iøvrigt er den ENESTE bank der kan bryste sig af at der ikke har været misbrug i deres netbank.

Så helt dårlig sikkerhed kan der vist ikke være tale om. Lad nu være at male fanden på væggen uden at have belæg for net som helst.

Der er ikke sket svindel endnu, og hvis det sker så kommer den hurtigt en løsning på det...

  • 0
  • 0
Maxx Frøstrup

Efterhånden må jeg konkludere at jeg personligt ikke har nogen NemID/DanID opt out mulighed, og det gælder vel egentlig de fleste i danmark.

Jeg kan dog stadig se problemstillingerne, men med make it work mentalliteten, begynder jeg at tro på at systemet ikke bliver misbrugt i en grad som opvejer besværet med at undgå løsningen.

Det flytte så mit fokus til at analysere af mig kendt information og lave et estimat af hvad der nu vil sker med løsningen henover tid (så er jeg forberedt på næste etape).

Og jeg tror jeg har set hvad der kommer til at ske:
Her henover efteråret bliver 90-99% af alle bankkunder flyttet over på NemID løsningen, modvilligt, men de kommer derover, de sidste har ikke masse nok til at blokere.
Next step, Virksomheder skal over på NemID løsningen, hvilket forløber sig hen mod næste sommer, mens største delen af det offentlige får implementeret DanID's TU-sikkerheds pakke. Enkelte TU'er vil lave deres egen løsning, men da de fleste Offentlige tjenster p.t. er under økonomisk pres, vil der ikke være resourser til at udvikle funktionen, og dette vil slet ikke komme på tale når nu DanID sælger ret billigt en samlet pakkeløsning de slet ikke skal tænke over.

Systemet vil køre nogenlunde gnidningsfrit indtil aftalen skal fornyes. På dette tidspunkt burde DanID's sikkerheds pakke være solgt nok ind til at de har stort set markedsmonopol ala Windows idéen.
Så ved genforhandling bliver der gjort opmærksom på de store omkostninger i forbindelse med vedligeholdelsen og fordelingen af TU-sikkerhedspakken. DanID's giver sig modvilligt i aftalen til at afholde disse udgifter.
Næste aftale er disse udgifter omdrejningspunkt, og omkostningen skal tjenes ind, ellers trækker de sig. På dette tidspunkt vil der ikke være anden indgang til det offentlige end gennem DanID infastrukturen.
Indtjeningen sker ved at pålægge brugen (borgeren) en brugsafgift eller et brugsabbonnement. Eventuelt 50 øre pr transaktion.

Hele strategien udføres over en 10 årig periode, og når nu det virkede med Dankortet, hvorfor skulle det så ikke også virke med vores Authentication.

Det er så min "I told you so" om en 10 års tid, men når vi kommer dertil er det jo fuldstændig ligegyldigt. Til den tid hvor dette scenario er tydeligt for almen mand, er vi så fastlåste i strukturen at OPT-out muligheden er væk og eneste løsning er at erstatte DanID med noget andet af størrelsen Digital tinglysning v2.

  • 0
  • 0
Anonym

Max

Præcist. Spot on - det er agendaen. Lok fjolserne i ministerierne til at spise afpresningsmodellen mod at de får detailkontrol. Derefter etableres lockin hele vejen rundt og vi sidder i legacy til halsen.

Men du glemmer en meget afgørende faktor her - hele Nem-konstruktionen FLYTTER kontrollen fra borger til service og blokerer for innnovation. Det er simpelthen programmeret ineffektivisering af både den offentlige og private sektor via en anti-markedseffekt.

Business casen for samfundet er massivt negativ. Vi taler ikke den ene millard til NemId direkte, vi taler ikke engang de måske 10 millarder i spildte it-investeringer, men de 100vis af millarder i tabt innovations og tilpasningsevne som gøre at alting bare fungerer dårligere og dyrere over tid.

Danmark er allerede i en alvorlig innovations/vækst-krise hvor arbejdspladser eksporters i en lind strøm - på denne måde garanteres at det går helt galt.

Det dyre ved NemId er ikke om de misbruger nøglerne til at snage, men at de misbruger kontrollen til at sætte samfundet helt i stå for profitten og den bureaukratiske centraliserings skyld. Det er særinteressernes sejr over samfundshensyn.

