Nets DanID tavs om afslag på kig i NemID-kildekode

Illustration: REDPIXEL.PL/Bigstock
Efter et døgn har Nets DanID stadig ikke svaret, hvilke henvendelser om review af NemID's kildekode, der er væsentlige og seriøse nok til at blive behandlet.

Der står stadig hen i det uvisse, hvilke kritierier, der skal være opfyldt, før Nets DanID giver adgang til at kigge kildekoden til NemID igennem.

Det er situationen efter, at Version2 tirsdag morgen beskrev, hvordan to datalogistuderende har fået afslag på deres forespørgsler om et uafhængigt review af kildekoden.

Læs også: DanID vil vise Java-kode frem: »Vi har intet at skjule«

Onsdag formiddag har Nets DanId stadig ikke reageret på Version2's gentagne henvendelser om at få afklaret, hvad der er op og ned i sagen.

De to datalogistuderende Mathias Svensson og Johan Brinch ønsker begge at se på kildekoden med henblik på at finde eventuelle sikkerhedshuller. Men den begrundelse fejer Nets DanID til side med et svar om, at de allerede har eksterne partere til at lede efter huller.

Nets DanID har tidligere lovet, at man med en seriøs henvendelse kan få lov til at se kildekoden. Men indtil videre har to datalogistuderende kun fået afslag, med beskeden om at henvendelserne ikke er væsentlige nok til at Nets DanID vil bruge ressourcer på det.

Læs også: Nets DanID afviser: Studerende må ikke se kildekoden til NemID

»Jeg har fortsat ikke fået et svar på, hvordan vi fremover vil forholde os til praksis – dermed må du afvente at få en kommentar i hvert fald til i morgen (red: 13/06),« skriver Nets pressechef, Søren Vinge, i en mail til Version2.

Version2 forsøger stadig at få en kommentar fra Nets DanID.

Opdateret 15.52: Onsdag rettet til tirsdag i andet afsnit.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Erik Gotfredsen

I artiklen skrives "Torsdag formiddag har Nets DanId stadig ikke reageret på Version2's gentagne henvendelser om at få afklaret, hvad der er op og ned i sagen"
Og det er jo meget fint at journalisten ved det allerede onsdag formiddag.

Kan vi også få et bud på resultatet af aftenens fodboldkamp?

Med et glimt i øjet
Erik Gotfredsen

  • 7
  • 1
Casper Bang

Men den begrundelse fejer Nets DanID til side med et svar om, at de allerede har eksterne partere til at lede efter huller.

Det er desværre typisk dansk partisk, ligesom politiet også er ansvarlig for at undersøge sig selv. Det er jo selvf. den bedste undskyldning DanID kan komme med, hvis de i virkeligheden tror at koden er af en så ringe kvalitet, at den bør holdes inden for lukkede døre. Fakum er jo, at der ikke findes nogen reelle sikkerhedsmæssige årsager til at holde det lukket. 65% af alle verdens webservere kører Apache, der er open source og til frit skue.

  • 15
  • 0
Simon Friis Vindum

Det burde have været et krav fra starten at løsningen mht. digital identifikation skulle være open source. En ting er at softwaren tvinges ned over hovedet på befolkningen, men at det tilmed er proprietær software, så man ikke engang kan få at vide hvad der er der bliver installere på ens computer, det er stærkt kritisabelt.

  • 15
  • 0
Morten Hansen

Version 2's NemID dækning, og kommentarerne er både forudsigelige, ensidede og trættende. Det giver lyst til at søge andetsteds efter nyhedsinformation hvor man ikke får et indtryk af at man sidder på EB's nationen! men et sted hvor læserskaren generelt er på et højere niveau end kassedame-træning efter 9. klasse.

  • 3
  • 19
Anonym

Jeg er helt enig i, at en sådan løsning skal være åben, så det er muligt at efterprøve, og modtage kritik.

Med hensyn til identifikation, så benægter DanID, at det er dem der leverer identifikationen.
I den forbindelse, har DanID endnu ikke leveret varen.
De har heller ikke leveret en løsning, som lever op til kravene om Digital Signatur.

En af årsagerne til at DanID ikke vil tillade indsigt, kan være, at deres forretningsgrundlag hviler på noget, som de basalt set ikke ejer, og derfor vil risikerer at skulle ud og betale en større erstatning.
Det vil også forklare, hvorfor de nu søger at lægge forretningen til Norge, hvor de vil være vanskeligere at sagsøge.

Omkring selve kildekoden, så er det tidligere påvist at DanID benytter sig af "skjult kode" i forbindelse med identifikation, hvilket DanID beskriver at de er holdt op med.
Hvorfor og hvordan man kan beskrive at man ikke beskæftiger sig med identifikationen og samtidigt benytter sig af "skjult kode" til at identificere, kan jeg ikke redegøre for. Det virker ret selvmodsigende.

