Overblik: Her er kritikken af NemID

I tre uger har Version2 sat fokus på sikkerheden i NemID. Her kan du få et overblik over, hvad de forskellige kritikpunkter går ud på.

Det startede med et vellykket angreb mod Nordeas netbank.

I slutningen af september måtte DanID meddele, at otte bankkunder havde fået bankkontoen lænset, efter hackere havde lokket dem til at oplyse passwords og engangskoder til NemID-login.

Metoden, der blev brugt, er velkendt inden for it-sikkerhed. En phishing-mail lokker folk ind på en falsk hjemmeside, hvor man tilsyneladende kan logge ind med NemID, men hvor en it-kriminel sidder ’bagved’ og opsamler koderne.

Men at det var så ukompliceret at stjæle andres NemID-login var ikke kendt af den brede befolkning, og derfor blev den slags angreb i begyndelsen af november gennemgået i en video, som Ingeniøren stod bag:

Læs også: Video: Så let kan kriminelle franarre dig dit NemID

Læs også: Pærelet at narre NemID fra dig med klonede hjemmesider

Som flere eksperter pegede på, kunne DanID, som driver NemID, gøre det nemmere for danskerne at undgå den slags svindel. For eksempel ved at login-siden altid har samme webadresse.

Læs også: Kommentar om NemID: Løsningen findes - hvorfor så ikke bare gøre det?

Læs også: Sådan vil sikkerhedsekspert designe NemID fra bunden

En anden problemstilling er, at NemID ifølge DanID’s planer skal bruges ikke bare til netbank og offentlige hjemmesider, men også af andre private firmaer og organisationer. Dermed bliver det nemmere for en it-kriminel at lokke koderne fra folk med en forfalsket webside.

Læs også: It-sikkerhedsrådet: NemID til datingsites og golfklubber er problematisk

Læs også: Prosa: NemID er sikkerhedsmæssigt uforsvarligt

Hverken DanID, Digitaliseringsstyrelsen eller Finansministeren mener dog, at der er grund til bekymring eller at der skal laves om på løsningen.

Læs også: DanID afviser kritikken: »Et teoretisk scenarie«

Læs også: Digitaliseringsstyrelsen: Stol på os - vi holder DanID i kort snor

Læs også: Finansministeren: Jeg er tryg ved at bruge NemID

DanID argumenterede for eksempel for, at der ikke vil blive sendt e-mails ud med direkte links til en login-side. Men det memo havde hverken Skat, Danske Bank eller FDB læst.

Læs også: E-mails fra Skat punkterer DanID's forsvar for NemID-sikkerhed

Læs også: Danske Bank indrømmer phishing-fejl: Slut med NemID-links i e-mails

Læs også: Skat dropper 'phishing-mails' med øjeblikkelig virkning

Læs også: Nu igen: FDB sender 'phishing-mail' ud med NemID-link

Læs også: Pinligt: Skat sender stadig ’phishing’-mails

En ny vinkel på NemID-sikkerheden kom i søgelyset, da McAfees malwarescanner Stinger reagerede på filer, som DanID placerer på alle NemID-brugeres computer.

De så nemlig mistænkelige ud, mente virusscanneren, og en nærmere analyse viste, at DanID skjulte programkode i billedfiler.

Læs også: DanID camouflerer programkode på din pc som billedfiler

Læs også: Derfor udløser skjult NemID-kode virusalarm

At prøve at gemme eksekverbare filer for brugerne ved at camouflere dem, faldt dog ikke i god jord hos sikkerhedseksperter. DanID forklarede, at det bare var et ekstra lag af sikkerhed.

Læs også: Sikkerhedsekspert: Skjult NemID-kode på din pc er en rigtig dårlig idé

Læs også: McAfee til DanID: Lav løsningen med skjulte programfiler om

Læs også: DanID: Intet underlødigt i 'security by obscurity'

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Kommentarer (64)

Thue Kristensen

Jeg er lidt overrasket over at der ikke har været Version2-artikler om NemID's manglende brug af HTTPS pinning, DNSSEC (fx nemid.nu bruger ikke DNSSEC), og HTTPS strict transport security (nemid.nu er ikke på listen over preloadede HSTS domainer i Chrome).

For eksempel blev angrebet på gmail i Iran via falske certificater delvist forhindret ved hjælp af HTTPS pinning. Men fx nemid.nu er ikke på Chrome's liste over pinnede domainer. Vores uforfalskelige digitale underskrift er åbenbart mindre vigtig end gmail?

Mikkel Tobiasen

Jeg har fulgt sagen her på siden og synes efterhånden at have udviklet sig til en regulær hetz. Det er godt i har givet overblik over dén og håber det giver stof til eftertanke ved jeres skribenter, der tydeligvis har set sig sure - herunder også læsere.

Det statement at 8 bankkontoer har deres konto lænset ved et simpelt phishing ingen kan gardere sig imod, er simpelthen et alt for tyndt grundlag at brygge så meget sensations-nyhed på! Hvorfor giver i ikke andre smånyheder ligeværdig mediebevågenhed tænker man?
For mig ligner det alt for tydeligt en regulær hetz og er jo et let mål - med den negative indstilling folk altid har overfor nyt. Men med alt det på-styr og spildt arbejdstid, burde I sige, 'det var det', og komme vider?

Christian Nobel

Det er lidt skræmmende.

Inden for de sidste par uger er kommet nogle nye debattører, især skal fremhæves Mikkel Tobiasen, Christian Dahl, Normann Aa. Nielsen som ikke tidlige har deltaget i debatten, og som heller ikke viser at de har læst forhistorien, eller har nogen teknisk indsigt.

Disse nye debattører på banen begynder derefter at skyde på budbringeren, og fremfører synspunkter om at kritik af NemID ikke må være tilladt osv osv.

Jeg vil sidestille disse nye debattører med værnemagere, som har en ren politisk agenda, og vil på det kraftigste appellere til V2 om at fortsætte det gode arbejde som V2 (desværre kun som det eneste medie i Danmark) har udført.

Maciej Szeliga

Det statement at 8 bankkontoer har deres konto lænset ved et simpelt phishing
ingen kan gardere sig imod...