Men ovenpå dette kommer så alle de enorme sårbarheder som skabes. PBS skal nok arbejde for at undgå misbrugscases selvom det selvfølgelig ikke kan undgås når man starter med at ødelægge sikkerheden for profittens skyld.

Men de har al interesse i at ligge låg på og betale sig fra en enhver sag for at dække over det faktiske problem - det er organiseret tyveri fra samfundet. Etablerer en kunstig (unødvendig) magtposition og cash ind ved låge 1 (sørg for at dem som beslutter ikke er de samme som betaler) - ekspander derfra.

NemId er det ypperste eksempel på en selvskabt casen med enorme såkaldt negative eksternaliter, dvs. en case hvor enten
a) regningen for forureningen ikke lander hos den som forurener. Eller
b) hvor samfundet ville have gavn af at noget sker, men dem, som kan gøre noget, kan ikke mærke fordelen og derfor ikke gør det - mens dem som kan mærke problemet, ikke kan gøre noget ved det.

Højere skatter, dårlige velfærd, færre arbejdspladser, mindre velstand og dårligere sikkerhed er blandt de direkte samfundskonsekvenser programmeret ind i infrastrukturen via dette setup.

  • 0
  • 0
Maxx Frøstrup

Ja, Stephan, og det har du også sagt mange gange med mange lange indlæg. Er du forresten venlig at bemærke mit dobbelte x da jeg har kæmpet en hård kamp for mit navn.

Der hvor folk som du og jeg står er at vi kan udemærket se hvad der kommer til at ske, men kan ikke få nogen til at indse det.

Ingen almindelige mennesker ved sine fulde 5 accepterer proccessen som værende, lok massen ind og afkræv senere.
Når casen når det punkt hvor det går op for dem at det er den vej vi bevæger os på er skaden sket i stort nok omfang at en løsning på monopolet på kortsigt er for dyr i forhold til den konkrete økonomiske dummebøde.

For at holde fast i dankort modellen for det er jo grundlæggende den som gentager sig.
Der er jo ingen nu i dag som betænker de ekstra 50 øre pr dankort transaktion. De er acepteret og glemt, og mulighederne for at slippe af med dem igen er af et sådant resource omfang at man ikke engang vil undersøge sagen.
Systemet virker jo og de skide 50 øre er jo neglérbare.

Vi står her og nu i midten af August måned og omkring juletid har stort set alle indfundet sig under løsningen.

Set fra DanID's perspektiv går tingene jo efter planen, og de små tjeklists bliver ticket af stille og roligt, til etape Borgerkontrol er ticket af heromkring jul.

Jeg satser på at cirka midt i november begynder der at komme et pres på bogholdere til at få deres medarbejder NemID(de har jo allerede DanIDs digitale medarbejder signatur) det vil blive "solgt" som en nødvendig opdatering.

Jeg har ikke lige været rundt i det offentlige men jeg vil tro at de om en små 3 måneder begynder at komme igang med at teste deres DanID TU-Sikkerhedspakker så de er klar til at modtage Medarbejder NemID'erne her fra og med December, det er jo også der hvor de fleste virksomheder bliver presset da en masse indrapporteringer skal ske til f.eks. Skat og der vil NemIDen blive promoveret som meget hurtigere og enklere end Medarbejder signatur, også er bogholderen/virksomheden solgt.

Omkring slut februar er det de genstridige som mangler og der vil komme tiltag der gør deres forretningsgange meget besværlige og langsommelige indtil 90-99% er på løsningen.
Så bliver Virksomhedskontrol etappen ticket af.

Så kommer salgs turen med konsulenter i jakkesæt der kører rundt til diverse internet shops og sælger NemID login applets. Når tilpas mange internet shops har login via NemID. Så kommer den virkelige regning.....

