Rådet for Større IT-sikkerhed: Umuligt at opdage NemID-phishing

Hej, Åbenhed er sikkert godt, men er problemet ikke snarere end mangel på åbenhed, at NemID har fokuseret udelukkende på bankernes (og statens) problem frem for borgernes? For Nordea og Danske Bank er tabet af 3/4 mio. sikkert håndører, mens det for en borger formegentlig et noget større problem. Det vil nok være langt dyrere for NemID at lave en bedre løsning end at afskrive de tab.

Staten (og bankerne) har ikke haft brug for, at borgerne har høj sikkerhed og har entydigt fokuseret på en single-sign-on løsning som gav (rimelig) sikkerhed for staten og bankerne. At systemet så kan medføre helt uoverstigelige konsekvenser for borgeren har man så valgt at se stort på.

Jeg er ikke i tvivl om hvad borgerne ville svare, hvis man spurgte om de ønskede den teknisk bedste løsning som kan frembringes til at sikre deres penge og underskrift fremfor en løsning som var lidt nemmere og bruge, men ellers på det jævne med sikkerheden. Men det har ikke været målet med NemID.

• Martin

Til andet end bank transaktioner ?

Og hvad er omkostningen hvis alle sundhedskort skal nyudstedes med chipkort.

Så ja der er mere sikre løsninger men det kompromiterings niveau der skal til for at bryde NemID er så højt at det er svært at se hvordan man kan lave et generelt system der kan sikre mod både generel kompromittering plus live spearfishing.

Og hvis man skal vente så lang tid som den demo viser så er det ubrugeligt i alle samenhænge andet end privat...

Og hvis man in the middel kan spoofe enduserens ip overfor bank/offentligheds systemet hvordan kan man så sikre noget system hvor endusersystemet er fuldt kompromiteret ?

Og mindrere end 20 vellykkede angreb er en rimligt godt system... Men det er så svært at gennemføre at for at det kan betale sig er angriberen tar så meget at det bemærkes, så kan det anmeldes og spores.

Fx som hvis man laver en Iban overførsel sender banken en skriftlig kvitering. Hvis en anden sundhedsperson tilgår dine oplysninger får man besked via brev.

Uanset hvad så er det ikke nemt at vedvarende at trække informationer. Så man kan i de tilfælde hvor der er tydelige tegn på at systemet er kompromiteret kompensere den hvis konto er blevet lænset. Hvis de har taget de forholdsregler der skal tages ved brug af fx. online banking ... Dvs antivirus og firewall.

Det er nemt nok at sige at noget ikke er sikkert nok men hvad er så alternativet, som er billigt, nemt og hurtigt nok til at bruges generelt...

Drømme om, at man kan have et fælles logon-system for næsten alt, er en umulig opgave. Det kan simpelthen ikke lade sig gøre, og jo mere man udvider løsningen, jo mere usikker bliver den. Man solgte drømmen, på en troll ( løgn ) om at NemID skulle levere en sikker identifikationsløsning, som skulle kunne identificerer alle borgere. Der er ikke tale om identificering i forbindelse med NemID, men en udredning af 3'die person, så selv DET har man ikke villet løse.

Alle, herunder IT- & Telestyrelsen / Digitaliseringsstyrelsen, og nok samtlige IT-ordfører, samt andre implicerede er blevet gjort opmærksom på, at det ikke er muligt at identificerer sikkert, gennem NemID's metode. Ej heller er NenID en sikker logon løsning. Det er ikke noget det skal tænke dybt over, for det er de informeret om, længe inden NemID skulle lanceres.

Alligevel, finder NemID støtte i hele folketinget, på trods af at der er redegjort for hvor usikkert og forkert det er. Årsagen kan kun være, at man jo allerede har indført en række løsninger, f.eks. Digital Tinglysning, som er helt afhængigt af at NemID er sikkert. Der er simpelthen brugt ufattelige summer, på alle de afhængigheder der er opstået i forbindelse med at man har valgt NemID. At valget af NemID, bygger på en løgn om at det er sikkert, er noget man gør alt hvad man kan, for at skjule. Uanset hvad det må koste, så er det vigtigste, at man fortsætter med NemID, om så det koster alle Danskere deres ejendom, eller alle Danskere deres personlige integritet.

Det er simpelthen det vigtigste, at gøre løgnen til sandhed, uanset omkostningen. F.eks. kan man ikke tilbagerulle Digital Tinglysning, for man har i sin tro på NemID skulle være sikkert, destrueret alle de gamle tinglysningsbøger, så de findes simpelthen ikke. Tilsvarende, har man åbnet for alle personlige oplysninger, f.eks. igennem Skat's system, og derfor kan man ikke samtidigt indrømme at NemID ikke er sikkert, for så indrømmer man jo at man har smidt folks personlige oplysninger i grams.

Det er årsagen til, at vi på TV kan opleve en fra Danid / Netz, stå og negligerer at NemID er usikkert. Herunder beskylder han direkte brugerne for at opføre sig uansvarligt, selvom han VED at det er noget NemID som produkt SKAL kunne imødegå, og at ansvaret derfor ligger hos NemID ikke hos brugerne.

Når man bygger sit produkt på en løgn, så vil det gå galt. At man i Danmark, kan hoppe på en sådan løgn, anser jeg som et udtryk for ualmindelig dårlig opdragelse. Kejserens nye klæder, blev skrevet af en Dansk forfatter, der tydeligvis ikke har fundet forståelse hos de ansvarshavende politikere, embedsmænd, teknikere / udviklere og forskere, der har skabt NemID.

Selv når man foreholder dem deres Troll, er man flabet og fræk nok til bare at negligerer og kalde andre for dumme. Et udtryk for arrogance og ligegyldighed man skal lede længe efter, og som kun kan finde sted, fordi man føler sig hævet over almindelige love og regler, simpelthen fordi man har magt til at ændre love og regler, så de beskytter den løgn man bygger sit produkt på.

NemID er en fælles login-løsning for alle bankerne. De har oven i købet formået at sælge den til "befolkningen" og derved fået det offentlige som medsponsor. Der er sgu smart - der må være nogen der griner deres røv i laser hele vejen hen til... banken :-)

Hvordan forestiller du dig at disse pengekonto lænsere skulle lænse min konto hvis jeg brugte det tyske Chiptan system ?

https://www.youtube.com/watch?v=U7PnC1S-j4I

Eneste måde jeg kan se er hvis de stjæler din chiptan enhed, dit dankort og kender dit login til banken og det må siges at være en smule mere svært end at sende en mail med en fake link og få folk til at taste koden ind så serveren i Ukraine automatisk kan lænse din konto.

Henrik Madsen

Der er vel ingen som har forstand på computere, som havde forventet at NemID skulle kunne stoppe et angreb når computeren var blevet overtaget af en virus. Det problem kan man simpelthen ikke løse, så vidt jeg ved. Så på den måde har NemID vel ikke fejlet.

Måden som brugerne kan sikre sig på er, ved at beskytte deres computer. Opdatere deres programmer mod sikkerhedshuller, køre antivirus, etc.

Problemet er, at DanID har fremturet med at det altid var åh så sikkert at bruge NemID, selv når man brugte NemID på en fremmed computer. Folk har ikke for alvor forstået at det ikke kunne være 100% sikkert.

For eksempel deres forslag om at bruge NemID til at logge ind før man kunne bruge internettet på en offentlig computer på biblioteket. Man bør man ikke bruge NemID på computere som man ikke er helt sikker på ikke er sikre, og det udelukker en offentlig computer på biblioteket.

Jeg er faktisk overrasket over at der så vidt vides ikke har været nogle angreb endnu, som gør brug af at et NemID-login på fx gentofte-bibliotek.dk også kan bruges til at tømme din bank-konto.