Din misopfattelse af mim angreb er en del af hele problemet: man kan godt forhindre mim effektivt. Læs noget mere om emnet så finder du ud af det.
Det er i øvrigt ret sigende at vi i Danmark (i modsætning til andre lande) stort set ikke havde set den slags angreb før NemID blev indført... og årsagen er såre simpel: certifikatet er væk. Før i tiden skulle man både narre brugeren og hugge certifikatet fra hans pc, nu skal man bare narre brugeren.
Før i tiden kunne man ikke gå i banken når brugeren skulle i biblioteket, det kan man nu.

Der er altid en konflikt mellem smart/nemt/brugervenligt og sikkert... og nej, biometri løser ikke noget, det skaber bare et nyt problem: hvordan udsteder man et nyt id når den oprindelige er blevet kompromitteret ?

Peter Mogensen

Det er jo interessant. - ikke så meget i forhold til version2's aktuelle "kampagne", men i forhold til den mere alvorlige kritik, som version2 ignorerer.

Nu tror jeg ikke at ProData konsulenter generelt er Scientologer - (faktisk ved jeg at mange slet ikke aner at ProData har den baggrund, da jeg selv har lavet en opgave den vej igennem før jeg blev bekendt med det) - men generelt må man vel forvente at de folk, der arbejder med noget så centralt i vores demokrati som en tvangs-centraliseret identitets-service som minimun er PET sikkerhedsgodkendt. - og der kunne man jo godt forvente at forbindelser til Scientology vil tælle mindst ligeså meget ned som rockere fra Køge.

Jørgen Larsen

@Christian Nobel. Hvis der er nogen som forsøger, at optræde som meningspoliti i denne her sammenhæng, så er det vidst nok dig. Forholde dig til (mod) argumenterne på en saglig måde. At sidestille andre debattører med værnemager er simpelthen under lavmålet.

Niels Didriksen

Forholde dig til (mod) argumenterne på en saglig måde.


A-hva? De folk han refererer til, kommer jo netop ikke med argumenter, men alene med appeller i bedste "Leave Britney Alone"-stil om at holde op med at kritisere.

En af debattens store problemer er jo netop at NemID-entusiasterne har et meget begrænset udvalg af argumenter for projektet.
Og af dem de har, er blandt de største hits den med "Nu har vi jo fået det, så skal vi ikke kigge fremad", eller "Nu har vi hørt kritikken, skal vi ikke snakke om noget andet" og den slags.
Bortset fra DanID som jo som hovedregel ikke anerkender kritik eller svarer på spørgsmål.

Jørgen Larsen

@Niels Didriksen, så synes jeg ærlig talt Du skulle læse de pågældende indlæg en gang til. Det er muligt, at De efter din opfattelse ikke er gode argumenter. Men efter min opfattelse så har de en pointe, som ikke kan afvises med, at de pågældende er 'værnemager'.

I 2007 var der ifølge Finansrådet 187 Netbank indbrud og et tab på 3.045.980 kr.

I 2008 var der ifølge Finansrådet 251 Netbank indbrud og et tab på på
6.539.346 kr.

I 2009 var der ifølge Finansrådet 111 Netbank indbrud og et tab på på
6.790.191 kr.

I 2010 var der ifølge Finansrådet 12 Netbank indbrud og et tab på på
433.043 kr.

I 2011 har der ifølge Finansrådet været 8 Netbank indbrud og et tab på på
62.400 kr.

Jeg antager at vi kan være enige om, at de IT kriminelle er mere interesseret i penge, end dine og mine sundhedsoplysninger? Set ud fra det synspunkt så afspejler statistikken altså, at de IT kriminelle har haft mindre succes, end tidligere.

Det er altså ikke særlig overraskende, at såfremt man udleverer nøglen til hoveddøren, så er vejen banet for indbrud. Det er jo dybest set det som Version2 har demonstreret. Statistikken viser så, at denne utilsigtet udlevering af nøglen tilsyneladende har haft mindre succes, end tidligere.
Du kan vel ikke helt afvise, at denne succes for IT sikkerheden har en vis sammenhæng med Nem ID, vel?

Jeg skal for en god ordens skyld understrege, at jeg med ovenstående IKKE har sagt, at Nem ID er uproblematisk. Men sikkerhed er altid en løbende proces.

Lars Lundin

så afspejler statistikken altså, at de IT kriminelle har haft mindre succes, end tidligere

Ethvert skift i login-procedure vil føre til en fald i misbrug, fordi de kriminelle efter et skift skal starte forfra med at kompromittere det nye system.

NemID var jo også i drift en rum tid, før vi hørte om de 8 tilfælde af misbrug.

Så statistikken kan efter min mening kun være signifikant, hvis NemID misbruget forbliver på et lavt niveau henover flere år.

Jørgen Larsen

@Lars Lundin, Det er vi for såvidt enige om. Men der vel dybest set heller ingen som har sagt, at Nem ID løsningen er en statisk størrelse? Faktisk er det gentagende gange blevet understreget, at sikkerhedsrisikoen bliver løbende vurderet.

Christian Nobel

@Jørgen Larsen.

Jeg står faktisk helt fast ved hvad jeg siger, da jeg mener at (især) de tre nævnte debattører er nye her på V2, og udelukkende udtrykker at budbringeren skal skydes og kritik ikke et tilladt, men ellers ikke forholder sig til materien.

Og det mener jeg faktisk er en usandsynlig sølle holdning at have, og da jeg mener at hele den ulovlige NemID konstruktion er at sidestille med en statssanktioneret besættelse (man kan ikke vælge fra, og folket er ikke blevet spurgt), så anser jeg faktisk deres holdning som landsskadelig, og et udtryk for at man skal censurere kritik.

Og hvis du (og andre) havde fulgt med i debatten de sidste mange år, i stedet for bare at komme ind fra sidelininen, så ville du nok vide at jeg så sandelig forholder mig konstruktivt og teknisk til hele diskussionen om digital signatur, og jeg mener helt klart at NemID konstruktionen er til stor skade for både land og borgere.

Og det vil jeg blive ved med at mene, og jeg kan kun glædes over at et medie som V2 seriøst holder fast i sagen.