Så er det at deres skal hentes monopol penge, på dette tidspunkt vil hovedparten af danske digitale transktioner gå gennem DanID og det vil de tjene penge på, nemmest er at opkræve et transaktionsgebyr på f.eks. 50 øre pr transaktion. Og det er jo fuldstændigt ligegyldigt om virksomheden eller danskeren betaler.
Virksomheden kan indhente gebyret gennem et administrations gebyr på deres service, eller sige at DanID selv skal indkræve, de kan evt. bare sende regningen til borgerens bank ;)

Men ja ja, som jeg startede med at sige på dette forum, jeg er måske en paranoid klaphat uden forståelse. Men det er nu sjovt så mange af disse paranoide forudseelser jeg rammer rigtigt med.
Men der er 10-15 år til det går galt, til den tid har vi fået en ny regering vi kan give skylden....

  • 0
  • 0
Henrik Stig Jørgensen

@Maxx

Jeg er fuldstændig enig med dig og Stephan i det scenarie du opridser her, og jeg deler din frustration over at se det uundgåelige ske uden at være i stand til at overbevise beslutningstagerne.

Det ville heller ikke være nødvendigt at overbevise nogen om dette scenarie hvis det i Danmark var ulovligt at bryde loven. NemID strider mod Lov om elektroniske signaturer og Persondataloven og jeg kan ikke begribe hvordan Videnskabsministeriet og IT- og Telestyrelsen kan slippe afsted med det.

Derudover lever NemID ikke engang op til OCES, som danner rammen om de krav der stilles til implementationen. Det ville således være let nok for de offentlige myndigheder at trække sig ud af kontrakten, men det er tilsyneladende ikke i deres interesse.

  • 0
  • 0
Anonym

Maxx

Nok ikke langt fra sandheden.

For god ordens skyld. Paranoia er det som embedsfolkene udviser når de overvåger og opsamler personhenførbare data for overvågningens skyld. Borgerne er farlige for staten så vi må hellere have kontrol for en "sikkerheds" skyld.

For os andre er det faktuelt at se statens ineffektivitet akkumulere og Dansk konkurrenceevne erodere - og det bør pointeres at det går langt ud over de umiddelbare omkostninger, du kan se.

Det karakteristiske ved snyltereffekten er at den sker på bekostning af fornyelses- og effektiviseringsprocesser som ellers ville være gennemført hvis man i stedet havde valgt en teknisk løsning som sikrede at kontrollen fulgte borgeren, sikkerheden ikke baseret på overvågning og interfaces blev åbnet for nye løsninger.

  • 0
  • 0
Maxx Frøstrup

Tjaaa, men nu er vi her så hvad gør vi rent faktisk ved det.

Ideen om at man skal ændre sig selv for at ændre verden er morsom her.
Eftersom der ikke bliver gjort noget ved løsningen, BLIVER vi nødt til at ændre vores opfattelse af hvad der er ok. Hedder det indoktrinering?

Det er meget effektivt. Vi har jo allerede glemt og accepteret Echelon som nævnt, og damen der pludselig havnede på samme liste som Saddam Hussein (terror mistænkte anno 2009).
Vi vil også glemme og acceptere NemID.
Når der er gjort er muligheden for at snage på harddisken åbnet, ligesom MULIGHEDEN for at datasammenkøre alting i diverse tilkoblede databaser.

Hvor vidt der nogensinde vil dukke et eksempel op hvor der rent faktisk har været et misbrug vil bare være manifesteringen af nogle mennesker paranoia. Men det ændrer ikke andet end at det giver dem "I told you so" retten.

Derfor handler det slet ikke mere om at ændre sig selv hvis man vil ændre verden.
Problemet er at det er ligesom at bekæmpe racisme.
Når man snakker med Svend og Bent om emnet, så er de åhhh så tolerante, næste kaffe møde holder de på at det er "de forbandede perler som aldrig betaler skat i deres pizaria", men for iøvrigt ville det være rart at vide hvordan man trækker ferien til USA fra i skat????

Svarer det til mantraet: Snag i bare løs, jeg har intet at skjule. Og hvis jeg har tænder jeg bare min elektromagnet. ?

Nå det var så dagens filosofiske indlæg. Mon vi kan holde NemID oppe som ugens mest læste artikler ;)

  • 0
  • 0
Jesper Poulsen

Og bliver min nemid misbrugt er det op til myndighederne at bevise det er mig som har gjort det - og ikke omvendt!