Hvis DanID skulle tillade indsigt i deres kildekode, er det nok fornuftigt at kigge på om den nu også er den kildekode der anvendes i praksis. Det er sandsynligt, at Der vil være uoverensstemmelse, mellem hvad man siger man gør, og det man faktisk gør.

At decompile den kode der ligger på brugermaskinerne, vil nok være den eneste sikre vej, til at opnå uvished for hvad der egentligt er rigtigt.

  • 3
  • 1
Erik Gotfredsen

Hvis "Onsdag morgen" blev rettet til "Tirsdag morgen" ville journalisten ikke virke så utålmodig, for stille et spårgsmål onsdag morten, og så være utilfredse med ikke at have fået svar onsdag formiddag, det virker somom journalisten har mistet sin tidsfornemmelse

Venligst
Erik Gotfredsen

  • 0
  • 0
Casper Bang

Version 2's NemID dækning, og kommentarerne er både forudsigelige, ensidede og trættende.


Fair nok, men hvorfor mener du, at det er i orden at tvinge folk til at installere software som beviseligt gør andet og mere end oprindeligt udmeldt?

Det er i orden at fødevarestyrelsen checker hvordan din mad bliver lavet, så du f.eks. undgår at få gammelt hestekød i farsen til dine burgere, men det samme gælder ikke for software?

  • 4
  • 1
Martin Frandsen

jeg vil på det kraftigste anbefale at man holder op med at anvende nemID med det samme. Lovgivere der køber løsning af et A/S kan gemme væsentlige beslutninger fra offentligheden fordi A/S'er ikke er omfattet af loven op aktindsigt.

nemID bliver sandsynligvis anvendt til at snige malware ind ad bagvejen. Hvilken anden forklaring kan der være på at Ministeren nægter at svare på et §20 spørgsmål. Ok han svarer måske rent teknisk, men svaret henviser altid til overfladiske redegørelser fra tidligere.

nemID anvender og kræver at brugeren installerer Java. Det er i sig selv et sikkerhedsproblem. Der er rigtig mange gode grunde til at danID's nemID løsning ikke er god Java kode. Der er også rigtig mange gode eksempler på hvordan firmaet rådgiver brugerne til adfærd der reducerer de mange indbyggede sikkerhedsforanstaltninger.

Det virkelig alvorlige problem med nemID, og grunden til at hele systemet og loven der tvinger vore penge ned i lommen på det tidligere TDC-ejede danID, er at det i sig selv er en totalt tåbelig idé at have én nøgle til ALT. Selv hvis systemet var sikkert (og det er det ikke,) så vil en person der får adgang jo få adgang til ALT. Det er simpelthen FOR fristende et mål for forbrydere og fremmede nationer. Danmark har ikke evner og resourcer til at beskytte borgerne mod et systematisk angreb. Det angreb er allerede undervejs (se evt. de mange phishingforsøg.) Bankerne er allerede begyndt at flytte på normerne for hvornår de erstatter. Der er dukket flere sager op i medierne hvor en bank lader et offer for identitetstyveri ligge i rendestenen og passe sig selv.

Hvis du vitterligt SKAL tvinges til at bruge nemID så vil jeg anbefale på det kraftigste at du foretager disse transaktioner på en virtuel maskine og ikke på det samme OS som din hele din familie bruger til surf. Der findes diverse "sandbox" software og man kan naturligvis altid lege med virtualisering.

Det er netop manglen på code-review og den tilhørende arrogance fra danID der gør brugerne utrygge. De vil ikke ud med koden fordi de er bange for at vi opdager at det er slamkode der er strikket sammen af folk som ikke længere arbejder der. At firmaet er tømt for programmeringstalent, og at de tilbageværende ikke har en jordisk chance fordi den de essentielle komponenter's kildekode ikke er dokumenteret og dem der skrev den ikke længere arbejder der.

Der gemmer sig en skandale af IC4'ske proportioner i nemID - bare vent at se

  • 3
  • 3
Jens Carsten Hansen

Tidsfornemmelsen kan smutte for enhver. Jeg kom f.eks til at skrive den 14. juni på noget jeg lavede idag, fordi jeg var helt sikker på, at jeg havde set at datoen sagde den 13. igår.
Muligvis fordi jeg klatsover meget for tiden.

  • 0
  • 0
Jesper Lund

Måske har jeg ikke fulgt godt nok med - men hvad er det de gøre "andet og mere"?

Indsamling af oplysninger om vores computere, hvilket DanID først indrømmede da en version2 læser opdagede det. Da IT Politisk Forening nævnte denne mulighed i august 2010, var DanID meget afvisende: nej, det gjorde de ikke..

