Skattefars 'phishing-links' havner hos finansministeren

Illustration: REDPIXEL.PL/Bigstock
Modstrid mellem DanID's sikkerhedsudmeldinger og Skats praktiske link-politik i e-mails til borgerne får nu Dansk Folkepartis it-ordfører til at kræve, at finansministeren kommer ud af busken.

DanID skriver som en del af virksomhedens sikkerheds-setup, at offentlige tjenester ikke vil sende borgerne links til sites med NemID-login.

Læs også: DanID: »Vi er nødt til at holde vores sikkerhedsberedskaber for os selv«

Skat sender på den anden side millioner af e-mails med masser af links – blandt andet til den side, hvor man kan logge på sin online-skattemappe med NemID.

Læs også: E-mails fra Skat punkterer DanID's forsvar for NemID-sikkerhed

Den åbenlyse modstrid mellem den it-sikkerhedspolitiske udmelding fra DanID og den virkelighed, som danske e-mail-brugere befinder sig i, havner nu på finansministerens bord.

Det er Dansk Folkepartis it-politiske ordfører, Dennis Flydtkjær, der efter Version2's dækning har stillet et § 20-spørgsmål med følgende ordlyd:

»Er det ministerens vurdering, at det er en sikkerhedsrisiko, at Skat sender mails ud til borgerne med links til login med NemID, da it-kriminelle derved har nemmere ved at lave en phishing-mail, som kan bruges til at guide borgeren hen til en hjemmeside, som kan lave et 'man-in-the-middle'-angreb på NemId?«

Efter Version2's afdækning af misforholdet har Skat efterfølgende bebudet en revision af, hvordan man anvender links i e-mails til borgerne.

»Det er en god beslutning, at Skat genovervejer deres mailpolitik. Problemet ligger ikke i, at de sender folk en mail med links i, men i at linket går til et sted med NemID-login. For så vænner man folk til at gøre noget, som suspekte it-kriminelle også kunne bede om,« siger Dennis Flydtkjær til Version2.

Problemet med links til NemID-login-sider er demonstreret i Ingeniørens og Version2's demonstration af, hvordan et såkaldt man-in-the-middle-angreb kan udføres og bruges til at franarre NemID-brugeren både penge og dybt personlige oplysninger.

Læs også: Video: Så let kan kriminelle franarre dig dit NemID

»Og forudsætningen for sådan et angreb vil jo typisk være, at man har fået en forfalsket e-mail fra eksempelvis Skat,« siger Dennis Flydtkjær.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Andersen

Jeg er utrolig glad for de e-mail, som skat sender, jeg tænker også på de penge, vi alle sammen sparer, når man sender en e-mail i stedet for et brev. Faktisk burde vi ved fødsel og ved oprettelse af en selvstændig virksomhed få tildelt en e-mail adresse f. eks PID nr. xxxxxxxx@P.DK og for virksomheder CVR.: xxxxxxxx@CVR.dk til kommunikation med det offentlige.
At vi mangler et sikkert Digital Signatur, skal vi ikke løse, ved at besværliggøre og fordyre kommunikationen imellem borger, virksomheder og det offentlige, det løser vi ved at lave et sikkert Digital Signatur.

  • 1
  • 1
Daniel Udsen

Er vi ikke igen tilbage til problemet med det polynesiske nemid projekts grundlæggende mangel på konsistens.

Problemet er måske mindre teknikken, der godt nok hverken sætter eller følger nogle standarder, og mere den totale mangel på vilje/evne til at forholde sig realistisk til problemer og mangler ved løsningen. Der giver problemet.

Vi ser igen og igen med det danid's polynesiske signatur løsning at der ingen konsistens er mellem hvad der siges den ene dag og hvad der gælder den næste, og det går dybere end bare overfladen. hvilket giver sig til udtryk i at man har en række usammenhængende vejledninger, og procedurer, som her hvor danid har oversat en vejledning et eller andet sted fra som skat ikke følger osv.

  • 0
  • 0
Thue Kristensen

DanID skriver som en del af virksomhedens sikkerheds-setup, at offentlige tjenester ikke vil sende borgerne links til sites med NemID-login.

Gælder det virkeligt kun offentlige tjenester? En angriber kunne jo lige så godt hugge mit login og logge ind på min skat.dk, via et link som udgiver sig for at være min golfklub (hvis jeg spillede golf og min golfklub bruget NemID).

  • 0
  • 0
Thue Kristensen

Husk på, at NemID burde være en forhåbentlig uforfalskelig "digital signatur". NemID er direkte nævnt i en række love som identification. Og at NemID giver adgang til alverdens personlig information.

Nu bliver DanID jo også ved med at argumentere for, at diverse sikkerhedshuller i NemID ikke er kritiske, fordi det ville være besværligt at udnytte dem automatiseret i stor stil ("Jeg har også fået den mail fra Skat, og den starter med ’Kære Jette Knudsen’. Den er personaliseret til dig. Så en it-kriminel vil have svært ved at sende en byge ud, der er personaliseret på den måde"). Men den slags argumenterer passer jo meget dårligt med NemID som en uforfalskelig underskrift.

Det eneste kriterie som slutbrugerne tilsyneladende har for at vide om en NemID-dialog ikke er et MitM-angreb er, at linket slutbrugerne kom via ikke linkede direkte til login-siden. For de IT-kriminelle gider ikke at lave to falske sider?

Plus at slutbrugerne faktisk ikke (så vidt jeg ved) er blevet informeret om dette kriterie for at vurdere, om en NemID-dialog er reel.

Ny tærsker Version2 meget langhalm over lige dette sikkerhedspunkt, fordi det er så uomtvisteligt at der er en uoverensstemmelse mellem DanID's påstande og virkeligheden. Men den virkelige nyhed er, at DanID faktisk ikke har designet nogen effektiv måde for en slutbruger at bruge NemID sikkert.

Som nævnt mange gange før, så er en god løsning at fortælle brugeren, at han kun må taste sit nemid-login ind på https://nemid.danid.dk . Det er en simpel og effektiv regel, som er lille nok til at man kan skrive den på toppen af et NemID-papkort. Og det er den metode, som for eksempel single-sign-on systemet OpenID bruger.

  • 0
  • 0
Christian Nobel

Husk på, at NemID burde være en forhåbentlig uforfalskelig "digital signatur". NemID er direkte nævnt i en række love som identification. Og at NemID giver adgang til alverdens personlig information

Hvilket er grotesk, i lyset af at NemID i sig selv ikke overholder lov om digital signatur.

Hvis man skal følge den holdning visse NemID proselytter har været på banen med omkring overholdelse af lovgivning om digital signatur, ja så skal vi vel heller ikke tage de andre love alvorligt.

  • 3
  • 0
Nicolai Rasmussen

...før nogen har mistet deres hus, eller en større gruppe kendis'er har fået stjålet deres identiteter.

På Dan-IDs garanti er vi alle sammen blevet smidt ud af flyet i høj højde. Så længe vi er i frit fald er der ingen problemer. Når de første splatter ud på jorden, så kommer alle forklaringerne og deres endeløse vrøvl og spin om at "intet kan være helt sikkert".

Vi må bare konstatere at slaget er tabt - vi fik ikke en god elektronisk signatur, vi fik ikke en sikker løsning - vi fik en dyr og dårlig løsning, og det ændrer sig ikke de næste mange år. Slut prut.

Nu kan vi vælge at:

a) pege fingre - i forsøget på at sikre vi ikke gentager "Amanda".
- det har historien vist ikke virker. Der er kæmpe chance for at projekter over 100 millioner ender med pengene ud af vinduet og løsninger i skandaleklassen.
b) demonstrere at løsningen er så elendigt, som vi alle godt ved.
- det virker ikke - Dan-ID ved det er noget skrald, og vi ved det også, so whats the point.
c) råbe politikerne op, og få dem til at "gøre noget".
- det virker ikke - Politikerne vil aldrig BÅDE indrømme at de ikke var ledelsesopgaven voksen OG at vi skal bruge (endnu) en formue på at løse et "teoretisk" problem.
d) håbe... (på at de ansvarliges arme vil blive for korte og deres røv begynde at klø)...

Tilføj gerne selv til listen. Hvis der er nogen der mener vi har en mulighed for forbedring, så skriv endelig!

  • 0
  • 0
Log ind eller Opret konto for at kommentere