Nope. Det er dig der har bevisbyrden for at din NemID er blevet misbrugt. Alt hvad der foretages med NemID er juridisk bindende regnet fra det tidspunkt hvor en handling er blevet godkendt vha. NemID.

Der er ingen selvrisiko. Der er ingen kære mor.

  • 0
  • 0
Jesper Mørch

Nope. Det er dig der har bevisbyrden for at din NemID er blevet misbrugt. Alt hvad der foretages med NemID er juridisk bindende regnet fra det tidspunkt hvor en handling er blevet godkendt vha. NemID.

Der er ingen selvrisiko. Der er ingen kære mor.

Glem ikke at digitale bilnøgler ikke kan kopieres, ligesom at bankenøgler blot er en skrøne...

sarkasme kan forekomme

  • 0
  • 0
Maxx Frøstrup

Tjaaa, Jesper.
Manden havde nu fat i en god pointe som vi teknikkere ofte render ind i:

Den virkelig verden hvor tingene sker er ikke altid magen til den verden som er beskrevet i dokumentationen.

Jeg kan nydeligt forestille mig at de fixer misbrug ved at påtage sig ansvaret såfremt du underskriver en Tro og love erklæring.

Medie mæssigt giver det indtrykket at DU ikke er blevet ramt, udover lidt besvær med at fysisk at skulle underskrive et dokument (din NemID virker sikkert ikke til formålet), men ellers er systemet robust. Oven i hatten vil der nok blive lagt fokus på hvor LIDT det var NemIDs skyld og hvor MEGET de gør for at hjælpe dig.

Specielt når vi snakker penge... For PBS er det jo lidt bare et spørgsmål om hvilket container man kigger i, og udgifterne til at rydde op er minimale mod medie værdien af hvor "sikre og ansvrsfulde" de er.

Jeg antager de beregner modelen på underskud de første 5 år (fradragsberettiget) hvor efter de vil kunne begynde at høste monopol gebyret, og der er kassen.

  • 0
  • 0
Thomas Petersen

Præcis!

Endelig en teknikker der ligesom jeg har en smule forretningsforståelse ;-)

Som tekniker i +15 år har jeg måtte sande at det ikke er teknikken som driver butikken, men den profit som den genererer.

En løsning kan sagtens være 100% sikker, du kan bare ikke som forretning tjene penge på den, da folk ikke gider bruge løsningen, da det er for besværligt....gemen beregning - men virkeligheden.

  • 0
  • 0
Jesper Mørch

Selvfølgelig skal PBS tjene penge, men derfor behøver man vel ikke stavnsbinde danskerne til et system som er så gennemsyret af fejl at det er svært at finde noget positivt at sige om NemID.
Som Stephan Engberg har været inde på nogle gange, er et af de større problemer ved netop NemID at samfundsudviklingen sættes i stå.
PBS kan kun tjene penge på denne løsning så længe de har det absolutte monopol og så længe det er forbudt ved lov at udvikle noget som helst der ville kunne benyttes som alternativ.

Det svarer til at få varmen en frostkold dag ved at tisse i bukserne... Det varmer ganske vist, men ikke ret længe.
Den dag PBS' monopol bliver brudt, måske fordi en ny regering har en anden opfattelse af PBS, ja, den dag forsvinder deres indtægt på NemID - netop fordi ALT i den løsning tilsyneladende er lavet så det på et øjeblik kan misbruges til overvågning.

  • 0
  • 0
Maxx Frøstrup

Jeg opdagede lige idag hvorfor der ikke er nogen der reagere....

Folk tror på de kan slippe?
Det er åbenbart stadig en sniger, de opdager først hvad der rammer dem når de er i systemet.

Folk læner sig op ad at de har kunnet bruge deres tast-selv koder, og ligende indtil videre, og på bankerne kan man jo stadig vælge om man logger ind via den nye eller den gamle løsning, så de tror de slipper.

Prøv folkens at spørger i jeres omgangskreds hvordan folk forholder sig til at blive tvunget på nemid, og når i gør det, så gør det neutralt. Folk tager afsted fra negative personer. Og det mest interressante er ikke at de tager afstand fra løsningen, men at de bliver opmærsomme og selv undersøger sagen.