Niels Didriksen

så synes jeg ærlig talt Du skulle læse de pågældende indlæg en gang til. Det er muligt, at De efter din opfattelse ikke er gode argumenter. Men efter min opfattelse så har de en pointe, som ikke kan afvises med, at de pågældende er 'værnemager'.


Jeg har ikke kaldt nogen for værnemager. Og derudover så har det ikke ændret noget, at læse de pågældende indlæg igen.

For mig at se, er hele argumentet en and. Svindel i en omegn af 2-6 mio kr er uendeligt ligegyldigt ifht. hele NemID-konstruktionen, Banksektoren og samfundet. Der bliver på årsplan formodentligt rapset for større beløb i en Bilka-butik.
Det er jo åbenlyst BS at forsøge at bruge så små beløb som en bærende årsag til NemIDs eksistens og design.
Husk iøvrigt på, at det kommer fra de samme folk, som for et par år tilbage, uden at rødme eller blinke, fortalte danskerne at det ville styrke sikkerheden i dankortet at fjerne foto'et.

Og når alt det er sagt, så er jeg derudover enig med Lars' betragtninger omkring det statistiske problem ved argumentet.

Og slutteligt; Husk det ikke er et bank-login, men et samfunds-login. Havde det bare drejet sig om en lille håndfuld millioner så var jeg uendeligt ligeglad.

Nikolaj Bergman
Jørgen Larsen

@Christian Nobel, nu er det faktisk umuligt at overse, at Du er stærk modstander af NemID løsningen, eftersom Du dårligt kan formulere en sætning uden NemID indgår.

Beklageligvis er det lige så forudsigeligt, at enhver der ikke ubetinget tilslutter sig dit NemID korstog påduttes standpunkter de aldrig har givet udtryk for.

NB: Hvor ved Du i øvrigt fra, hvor længe jeg eller andre har fulgt debatten?

Jesper Lund

Det er altså ikke særlig overraskende, at såfremt man udleverer nøglen til hoveddøren, så er vejen banet for indbrud. Det er jo dybest set det som Version2 har demonstreret. Statistikken

Nej, problemet med NemID er at du ikke kan se om du stikker nøglen ind i den rigtige hoveddør eller om det er et MiTM angreb på din hoveddør (for nu at blive i din egen analogi),

Det angreb som version2 demonstrerede har været skitseret i utallige debatindlæg på version2 siden NemID planerne blev lagt frem. Check specielt Michael Nielsens mange indlæg.

Husk at vi indtil videre kun anvender NemID til netbanker og enkelte offentlige hjemmesider. DanIDs plan er at vi skal bruge NemID overalt (og men en krone i betaling per login ville jeg også pushe den plan hvis jeg var DanID..). Hvis DanID får held med dette, vil det om et par år være fuldstændigt umuligt at kende en ægte NemID side fra en falsk NemID side.

Det er ikke for sent at lave dette defekte single sign-on koncept om. Men det kræver at f.eks. Finansministeren tager kritikken alvorligt og ikke bare lytter til de embedsmænd som sammen med DanID har udviklet et usikkert SSO og nu skriver arrogante og intetsigende §20 svar (for en god ordens skyld: NemID er efter min mening sikker nok til netbank, men usikkert som digital signatur og SSO til "alt").

Jesper Lund

Faldet skete allerede før NemID blev lanceret i juli 2010. De første to kvartaler var der ingen netbankindbrud, som det fremgår af deres statistik:
http://www.finansraadet.dk/tal--fakta/statistik-og-tal/netbankindbrud---...

En væsentlig forklaring er formentlig at bankerne i stigende grad og mere effektivt checker for potentielt mistænkelige transaktioner i forhold til kundens normale mønster og holder disse transaktioner tilbage. Det samme gøres med kreditkort. Det er en ren server ting, som ikke har noget med login systemet at gøre.

Jørgen Larsen

@Jesper Lund, det er et argument jeg sagtens kan følge. Men det er også, som jeg ser det, en kalkuleret risiko.

For det først skal en eller flere brugere lokkes til at logge ind på en sådan fake side. Det er nu ikke helt så let som det lyder, og hvis det skal give mening så skal den IT kriminelle også skabe en kobling mellem brugeren og identificere dennes bankforbindelse. Det er så lykkes 8 gange i år. Det vil givet også lykkes et antal gange næste år.

Den IT kriminel, som foretager en sådan MiTM angreb og altså logger ind på vegne af en bruger, får foretaget et PC fingeraftryk. Nu kan jeg af gode grunde ikke vide, hvilke sikkerheds tiltag som NemID foretager sig i forhold til dette fingeraftryk.
Men en oplagt mulighed ville selvfølgelig være at undre sig over, at 8 - 20 forskellige brugere har samme PC fingeraftryk, ikke? Bevares, det er teknisk muligt at ændre dette PC fingeraftryk. Men det gør det unægtelig lidt mere besværligt.

Spørgsmålet er ikke om det er teknisk muligt, men hvad omkostningerne er i forhold til udbyttet. Her er der INDTIL VIDERE ikke noget som tyder på, at det er tilfældet.

Jørgen Larsen

@Jesper Lund, det er også fuldstændigt korrekt. NemID står ikke alene som sikkerhedssystem for bankerne. Men med et dalende ØKONOMISK udbytte så falder måske også motivationen til at udnytte de svagheder som NemID måtte have?

Det er selvfølgelig IKKE et argument imod at skabe bedst mulig sikkerhed i forhold til en række andre parameter (omkostninger, brugervenlighed m.m.).

Sune Marcher

...at NemID ikke opfylder de lovmæssige krav til at blive kaldt en Digital Signatur?

Jeg har lige modtaget mail fra nets (eller en phisher? :)), der informerer mig om at den gamle digitale signatur udløber 25. Decemer - quote følger:

Digital Signatur er den 1. juli 2010 afl?st af NemID, hvorfor du ikke kan forny din
Digitale Signatur. Vi kan i stedet tilbyde dig NemID ? den nye Digitale Signatur,
der giver adgang til samme services som din Digitale Signatur i dag. Er du
netbankbruger, kan du ogs? benytte NemID i netbanken.

Bemærk de amatør-agtigt udseende '?' i stedet for non-ASCII bogstaver. Amatørerne har anvendt quoted-printable og angiver ikke charset... sammenhold med jeg allerede er NemID bruger (på samme email adresse), så lugter det langt væk af phishing angreb, eller ekstreeeeeemt amatørisme fra Nets' side.

Det jeg studser mest over er dog ordlyden - og helt specifikt, "den nye Digitale Signatur".

Jesper Lund

@Jesper Lund, det er et argument jeg sagtens kan følge. Men det er også, som jeg ser det, en kalkuleret risiko

Det giver mening at tale om kalkuleret risiko i forbindelse med netbank: bankerne hæfter for tab og så er det fornuftigt at de bestemmer sikkerhedsniveauet. Det kan ikke betale sig at bruge 50 mill/år for at forhindre misbrug for 1 mill. Hvis det var tab for 250 mill, ville de gøre noget andet.

Men NemID er mere end netbank.. Der er ingen som dækker dine tab ved identitetstyveri (et tab der kan være svært at gøre op i værdi), og når der er asymmetri mellem hvem der dækker tabet og hvem der betaler omkostningerne ved at sikre systemet, giver begreber som "kalkuleret risiko" ikke mening længere. Jeg vil også gerne spille roulette for andres penge..

Du kan vælge ikke at aktivere dit OCES certifikat (endnu, selvom visse offentlige myndigheder allerede har implementeret en, formentlig ulovlig, NemID tvang). Men du kan ikke permanent blokere dit OCES certifikat hos DanID, og det kan meget let aktiveres. Prøv f.eks. at bruge NemID selvbetjening uden OCES -- her skal du holde tungen lige i munden og svare ja eller nej til de kritiske spørgsmål for ikke få at OCES aktiveret ved en fejl. Det kan også ske som første trin i et phishing angreb ala det som version2 har skitseret.

Jesper Lund

Men en oplagt mulighed ville selvfølgelig være at undre sig over, at 8 - 20 forskellige brugere har samme PC fingeraftryk, ikke? Bevares, det er teknisk muligt at ændre dette PC fingeraftryk. Men det gør det unægtelig lidt mere besværligt.

Nej, du bruger en Virtual Machine hvor du ændrer MAC adressen mellem hver login. Meget nemt.

Der er en del NemID brugere, bl.a. undertegnede, som selv gør dette til deres egne NemID logins fordi de ikke ønsker at DanID skal snage i deres computer.

Peter Mogensen

selvom visse offentlige myndigheder allerede har implementeret en, formentlig ulovlig, NemID tvang

Men hvor skulle den gennemsnitlige offentlige myndighed også vide fra at det ikke hænger sammen? NemID er jo blevet markedsførst aldeles uærligt. Når det skal tales op og når politikerne roser det, så er det en "digital signatur", men når der stilles kritiske spørgsmål, så har det pludselig ikke noget med lov om digitale signaturer at gøre.

Alex Holst

Jeg antager at vi kan være enige om, at de IT kriminelle er mere interesseret i penge, end dine og mine sundhedsoplysninger?

Det er en forkert antagelse. Hvis jeg 'ejer' din NemID, ejer jeg din identitet. Identitetstyveri er en forretning i vækst og NemID gør intet for at ændre dette. Hvis jeg havde kontrol over et større antal NemID konti, ville der være mange penge at tjene.

Det handler ikke om kr. 62000 eller 3 millioner. Det handler om, hvad individier - eller store grupper af befolkningen - kan blive udsat for, uanset hvor heldigt eller uheldigt de opfører sig.

Brug din fantasi, for det gør angriberne. Hvis du havde adgang til nogle NemID konti i et stykke tid, hvad kunne du så udrette for at tjene penge på andres bekostning? Det er det vi er oppe imod.

Mikkel Tobiasen

Din misopfattelse af mim angreb er en del af hele problemet: man kan godt forhindre mim effektivt. Læs noget mere om emnet så finder du ud af det.
Det er i øvrigt ret sigende at vi i Danmark


Forstår skam udemærket problematikken. Men intet system er fuldstændig immun overfor angreb og hvis det vurderes at systemet er tilstrækkeligt, må man jo forholde sig til det. Så nytter det ikke noget at opføre sig som et barn der ikke får sin vilje. Sidstnævnte var møntet på de bruger og skribenter der har set sig sure.
Digital signatur var også sårbar; overfor Backdoor, Trojan mm. og derfor falder argumentation til jorden. Hvis du kan snyde en naiv/uerfaren kunde, som i dette tilfælde 8, til at gå ind på en forkert hjemmeside; hvad forhindre så en potentiel angriber i at få fuld adgang til OS herunder digital-signatur igennem en palet af sårbarheder ud over Java?

Synes I skal vågne lidt op og ligge paranoiaen på hylden. Nu er der spildt offentlig tid nok. Så spændende og interessant er jeres liv nu heller ikke :)

Mikkel Tobiasen

Jacob Pind: Har aldrig haft lettere ved at holde styr på mine ting, så helt elendigt kan det ikke være :)
Og konspirations-teorierne er jo altid et hit, kan jeg forstå for en række læsere herinde. Skal vi ikke tage det til den tid? Den skjulte 'kode' viste sig jo ganske uskyldig og blev blæst helt ud af proportioner ;)

Jørgen Larsen

@Jesper Lund, Her forudsætter Du altså, at NemID kun ser på et parameter, nemlig MAC adressen. Hvis De laver en samlet checksum og kun ser på den, så ville det være tilstrækkeligt. Men nu ved Du og jeg dybest set ikke, hvordan NemID bruger disse hardware informationer.

Man kan have mange holdninger til NemID, men i modsætning til en række andre debattører, så er NemID efter min opfattelse IKKE udviklet af amatører. NemID har en helt indlysende EGEN interesse i, at befolkningen kan have tillid til løsningen.

NemID er naturligvis IKKE hævet over kritik og der ER en række relevante indvendinger. Men der er ved gud også en række indlæg, som er temmelig skinger i tonen. Kendsgerningen er at vi har kendskab til 8, jeg gentager 8 tilfælde, ud af 500 millioner transaktioner, som er udnyttet af IT kriminelle.

Jesper Lund

@Jesper Lund, Her forudsætter Du altså, at NemID kun ser på et parameter, nemlig MAC adressen. Hvis De laver en samlet checksum og kun ser på den, så ville det være tilstrækkeligt. Men nu ved Du og jeg dybest set ikke, hvordan NemID bruger disse hardware informationer.

Nej, og er det særligt betryggende at vi ikke kan få at vide hvilke oplysninger DanID egentlig indsamler om vores computere?

Jeg håber at blive klogere på dette punkt når DanID svarer på min anmodning om egenindsigt (jf. persondataloven) i de oplysninger som DanID behandler om mig. I mit brev til DanID skrev jeg eksplicit at jeg forventede at deres svar ville omfatte de oplysninger som de indsamler om min(e) computer(e).

Jesper Lund

Og konspirations-teorierne er jo altid et hit, kan jeg forstå for en række læsere herinde. Skal vi ikke tage det til den tid? Den skjulte 'kode' viste sig jo ganske uskyldig og blev blæst helt ud af proportioner ;)

Tjaah, oprindeligt fik vi at vide at NemID appletten skulle være signeret for at skrive til en logfil (det var meget bedre for vores privacy at den logfil lå lokalt og ikke hos DanID) og at DanID var nødt til at lave deres egen caching funktion fordi Java's caching åbenbart ikke var god nok.

Nu viser det sig at den primære grund er at den signerede Java applet blot er en lille boatloader der kalder anden Java bytecode og, gud hjælpe mig, native code i dll/so filer som DanID prøver at skjule som GIF filer. Hvem er det lige som plejer at bruge GIF filer til at skjule kode...? Via reverse engineering fra version2 læsere har vi konstateret at NemID appletten indsamler oplysninger om vores computere, og DanID har bekræftet dette. Da DanID blev presset til det, vel at mærke. Det er ikke noget som DanID ærligt har oplyst os om. Der er en cover-my-ass formulering i NemID brugerbetingelserne som (måske) kan dække denne dataindsamling, men det er pakket rigtigt godt ind.

Og det er hvad NemID appletten gør i denne uge. I næste uge kan der komme en ny applet med nye funktioner.

Da folk for et år siden antydede at en signeret NemID applet kunne indsamle oplysninger om vores computere blev det kaldt konspirationsteorier. Men det var spot on..

Alex Holst

Det forekommer mig blot, at der findes nemmere veje til identitetstyveri, end via NemID.

Tjo, hvis du blot vil gå ind i Fona og tage et 40K kroners lån i en andens navn, ja. Men det indebærer stor personlig risiko.

Så er det lettere at lave et masseangreb på NemID og/eller dets brugere, mens du er skjult bag et netværk af jumphosts og måske endda sidder i et andet land. Og det skal vi huske i risikovurderingen.

Jørgen Larsen

@Alex Holst, det er måske ikke helt så nemt som Du tror. Hvis Du går ind på din NemID konto så vil Du se, at man registrer din IP adresse ved login til NemID.

I forbindelse med et denial-of-service attack giver det mening, at foretage IP spoofing. Men eftersom man i forbindelse med MiTM ønsker svaret tilbage, så må man nødvendigvis angive en 'rigtig' IP adresse. Denne IP adresse må så optræde på en række forskellige brugere - tror Du det vil give anledning til undren hos NemID? Kunne man forestille sig, at en række udenlandske IP adresser vil få nogle alarmklokker til at ringe?

Ja, jeg kender ikke svaret. Men det ville da undre mig, hvis man ikke hos NemID har overvejet MiTM scenarierne. Her har jeg så helt set bort fra din underforstået antagelse, at et masseangreb vil få en massiv mængde af NemID bruger til helt ukritisk at logge ind på det falske websted.

Jesper Lund

I forbindelse med et denial-of-service attack giver det mening, at foretage IP spoofing. Men eftersom man i forbindelse med MiTM ønsker svaret tilbage, så må man nødvendigvis angive en 'rigtig' IP adresse. Denne IP adresse må så optræde på en række forskellige brugere - tror Du det vil give anledning til undren hos NemID?

En virksomhed har 200 brugere bag samme NAT eller HTTP proxy, og 10 medarbejdere skal checke deres netbank i frokostpausen. DanID ser 10 brugere fra samme IP inden for kort tid. Næppe noget usædvanligt.

En angriber kan nemt skifte IP mellem hvert NemID login, hvis der er behov for dette. En meget simpel metode er at købe en taletidspakke til mobil bredbånd ala Oister Tankselv. Ingen sporbarhed (du betaler kontant og din identitet bliver ikke registreret), og ønsker du en ny IP skal du blot afbryde og genstarte PPP forbindelsen.

Sidder du i udlandet og ønsker du en dansk IP adresse, er der VPN forbindelser. Musik- og filmindustriens geolocation restriktioner har gjort dem meget populære. Eller de mange computere som ufrivilligt indgår i et botnet: de kan sættes op som proxy.

DanID kan bruge deres "hemmelige" checksum til at låse din NemID til en bestemt computer. Hvis du ikke sender den samme checksum som ved sidste login, bliver det afvist. Det vil gøre MiTM meget sværere, men det vil også smadre den mobilitet som NemID i høj grad er blevet solgt på ("modsat den gamle digitale signatur skal der ikke installeres noget på din computer blah blah blah").

Michael N. Steen

Når det skal tales op og når politikerne roser det, så er det en "digital signatur", men når der stilles kritiske spørgsmål, så har det pludselig ikke noget med lov om digitale signaturer at gøre.


Det er fordi de skelner mellem "digital signatur", som de vedblivende kalder NemID, og "kvalificeret digital signatur" som defineret i lov om digitale signaturer.
TDCs digitale signatur var i øvrigt heller ikke en "kvalificeret digital signatur", da det kræver personligt fremmøde og legitimation.

I øvrigt besynderligt, at det ikke er et krav til en bindende digital signatur, at den er kvalificeret.
Man kan jo heller ikke få et pas uden personligt fremmøde.

Jørgen Larsen

@Jesper Lund, ja, men der er ligesom en hel masse forudsætninger, som skal på plads først, ikke? En masse brugere som tilgår en fake side, der skal skabes en kobling mellem brugerne og Deres bankforbindelse, udskiftning af en række PC fingerprint værdier, adgang til mobilt bredbånd(pris) og/eller et botnet(pris?). Årets udbytte 62.400 kr.

Det er sikkert mig. Men er vi efterhånden ikke et stykke fra det billede som en række selvudnævnte sikkerhedseksperter har forsøgt at skabe af NemID, som udviklet af lallende amatører?

Jesper Lund

@Jesper Lund, ja, men der er ligesom en hel masse forudsætninger, som skal på plads først, ikke? En masse brugere som tilgår en fake side, der skal skabes en kobling mellem brugerne og Deres bankforbindelse, udskiftning af en række PC fingerprint værdier, adgang til mobilt bredbånd(pris) og/eller et botnet(pris?). Årets udbytte 62.400 kr.

Du bliver ved med at argumentere ud fra netbank, men NemID er mere end det. Meget mere end det hvis man skal tro Finansministeren (offentlige services hvor alt skal være digitalt fra 2015) og DanID selv (tjene en krone per login overalt, let's do the math..).

Mig bekendt har ingen påstået at DanID er lallende amatører, men DanID kunne have designet et mere sikkert NemID hvis de ville. Til at starte med synes jeg at det er en rigtig dårlig ide at blande netbank og offentlige services sammen, og det er en endnu værre ide at lave et single sign-on til alt. Forskellige online services har forskellige sikkerhedsbehov, og det tager NemID slet ikke højde for. Hvis du bruger samme sikkerhedspolitik overalt, udvander du sikkerheden i forhold til de services som virkelig har brug for det.

Men her spiller udsigten til at tjene en krone per login nok ind..

Udover diskussionen om sikkerheden, er der hele vendor lock-in problematikken. Om et par år er alle systemer filtret så meget ind i DanIDs specielle Java appletter, at det vil være fuldstændigt umuligt at skifte til en anden leverandør af digital signatur. I det omfang udbudsmaterialet har talt om åbne standarder og interfaces, har DanID gjort dem lukkede. Vi kommer formentlig til at hænge på NemID i 100++ år. Jeg vil vove den påstand at NemID er designet med henblik på at maksimere vendor lock-in. Det vil give god forretningsmæssig mening for DanID (tænk inspiration fra dankortet her).

Jørgen Larsen

@Jesper Lund, når Du skriver, at "DanID kunne have designet et mere sikkert NemID hvis de ville" så ligger der vel underforstået den påstand, at NemID MED VILJE har lavet et mindre sikkert system, end de kunne ud fra hensyn til omkostninger og brugervenlighed. Jeg tillader mig blot at spørge, hvorfor i al verden skulle De dog det? De har da en helt indlysende interesse i at gøre systemet så sikkert som overhovedet muligt. Alt andet vil da være at undergrave den forretningsmodel som Du selv beskriver.

Nu er selve grundideen i Nem ID, at man kun skal have behov for en login til de forskellige services. Jeg vil faktisk tillade mig at mener, at de fleste virksomheder efterstræber det samme mål. Alternativet vil jo være en forskellig login til hvert eneste system. I de situationer, hvor brugerne bliver tvunget ud i den situation sker der typisk det, at De benytter nøjagtig samme brugernavn og kodeord i de forskellige systemer. Men en opdeling af Nem ID i flere sikkerhedszone - klart en god ide.

Peter Mogensen

Til at starte med synes jeg at det er en rigtig dårlig ide at blande netbank og offentlige services sammen,

Ikke nødvendigvis - hvis det var et ordenligt PKI - evt. med pseudonymer.
Problemet er at man har lavet et SSO til banker, markedsførst det som en digital signatur, påstået at det var frivilligt at bruge, når alt praksis har vist at det var en lodret løgn og når der kom kritiske spørgsmål var det pludselig ikke en digital signatur alligevel (indtil næste gang det skulle markedsføres).

... at det så også tvinger folk til at køre en tåbelig priviligeret applet på deres maskine er det mindste problem. Det kan jo ændres og indtil da kan man jo bruge en virtuel maskine. (hvis man er således IT-enabled)

Niels Didriksen

så ligger der vel underforstået den påstand, at NemID MED VILJE har lavet et mindre sikkert system, end de kunne ud fra hensyn til omkostninger og brugervenlighed. Jeg tillader mig blot at spørge, hvorfor i al verden skulle De dog det?


Det er et spørgsmål om sikkerhedsmodellen. Et sikkert system for DanID er ikke det samme som et sikkert system for en given borger eller virksomhed eller golfklub.

Som du ganske rigtigt påpeger, så træffer DanID deres beslutning ud fra deres forretningsmodel, som i bund og grund handler om at tjene flest mulige penge. Og hvis de i det lys bliver nødt til at tage stilling mellem til et tab på 5-6mio kr pr år pga svindel med en håndfuld privatkunders konti mod indtægten for 500-1000 millioner logins til 1 kr pr stk pr år på forskellige offentlige og private hjemmesider.. så vil du sikkert opdage at du som privatperson ikke har helt samme indstilling til sikkerhed og vigtighed som banken.
DanID har ikke med vilje lavet NemID usikker, men de har taget nogle designmæssige valg, der alene understøtter deres egen forretningsmodel og går stik imod borgernes. Og det er grunden til en del af diskussionen. At de så lyver, fordrejer, fusker og skjuler og kun kryber til korset når beviserne bliver for overvældende er efter min mening bare uværdigt.

Jørgen Larsen

Jeg har altså svært ved at se, at det kan være særlig overraskende, at NemID har løst den opgave de har fået stillet af staten. Man kan være uenige i opgave formuleringen, men så skal kritikken rettes mod det politiske system og ikke NemID. Det er omtrent lige så intelligent som at skælde buschaufføren ud over køreplanen.

Det grundlæggende spørgsmål er: Er NemID en brugervenlig og sikker login metode? Hvis man tager udgangspunkt i virkeligheden så synes svaret altså, at være ja. Det betyder selvfølgelig ikke, at det nødvendigvis altid vil være sådan. NemID kan jo være tvunget af omstændighederne til at ændre i Deres setup.

Jeg er helt på det rene med, at man kan være uenige i sikkerhedsmodellen og der kan opstilles en række skrækscenarier. Det samme gælder i øvrigt en række andre af livets forhold. Jeg stoler eksempelvis på, at DNS systemet ikke er kompromitteret, at min Internet Services Provider ikke logger indholdet af al min kommunikation m.m.

Peter Stricker

@Jørgen Larsen

når Du skriver, at "DanID kunne have designet et mere sikkert NemID hvis de ville" så ligger der vel underforstået den påstand, at NemID MED VILJE har lavet et mindre sikkert system, end de kunne ud fra hensyn til omkostninger og brugervenlighed.


Nu kalder du det "underforstået", men der er nu ikke noget skjult i Jesper Lunds anklage. Og DanID har ikke været ubekendt med problemstillingerne, da blandt andet Peter Lind Damkjær ofte deltog i debatterne her på Version2 inden udrulningen af NemID.

Jeg tillader mig blot at spørge, hvorfor i al verden skulle De dog det?


Du kunne passende spørge den Jørgen Larsen, der indtil flere gange har brugt bankernes økonomiske risiko som begrundelse for, at systemet ikke behøver at være bedre.

Birger Nielsen

Det virker altså lidt underligt på mig, at nogen på den ene side kritiserer sikkerheden og samtidig forlanger oplyst, hvilke informationer der indsamles ved login. Er det for at gøre det nemmere for banditter at gennemskue systemets sikkerhed?

Vi har iøvrigt en lov om dataindsamling og brugen af disse data. Vi bliver nødt til at tro på, at legitime virksomheder lever op til denne. Ellers kan man jo stille spørgsmålstegn ved alt.

Hvorfor er der ikke nogen som præsenterer et for danske forhold gennemarbejdet alternativ, som tager hensyn til sikkerhed, rentabilitet og brugervenlighed ifm brug til både banker og offentlige servicer? Hvis nogen kan det, så vil det kunne tages med i overvejelserne til fremtidens løsning.

Hvis nogen mener de ikke har tilstrækkelig faktuel viden om området, til at kunne fremstille et sådant gennemarbejdet alternativ, så må det vel samtidig undre, at de kan være så kritiske omkring NemId, som tilfældet er.

Det er fint nok at påpege risici ved enkeltdele, men at dyrke det frem til at være en kritik af et samlet systems funktionalitet, forekommer mig noget uberettiget.

Peter Mogensen

De har da en helt indlysende interesse i at gøre systemet så sikkert som overhovedet muligt.

Som andre har påpeget, så antager du med det udsagn at "sikkerhed" er en størrelse man kan placere på en en-dimensionel skala ligesom temperatur o.lign.

Men sikkerhed er altid et spørgsmål om "for hvem" og "i forhold til hvilket trusselsscenarie". DanID kan - som privat selskab - principielt være revnende ligeglade med din sikkerhed og dine bekymringer. Og NemID bærer præg af det.

Jeg ved selvfølgelig ikke med dig, men mine sikkerhedsbekymringer er ihvertfald ikke de samme som DanIDs.

Vijay Prasad

DanID kan - som privat selskab - principielt være revnende ligeglade med din sikkerhed og dine bekymringer.

Vel kun fordi de har et monopol (og selv har skrevet kravspec. sammen med kammeraterne hos det hengangne ITST) - i et frit marked kan man næppe forestille sig at de ville være ligeglade.

Mvh,

Jørgen Larsen

@Peter Stricker, den ubekvemme sandhed er, at der er konstaterede 8 ud af 500 millioner transaktioner, som er udnyttet af IT kriminelle. Det passer ikke så godt ind i den 'vedtaget' Version2 debat ideologi - NemID er nemlig pr. definition et forbryderisk projekt styret af kommercielle interesser og implementeret af en samling tumper.

Sikkerhed er altid en afvejning af en række faktorer, herunder indsats i forhold til risiko og omkostninger. Jeg føler mig overbevist om, at Du i Dit privat liv foretager en tilsvarende afvejning. Vi er altså blot et par stykke, som drister os til at påpege:

At der ikke er noget som på nuværende tidspunkt tyder på et seriøst og omfattende sikkerhedsproblem.

At NemID langt hen ad vejen selv har en indlysende økonomisk interesse i, at systemet ikke kompromitteres.

Hvis Du læser mine indlæg så vil Du faktisk også se, at jeg tager en række forbehold overfor NemID løsningen. Men det har Du ligesom valgt at se bort fra, ikke?

Jørgen Larsen

@Peter Mogensen, det er jo fuldstændigt forkert. NemID kan principielt set IKKE være revnende ligeglade med din sikkerhed. Den dag, hvor NemID seriøst bliver kompromitteret er Deres forretningsmodel truet.

Peter Stricker

den ubekvemme sandhed er, at der er konstaterede 8 ud af 500 millioner transaktioner, som er udnyttet af IT kriminelle.


Det er jo fuldstændig absurd, at slynge den slags tal ud.

Ja, det er korrekt, at NemID kører videre på trods af 8 rapporterede tilfælde af brud på sikkerheden. Og det på trods af, at Version2 og Ingeniøren har påvist at tilsvarende brud stadig kan foretages ved at følge en forholdsvis simpel opskrift.

Synes du også, at det var en hysterisk reaktion af DSB, da de tog hele flåden af IC4 ud af drift? Hvor mange dødsfald eller personskader har der lige været med IC4?

Niels Didriksen

det er jo fuldstændigt forkert. NemID kan principielt set IKKE være revnende ligeglade med din sikkerhed. Den dag, hvor NemID seriøst bliver kompromitteret er Deres forretningsmodel truet.


IKKE NÅR DE HAR MONOPOL!!! Deres forretningsmodel er vel en af de mest behagelige i verden, og det afspejler sig jo også i deres kommunikation med kunderne, som jo er en årelang perlerække af brudte løfter, fordrejninger, usandheder og trække-i-land, hvis de altså overhovedet gider at kommunikere.

Og hvis borgerne havde kontrollen over deres egen nøgle, ville en massiv andel af forretningsmodellen falde sammen, da feks. golfklubben ikke behøvede at betale en krone hvergang jeg loggede ind, som idag. Hvilket jo åbenlyst er den største årsag til at der bliver blæst på konvensioner, definitioner og lovgivning, når de klynger sig til forretningsmodellen som den ser ud idag.

Jeg forstår ikke hvorfor nemid-entusiaster som dig er så overbeviste om, at der er nævneværdigt interessesammenfald mellem borgerne/kunderne og nemid-kartellet.

Jørgen Larsen

@Peter Stricker, Du synes det er fuldstændigt absurd, at forholde sig til, hvor stort MITM problemet på nuværende tidspunkt er? Det behøver man vidst ikke at kommentere - udsagnet kan stå alene, med et efterfølgende udråbstegn.

Bemærk venligst, at en sådan konstatering af virkeligheden altså ikke er det samme som, at man ikke skal forholde sig til problemstillingen. MITM er nok en af de største udfordringer for NemID.

Jørgen Larsen

@Niels Didriksen - nemID-entusiaster. aarh, jeg havde nu ventet den var kommet noget før. Er det ikke bare et forsøg på, at stemple undertegnet som tilhænger af en bestemt sikkerhedsmodel eller endnu bedre - I lommen på NemID?

Hvis Du nu læser mine indlæg og undlader at indlæse dine egne fordomme om, hvad jeg angiveligt mener om NemID sikkerhedsmodellen så vil Du se, at jeg faktisk overhovedet ikke forholder mig til spørgsmål som kontrol over egen private nøgle, vendor-lock-in m.m. NemID kan jo altså faktisk godt være en relativ sikker løsning, uden jeg nødvendigvis foretrækker den løsning fremfor en anden, eller hvad ....?

Jesper Lund

Jeg har altså svært ved at se, at det kan være særlig overraskende, at NemID har løst den opgave de har fået stillet af staten.

"Løst opgaven" er i øvrigt så meget sagt. DanID skulle levere en digital signatur løsning hvor borgerne har valgfrihed mellem om den private nøgle opbevares hos DanID eller alene hos borgeren på et smartcard (det står i udbudsmaterialet). DanID har kun leveret halvdelen af det specificerede. I skrivende stund er sidste halvdel udsat på ubestemt tid.

Jesper Lund

Det virker altså lidt underligt på mig, at nogen på den ene side kritiserer sikkerheden og samtidig forlanger oplyst, hvilke informationer der indsamles ved login. Er det for at gøre det nemmere for banditter at gennemskue systemets sikkerhed?

Vi har iøvrigt en lov om dataindsamling og brugen af disse data. Vi bliver nødt til at tro på, at legitime virksomheder lever op til denne. Ellers kan man jo stille spørgsmålstegn ved alt.

Ja, og den lov (persondataloven) siger at vi har krav på indsigt i de oplysninger som DanID indsamler og behandler om os.

Vi kan lige så godt antage at de kriminelle præcist ved hvad NemID appletten laver og hvilke oplysninger der sendes til DanID. Husk at de kriminelle lever af at vide den slags, For de fleste version2 læsere er reverse engineering af NemID appletten blot en hobby.

Når der er et marked for tamper proof hardware tokens, er det blandt andet fordi det er ufatteligt svært, og i praksis måske umuligt, at sikre at stykke software som afvikles på en computer mod angreb (hvis angriberen har root adgang til den lokale maskine). Egentlig tror jeg ikke at DanID kan stole på andet end papkortet med OTP koder (samt dit password som de kan validere).

Niels Didriksen

@Niels Didriksen - nemID-entusiaster. aarh, jeg havde nu ventet den var kommet noget før. Er det ikke bare et forsøg på, at stemple undertegnet som tilhænger af en bestemt sikkerhedsmodel eller endnu bedre - I lommen på NemID?


Kan ikke se hvad der er galt i min kommentar. Hvad foretrækker du? Fortaler?
Jeg har intetsteds antydet at du var i lommen på nogen, og du virker da ret entusiastisk i dit forsøg på at forsvare deres sikkerhed med 'ubekvemme sandheder' og antagelser om forretningsmodeller osv.

Og ja, jeg kan sagtens se, som du selv påpeger at der er mange ting du ikke forholder dig til, hvilket formodentligt er årsagen til, at der er mange indlæg der forsøger at forklare dig, hvorfor man bør tage hele billedet i betragtning. Alt andet giver efter min mening ikke mening, men DanID bruger meget krudt på at forsøge at få debatten til at dreje sig om mere eller mindre betydelige detaljer og ikke hele billedet, da det jo ikke er kønt og overmåde kritisabelt. Igen tak til Version2 for at forsøge at dække bredt.

Jens C. Hansen

Den dag, hvor NemID seriøst bliver kompromitteret er Deres forretningsmodel truet.

Se, nu kommer vi til det værste: DanID er et centralt punkt, hvor alt kan bryde sammen.
Den dag, hvor DanID bliver hacket og alles private nøgler er kompromitteret, står vi med et kæmpe problem i Danmark: der kan ikke foretages nogen overførsler eller handler vha. koder fra de gamle papkort, for de er lavet ud fra de kompromitterede nøgler, så man kan ikke være sikker på, hvem som prøver at foretage en overførsel.
Hvad skal vi så gøre i den måned eller to der går, indtil alle har fået nye papkort eller tilsvarende, lavet ud fra nye nøgler?
Der er lukket så mange bankafdelinger siden folk for alvor begyndte at bruge netbank i stor stil, at vi ikke bare alle sammen kan stille op nede i banken. Jeg har faktisk svært ved at forestille mig det kaos, som ovenstående vil forårsage.

Hvorfor er jeg så sikker på, at det sker før eller siden? - fordi det er mange milliarder nogle organiserede kriminelle kan score på en aften eller nat, hvis det lykkes for dem. Det er ikke just motivation, som mangler.

Det er ikke engang sikkert, at det er nødvendigt at hacke sig ind - hvis bare én medarbejder hos DanID samarbejder med kriminelle, så kan det nemt ske.

Så er der alle de andre muligheder for nedbrud, både med og uden tab af nøgler - når DanID er nede, er der ingen som kan foretage sig noget økonomisk. Det er virkelig dybt godnat, at man overhovedet har tilladt den konstellation at blive til virkelighed.

Jesper Poulsen
Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Affecto Denmark reaches highest Microsoft Partner level

Affecto Denmark, a leading provider of data-driven solutions, has reached the highest level in the Microsoft partner ecosystem: Managed Partner.
22. jun 13:45

Innovate your business with Affecto's IoT Explorer Kit

Are you unsure if Internet of Things fits your business strategy?
31. maj 2017

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017