Derudover har DanID systematisk misinformeret os om hvorfor Java appletten skal være signeret. DanIDs første forklaringer var skrivning af danid.log, caching af Java appletten (åbenbart kunne Java's egen caching ikke bruges?), og nogle specielle forhold ved ældre Macs (hvor DanID nu helt har droppet at supportere NemID).

Den reelle grund til at appletten skal være signeret er imidlertid at den meget portable Java applet blot er en lille bootloader, som downloader binær kode til nogle få platforme, skjuler ("installerer") denne binære kode i GIF filer, og afvikler koden på vores computere.

Det som DanID havde fået til opgave at lave var en digital signatur, ikke en ny trojaner til andres NEMhacking af vores computere.

  • 7
  • 1
Jesper Lund

Fair nok, men hvorfor mener du, at det er i orden at tvinge folk til at installere software som beviseligt gør andet og mere end oprindeligt udmeldt?

I øvrigt havde vi jo fået at vide at der slet ikke skulle installeres noget på computeren når vi brugte NemID, modsat den gamle første-generation digitale signatur. Men det skulle der så alligevel..

Når jeg installerer software, foretrækker jeg at root ejer de binære filer, og at brugeren kun har læse+exec rettigheder.

  • 5
  • 1
Glen Madsen

Hvad laver de der 'Script Kiddies' for tiden ? kunne de ikke tage at hacke DanID og give os noget bevis så det her vanvid kan stoppe ?
De hacker jo bare til højre og venstre så kunne de jo bruge deres talent på at hjælpe landet istedet for at fuck det mere op?

  • 1
  • 3
Hans Schou

Omkring selve kildekoden, så er det tidligere påvist at DanID benytter sig af "skjult kode" i forbindelse med identifikation, hvilket DanID beskriver at de er holdt op med.


Hvor skriver de det?

Fordi du skrev det, har jeg lige checket de filer jeg har nu. I filen ~/.oces2/danid/plugins/DanID_Applet.jar som kan unzippes finder filen img/error.gif og den har indholdet:

$ file img/error.gif
img/error.gif: ELF 32-bit LSB shared object, Intel 80386, version 1 (SYSV), dynamically linked, not stripped

Og så kan man ganske kort få et indblik i hvad der foregår ved at skrive:

$ strings img/error.gif | grep proc
/proc/sys/kernel/hostname
/proc/ide/hda/geometry
/proc/ide0/hda/geometry
/proc/scsi/scsi

Der er nogle mennesker der har noget at skjule. De bliver normalt betragtet som suspekte mennesker. NemID-folkene prøver at skjule noget, og derfor må jeg antage at de er det "onde selv".

Jeg for min part, indrømmer gerne at jeg anvender OpenSSH. Men mine nøgler og mine pass-fraser holder jeg skjult. Jeg er altså en af dem der har noget at skjule - eller hvad? Koden til min version af OpenSSH er ikke hemmelig, for alle kan downloade den fra nettet.

NemID er helt gal på den. Man skal ikke holde kildekode hemmelig, men nøgler og løsner skal.

Afskaf NemID til banker og indfør Jyske Banks gl. løsning. Afskaf NemID til det offentlige og brug OpenPGP. Og så gider vi ikke læse mere om NemID i medierne når det er sket.

  • 5
  • 2
Jesper Høgh

Client side skal man jo bare reverse engenire nogle .gif filer (var der ikke noget om dét?). :o)

Server site skulle det ikke undre mig om man byggede på NodeJs, som overfor brugeren (altså 'programøren' i dette tilfælde) kan simulere server->client push, samt simulere client kald af server situerede funktioner.

I mine øjne bygges alt for meget software i vore fremskredne tider på 3. part, som bygger på 4. part (osv) frameworks. Lav det dog for h****** selv - så får i et produkt som kan hvad det skal - ikke mere og ikke mindre!

Jeg kan godt se at det, at bygge applikationer på diverse frameworks (altså købe en færdig applikation, som bare skal konfigureres til det tiltænkte brug) kan retfærdiggøres i mange, måske endog de fleste situationer (f.eks. DRs og version2s android apps, som er bygget på malware/spyware framework (Titanium) - fred være med det), men hvis man vil være udbyder af national sikkerhed, så er man sgu nødt til at sætte nogen til tasterne, som kan andet end java.

  • 3
  • 5
David Rechnagel Udsen

Hvad laver de der 'Script Kiddies' for tiden ? kunne de ikke tage at hacke DanID og give os noget bevis så det her vanvid kan stoppe ?
De hacker jo bare til højre og venstre så kunne de jo bruge deres talent på at hjælpe landet istedet for at fuck det mere op?

Script Kiddies har generelt intet talent når det kommer til at hacke. Så jeg tvivler stærkt på at det er dem du skal sætte din lid til. Det eneste de kan finde ud af er at bruge værktøjer skrevet af folk der til en hvis grad ved hvad de laver.

  • 1
  • 1
Log ind eller Opret konto for at kommentere