Jeg har ved samme lejlighed mødt en person der hverken har digital signatur, netbank eller ligende. En der er helt udenfor dette system. Jeg antager hun vil komme på løsningen omkring oktober ligesom jeg selv, men nu bliver jeg så nysgerrig på hvad der sker med hende, da hun tager stærk afstand fra online ID'er :)

Spændende info kunne også være hvordan det går... Hvor mange konti er rent faktisk aktiveret af de målsatte 3.000.000? vi kører vel på 6. uge nu, så der er 14 dage mindst til endnu før den første som ikke aktivere sin id kommer frem.... Men der går vel en rum tid før man kan iagttage det.

  • 0
  • 0
Anonym

Som Stephan Engberg har været inde på nogle gange, er et af de større problemer ved netop NemID at samfundsudviklingen sættes i stå.

Det er voldsommere end jeg har sagt eller siger.

Planøkonomi sætter ikke samfundet helt i stå, men betyder at alt sakker agterud i forhold til behovsdrevne økonomier fordi kritiske processer blokeres eller fungerer meget dårligere. Danmark efterligner DDR ad bagdøren via an gradvis tvangscentralisering af økonomien.

  • 0
  • 0
Michael Kastoft Nielsen

Jeg kan nydeligt forestille mig at de fixer misbrug ved at påtage sig ansvaret såfremt du underskriver en Tro og love erklæring.

Maxx :
Det er jeg ikke sikker på, i forbindelse med at min bank lancerer nemid skulle jeg skrive under på nye foretningsbetingelser, hvor man selv hæfter for op til 1100 hvis man mister penge og ens nemid bliver brugt.
men op til 8000 hvis det vurderes at man har handlet uagtsom med nemid kontoen.

  • 0
  • 0
Kai Birger Nielsen

Jeg synes at den korteste formulering af hvad jeg mest har imod NemId er:
"Det er som at blive tvunget til at give banken en generalfuldmagt på dine vegne og at du så skal bede banken om at skrive under på dine vegne i stedet for at du selv gør det."

(Og det er selvfølgelig OCES delen, der generer mig. NemID ville jeg ryste på hovedet af, men formentlig bruge, hvis det alene var en sag mellem mig og min bank.)

  • 0
  • 0
Michael Nielsen

At bankerne kan få adgang til mine diske er et problem! Men det er et begrænset problem, da ikke alle borgere bruger den samme bank, eller den samme applet fra den samme leverandør. Altså for at hacke ind på samtlige brugere, giver kun en lille procentdel af den Danske befolkning.

Skulle man lave dette om til en generel overvågning af befolkningen, skal der samles mange forskellige virksomheder, og dette ville aldrig kunne gøres i tavshed, der vil komme lækage og vi vil på en eller anden måde høre om det.

DanID, medførere principielt at næsten alle computere i Danmark kan nu overvåges, dette vil friste over evene, og der vil komme et press for at indføre generel overvågning af samtlige borgere. Ikke fordi der er et behov, men fordi man KAN!. Lige som med lognings direktivet, men meget mere krænkende.

Da det kun er en virksomhed, kan man nemt få EN betroet medarbejder til at indføre overvågningen, altså er chancerne for lækage pluslig meget mindre, og vi ville kun høre om det, hvis nogen opdagede det, eller reverse engineerede appletten. Men da man kan gøre det på vilkårlige tidspunkter, kan det gøres svært at opdage at sådan noget skete, da man skal fange den rigtige version af den rigtige applet, for at se det.

Jeg lavede en demo hvor jeg på få sekunder kunne scanne hele dit bruger katalog på, ca den tid det tager dig for at læse en side, og appletten var skjult, men brugte samme certifikat som login appletten - derfor kom der ikke nogen varsel, og da java allerede var indlæst var der heller ikke en varsel om dette. Brugeren har ingen mulighed for at se om de er blevet spioneret på, hvis man ikke er meget god til at gennemskue det.

Det der tog længst tid var at repræsentere resultatet.

Den måde jeg gjorde det på var en dummy login applet (som nemt kunne være NemID appletten, og så loadede jeg en applet senere, som ikke havde nogen grafisk repræsentation, men kørte i baggrund og scannede diske.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize