Socialdemokrater vil hæve sikkerhed i 'god NemID-løsning'

Der vil altid være nogen, som vil forsøge at bryde sikkerheden, lige meget hvilken løsning vi vælger, lyder det fra Socialdemokraternes it-ordfører.

Socialdemokraternes it-ordfører Trine Bramsen mener ikke, det nylige phising-angreb på Danske Bank kunder er et tegn på, at NemID er en dårlig løsning. Men selv gode løsninger kan også blive bedre.

Læs også: Netbanktyve bryder gennem NemID igen: Stjæler 700.000

»Antallet af kunder som bliver udsat for sådan nogle tilfælde her, er blevet reduceret til en tiendedel i forhold til det tidligere system. Derfor synes jeg ikke, man kan bruge den her sag til at klandre NemID for at være en dårlig løsning,« siger Trine Bramsen og fortsætter:

»Det er ét uheldigt tilfælde, og det er en politisag nu. Jeg tror, at lige meget hvilken løsning vi finder frem til, vil der altid være nogen som vil forsøge at bryde sikkerheden.«

Rådet for Større IT-sikkerheden mener, at der er for lidt offentlighed omkring NemID til, at det er muligt at komme med konstruktive løsningsforslag til at forbedre sikkerheden. De efterspørger derfor mere åbenhed om NemID-konstruktionen. Den idé tager Trine Bramsen godt imod.

Læs også: Rådet for Større IT-sikkerhed: Umuligt at opdage NemID-phishing

»Vi skal jo altid arbejde på at forbedre sikkerheden, så lad os da endelig invitere nogle eksperter ind på det her område og lad os diskutere, hvordan man kan forbedre sikkerheden,« siger Trine Bramsen.

Læs også: Nyt hacker-trick snød NemID: Sådan gjorde de

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (30)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anonym

Jeg må rette Tine Bramsen.

Der er ikke tale om et enkelt stående tilfælde af netsvindel, mod NemID. Hun må komme i gear omkring hendes ordførerskab, og følge lidt med. Det kan hun bl.a. her på Version 2.

Ud over de her på Version 2, nævnte tilfælde, hvor der direkte er tale om egentlig økonomisk svindel, mod NemID, er der for kun et par uger siden, oplyst i TV udsendelsen Kontant, hvordan der er foretaget andre 121.000 tilfælde af identitetstyverier, hvor Netz bl.a. også indgår, og som kun lader sig gøre, fordi NemID ikke er et identificeringssystem.

Der findes, stort set ikke en eneste IT-ekspert, hverken i Danmark eller uden for landet, som ikke er stærkt betænkelig ved NemID.
Kun nogen få elementer i eller omkring DanID/Netz, bedyrer en tilstrækkelig høj sikkerhed omkring NemID !

Kære Trine Bramsen.
Nu er du nedladende over for de mennesker der får deres liv ødelagt, og evt. bliver bestjålet.

Man VED at NemID er usikker, og ikke beskytter mod selv elementært identitetstyveri, helt op i regeringen !
Alligevel fortsætter man med at beskytte denne løsning.
Man handler og beslutter dermed i mod bedre vidende, til skade for mange mange mennesker.
Det ER ulovligt, at udsætte andres person eller ejendom for fare eller risiko.
Set skule være almindelig viden, selv for en folketingspolitiker.

Alene det aspekt, at der inden for det sidste år, er 120.000 mennesker der har fået deres identitet stjålet, og i større eller mindre grad deres liv ødelagt, skulle gøre tilstrækkeligt med indtryk, til at få problemet løst.
Det bør gøre indtryk på selv en forhærdet, kold, karrierer politiker som Trine Bramsen. Uanset hvad hendes motiv så end må være, for at holde hånden over NemID, som er empirisk bevist som usikkert.

Nikolaj Brinch Jørgensen

Hej Thomas,

Har du noget dokumentation for det tal på 120.000?

Iøvrigt så er det politik. Det har intet med virkeligheden at gøre. Derfor sker der ikke yderligere i NemID sagen. Det skal først gå helt absurd galt, eller oppositionen skal begynde at stille sig kritisk overfor regeringen på det her punkt (det har den nok lidt svært ved, da den har skabt løsningen).

Der er så mange tåbeligheder der sker i det offentlige, pga. politik, det er man oftest nødt til at lære at leve med. Du kan bare tænke på nedskæringen i årsværk, hvor man så beskæftiger flere og flere eksterne konsulter (til en svimlende hyre), blot fordi det så ser pænt ud i budgettet der tæller antal offentlige ansatte (uagtet at der nu bruges endnu flere penge på at få arbejdet udført, og så af folk med endnu ringere viden om forretningen).

Anonym

@ Nikolaj Brinch Jørgensen

Det fremgår af udsendelsen Kontant. Den var for ca 14 dage siden.
Det var Epnion, der havde lavet undersøgelsen, for Kontant.
Der blev i øvrigt meget vel beskrevet, hvordan man kunne svindle, således at almindelige mennesker, får stjålet deres identitet, samtidigt med, at Netz slipper for at betale erstatning.
De eneste der betaler, er brugerne og de virksomheder, som ligeledes bliver svindlet. Netz selv, slipper for ansvar, da de kan skubbe det økonomiske ansvar over på butikkerne, og undlade at forholde sig til selve identitetstyveriet.
Og det var 121.000 på et år !

Lad os kort lave en økonomisk analyse på det.
Hvis det koster hver enkelt 10.000 kr, at få rettet op på selve identitetstyveriet, er der tale om 1,2 milliarder i omkostning om året, for borgerne / samfundet.
Hvad det koster for virksomhederne, er helt uvist, men koster det i gennemsnit 50.000 kr, så er der tale om yderligere 6 milliarder.

Det SKAL gøre indtryk, alene det økonomiske aspekt. Også selv om jeg fejlbedømmer udsendelsen Kontant, og det f.eks. kun drejer sig om det halve.
Her er ikke "beregnet" det menneskelige aspekt, hvor det er MENNESKER der bliver krænket på det groveste. Man kommer ikke tættere end et identitetstyveri, det er meget voldsommere, end et almindeligt indbrud.

Jeg er også klar over, at det skal "gå helt galt".
Men det er det allerede, man kæmper med at holdet det skjult.

Jeg gentager gerne:
"
Man VED at NemID er usikker, og ikke beskytter mod selv elementært identitetstyveri, helt op i regeringen !
Alligevel fortsætter man med at beskytte denne løsning.
Man handler og beslutter dermed i mod bedre vidende, til skade for mange mange mennesker.
Det ER ulovligt, at udsætte andres person eller ejendom for fare eller risiko.
Set skule være almindelig viden, selv for en folketingspolitiker.
"

Jeg udvider gerne med; At når man stiller sådanne muligheder til rådighed, som der findes i NemID løsningen, samtidigt med at man VED at det er usikkert, er man selv aktiv i forhold til den kriminelle handling.
Det er altså ikke "lille Henrik tyveknægt", der er den mest IT-kriminelle, det er dem som helt åbenlyst stiller mulighederne til rådighed, der er de mest kriminelle.

Helt som hvis man offentligt siger, at døren er ulåst, og hytten fuld af guld.

Der ER tale om risiko for alle Danskeres ejendom og værdier, foruden krænkelsen i forbindelse med at blive bestjålet, eller bare få luret sine personlige oplysninger.
Der ER tale om, at man er blevet advaret, og har siddet denne advarsel overhørig.
Der ER tale om, at man er vidende om, at disse advarsler er blevet bekræftet.

Når man fortsat beskytter et sådant system, kan der kun være tale om ond vilje !

At der er tale om et prestigeprojekt, som ikke må fejle, er ikke længere på tale. Det skulle man have tænkt over for længe siden, og handlet der efter.
Prestigeprojektet har fejlet !

Henrik Rathje

Det er da helt EU agtigt.. "det virker ikke, men vi sætter mere fart på projektet, så opdager ingen at det er vores skyld"

Så vi kan da prale med at vi har politikere der er lige så "kloge" som dem i diverse EU kommisioner!

Vi skal jo altid arbejde på at forbedre sikkerheden, så lad os da endelig invitere nogle eksperter ind på det her område og lad os diskutere, hvordan man kan forbedre sikkerheden,« siger Trine Bramsen

SUUUK!!!... DET burde man måske ha gjort INDEN man lancerede NemID!!.. for )&(%#&¤!! da også...

Sorry for diverse udbrud, men dumheden må ha en grænse.. selv i DEN regering.

Henrik Stig Jørgensen

@Thomas

Der findes, stort set ikke en eneste IT-ekspert, hverken i Danmark eller uden for landet, som ikke er stærkt betænkelig ved NemID.

Jo, Bruce Schneier synes at NemID er cool.

@Nikolaj

Iøvrigt så er det politik

NemID er embedsmandsdrevet. Det er Videnskabsministeriet og ITST der har stået bag løsningen og regelsættet. Løsningen er således aldrig blevet vedtaget i folketinget.

Henrik Rathje

altså det er lidt en overdrivelse. at sige at han syntes det var

en cool løsning

længere citat..

»Det er cool,« lød det, mens han kiggede på papkortet. Men en egentlig vurdering skulle han ikke nyde noget af.

»Djævlen ligger i detaljerne. Så jeg kan ikke sige noget om det ud fra en kort forklaring af systemet,« sagde han.

;-)

Martin Jensen

"Jeg tror, lige meget hvilken løsning vi finder frem til, vil der altid være nogen som vil forsøge at bryde sikkerheden."

Nej, der vil altid være den der ikke blot forsøger, men faktisk bryder sikkerheden. Det er det vi har set nu 15-16 gange, hvor Rumor Control ved banken ikke lykkedes at hemmelighedsholde incidentet, så lad os gange med 5 for at få et mere realistisk tal. "Hvis du sladrer, så holder vi dig ikke skadefri...". Det første der må komme på banen er at DanID/banker skal tvinges til at offentliggøre omkring 'incidents'.

Når nu problemet er kommet op til overfladen, og det kan genkendes af selv højtuddannede IT-ordførerer, så kan de jo mere korrekt forholde sig til at systemet ikke virker som annonceret. Krimininelle kan gentagne gange, på trods af NemIDs 'skruen på knapperne' stadig komme igennem, det er faktisk trivielle MITM via malware, og det er jo 'old news'. Med andre ord et nyt system der fejler på gammelkendte vers. Det er vel ikke fremtiden?

Det er det system man vil udbrede til alt, som en magisk sølvkugle der fjerner alt digitalt dårligdom, når produktet, på trods af at være et skridt frem på nogle punkter, netop er den djævelske pose problemer som netop Bruce Schneier påpeger det kan være, og som han elsker at skrive om i sine blogposts omkring staters manglende indsigt og magtmisbrug via IT. Læs evt. 'On Security'. Jeg tror ikke NemID vil få flatterende review hvis han går 'detaljerne' igennem.

Palle Due Larsen

Nu har jeg googlet Epinion og identitetstyveri uden at finde noget brugbart. Der burde være forbudt at offentligtgøre den slags tal uden at lægge detaljerne frem. Så her er mit eget magiske tal: 89% af danskerne tror på ikke den undersøgelse.

mvh
Whitney Houston, Identitetstyv

Anonym

For dem der ikke kan finde ud af at google det, så er linket her:
http://www.dr.dk/DR1/kontant/2012/01/31114145.htm

Men det er jo kun en del af de nuværende problemer.
Problemer der netop opstår fordi at Netz / DanID / Staten, ikke formår at løse opgaven omkring det Digitale samfund.

Det er jo ikke første gang at NemID er blevet hacket, pishet, man in the midle, osv., på trods af at der ER blevet advaret imod mulighederne for at hacke NemID, og de muligheder der følger med for kriminalitet.

700.000 kr, er intet, i forhold til hvad der kan forventes.
Det har i mange år været et problem som har optaget forskellige internationale eksperter, og er blevet debatteret internationalt.
Vi skal også kigge på, at de 700.000 kr kun repræsenterer det beløb som man offentlig ønsker at komme frem med, hvilke beløb der i øvrigt er tale om, er det kun Netz der kan redegøre for.

Omkring selve identitetstyverierne.
Når man skal returnerer varer som man ikke har købt, evt. hen og dokumenterer og tilbagevise køb, hvor man ikke engang har varen, så koster det en formue i tid og penge. En time hos en advokat, koster nemt 3000kr. Skal advokaten gøre noget som helst, så koster det nemt 30.000kr.
Det er i sig selv rigeligt, men hvad med ens kreditværdighed ? Når man ryger på den sorte liste hos kreditvurderingsbureauerne, er det jo totalt ødelæggende for ens liv.
Så de 6-7 milliarder i samfundsomkostninger, er meget lavt sat. Det koster meget mere, for samfundet og for de enkelte forurettede borgere og virksomheder.

Med en hacket NemID-løsning, er det intet der bekæmper den slags identitetssvindel på nettet.
Heller ikke selv om Netz og DanID, er 2 dele af samme virksomhed, og derfor begge skulle have interesse i at løse opgaven.
Det er NETOP selve muligheden for identitetstyverier, der åbner de andre muligheder for bl.a. økonomisk svindel.

DanID / Netz, magter simpelthen ikke opgaven.
De skulle danne grundlag for det digitale samfund, men de kan simpelthen ikke, eller også så vil de ikke.

Man slår bare ud med armene, griner fjoget på TV, og negligerer opgaven.
Det er simpelthen for dårligt.

Det bliver ikke bedre af, at Politikere og embedsmænd lovpriser NemID, på tros af at det ikke virker.
De skulle hellere tage og stille spørgsmål, forlange svar og løsninger.
Der er spørgsmål og opgaver nok.

DanID / Netz, ER en privat virksomhed. De leverer IKKE varen.
Det er MENNESKER det går ud over.
Man pisser simpelthen på MENNESKER, for at holde liv i et prestigeprojekt.
Oven i købet et projekt, som man lader samme mennesker betale for, selv om det ikke hænger sammen.

Nu må de simpelthen tage sig samme, og beskæftige sig med det de politikere og embedsmænd postulerer at kunne.
For mig at se, så har man fuldstændigt mistet forbindelsen til virkeligheden.
De svæver rundt på en drøm, som ikke hænger sammen. Nu må de vågne op.

Politisk og fra embedsmændene, er opgaven at sammensætte et grundlag der har baggrund i retsstaten og demokratiet. Intet andet.
Så må de simpelthen vælge tekniske løsninger der passer ind i det grundlag, og vrage det skrammel der ikke virker.

De VED det er galt, de VED hvordan man kommer ud af det. Men de VIL ikke løse opgaven !

Palle Due Larsen

Hit nummer 4 indeholder ikke yderligere oplysninger end det magiske tal 126.000. Den slags links fandt jeg også masser af. JP-linket derimod har faktisk lidt mere info om hvad der menes med identitetstyveri:

F.eks. ved at optage lån i en andens cpr-nummer, handle ind [sic] i en andens navn eller oprette sociale profiler på nettet i en andens navn.

Jeg har stadig svært ved at tro, at det er rigtigt. At hver 20. dansker er ramt af noget, og jeg ikke kender nogen af dem virker usandsynligt. Jeg ville gerne vide, hvor repræsentativ en gruppe de har spurgt. Hvis de har spurgt 1000 danskere på Facebook, kan de jo ikke bare gange op. Det er den slags information, jeg er ude efter.

Klavs Klavsen

Svenskerne og tyskerne har noget der er væsentligt tættere på et sådant - hvor netop de angreb vi ser her, ihvertfald ikke ville være mulige:
http://www.version2.dk/blog/problemet-med-nemids-generelle-sikkerhed-43480

Og husk nu at det IKKE kun gælder om at beskytte mod bankoverførsler - også imod alt det andet vi skal bruge NemID til.

Istedet for et chipkort, foretrækker jeg dog en løsning a la pico idéen : http://www.version2.dk/blog/hvis-danmark-var-it-foregangsland-18609

Bed jeres eksperter forholde sig til dette - jeg vil anbefale nogle svenske eksperter :)

Bjarke Kringelhede

Thomas> Nu er det ikke fordi jeg selv er specielt begejstret for nemid, men du kan ikke sammenligne tal fra kontant programmet med noget der har med nemid at gøre. De identitets tyverier de viste var hovedsageligt ved brug af folks cpr. nr. og havde intet med nemid at gøre. Og de mest kritisable i den sammenhæng var efter min mening politiet. De ville kun tage sagen om penge tyveri som en sag og ikke selve identitets tyveriet. Og da et penge tyveri på et mindre beløb ikke lå særlig højt på prioriteringslisten blev der intet gjort.

Ole Jørgensen

At hver 20. dansker er ramt af noget, og jeg ikke kender nogen af dem virker usandsynligt.

Palle, det er jo ikke sikkert at folk selv ved, at de er blevet ramt. Jo, hvis der kommer regninger på noget man ikke kan huske selv at have købt, eller hvis man bliver anholdt for en forbrydelse man ikke har begået - men hvordan opdager man nødvendigvis at ens identitiet misbruges på sociale netværk, eller at der udskrives recepter i ens navn?

Det kunne vel også være at du ikke ved, at nogen af dine bekendte er ramt, fordi de ikke fortæller det?

Jens loggo

Problemet er at folk ikke har opdateret deres sikkerhed.

Når folk først har fået farligt software ind på deres computer, der gør at en hacker kan se deres skærm, og se hvilke taster de trykker på, så er der næsten ingen sikkerhedsforanstaltninger der kan forhindre svindel.

Den eneste løsning er at gøre mere for at folk har deres styresystem og antivirus opdateret.

Et stort problem er at næsten alle computere kommer med en tidsbegrænset prøve-version af et kommercielt antivirus program, ofte Norton eller McAffee. Når det så udløber, ofte efter 3 måneder, så får de ikke opdateret deres antivirus mere, og det giver problemer for os alle, da de så er sårbare, plus de medvirker til at sprede virus.

Hvis alle computere isteddet kom med et gratis antivirus program, f.eks. Avast eller AVG (der er flere), som er fuldt ud sikre nok, så ville det hjælpe mod spredningen af virus.

Dernæst bør populære styresystemer kunne opdateres, hvad end de er ægte eller ej. Det vil være til gavn for os alle, for det er ikke kun den med dårlig sikkerhed der betaler prisen for virus og hackerangreb, det er og alle sammen.

Klavs Klavsen

@jens: Selv den bedste antivirus software, bliver jævnligt testet til kun at fange 60-70% af virus - og 10-20% af "malware-eller hvad du kalder det"- som er det der bl.a. netop kan bruges til at udføre denne slags angreb.

Derudover kommer der nye varianter af software til dette hele tiden, og der bliver fundet nye sårbarheder hele tiden (som kan bruges til at få installeret software på din computer uden dit vidende) så du stikker dig selv blår i øjnene, hvis du tror det er en løsning at "holde sig opdateret".

Problemet i NemID er måden den er konstrueret på. Læs det første link jeg angav - uanset hvor kompromitteret en bank-brugers computer er, vil den svenske eller tyske løsning, stadig ikke kunne misbruges på den måde som NemID nu IGEN er blevet.

Det kan lade sig gøre at lave en løsning der rent faktisk er til at stole på - det har bare ikke været målet for NemID konsortiet.

Michael Nielsen

@jens loggo

Problemet er vi har brugt 2.3 milliarder for at lave et system der skulle sikre mod kompromiterede maskiner (i øverigt de eneste maskiner hvor det gamle system ikke virkede for), men de har nu trukket i land, at man skal være opdateret med virus beskyttelse.

Jeg køre 3 lag af sikkerhed på mine 2 windows maskiner, jeg finder regulært viruser der er kommet igennem, selv microsoft eget sikkerheds system virker ikke 100%, jeg køre med en ektern firewall, 2 forskellige virus scannere, og stadigvæk finder jeg viruser der er kommet igennem.

statistikker (jeg har fået fra en virksomhed der rydder op på maskiner for folk) er at ca 60% af alle windows brugere har haft deres maskiner inficeret og overtaget, uden at de overhovedet er klar over det.

90% af den Danske befolkning magter ikke opgaven at forsvarer sig mod cyber kriminialitet, og derfor mener jeg det er et forkert design at man forventer at folk kan beskytte deres maskiner når selv IT professionelle har svært ved at holde trojaner, og viruser væk fra deres maskiner... Det er forhøj en forventing.

Så problemet 100% NemID, da man KAN (og andre gør) lave en løsning hvor du kan bruge en maskine der har samtlige viruser og trojaner, med live login fra divs hackere på den, uden at kompromitere sikkerheden.

Det uden at bruge 2.3 milliarder kroner.

Enten er folkene der lavede NemID inkompetente, eller også har de en anden agenda end at beskytte borgerne (feks overvåge dem, og plukke dem for hver transaktion de fortager).. Jeg aner ikke hvilket er den rette årsag, men de var advaret at deres system var så hullet, at det kun var et spørgsmål om tid, før det blev hacket.

Morten Andersen

@Michael: Hvor har du fra at Nemid skulle have kostet 2,3 mia kr. ?

Også: Hvad er det for et system du mener vil være sikkert overfor alle trojanere m.m. Henviser du til andre landes løsninger med smartkort? Et smartkort er ikke løsningen på alt men rummer faktisk udfordringer af samme karakter som Nemid (man-in-the-middle). Og f.eks. det svenske system indrømmer de er sårbare overfor malware (hvilket var i brug ved seneste Nemid angreb).

Anonym

@ Morten Andersen.

Nu findes der andre løsninger. Også løsninger hvor almindelige "man in the midle" angreb ikke er mulige.
Der findes mere end en løsning på den problematik.

Men det er fuldstændigt underordnet, for man har politisk bestemt, at DanID skal leverer løsningen, selv om man fra alle sider advarer mod NemID.
Selv her hvor det er bevist, at der ikke er tale om teoretiske scenarier, lader man NemID fortsætte.
Det hænger ikke rigtigt sammen.

Så vidt jeg husker, så var budgettet omkring udviklingen af NemID ca. en milliard, frem til 2009. Men hæng mig ikke, hvis det kun var 950 mill..
Der er her kun tale om det beløb man fik for at trylle et logon frem, og altså ikke selve de implementeringer og de afhængigheder der bruger NemID i deres individuelle løsninger.
@Michael's 2,3 milliarder, frem til pt. lyder meget plausibelt. Men hvad den reelle omkostning for Netz og alle de forskellige implementeringer har kostet, kan man vist kun gisne om. Det må nødvendigvis være et meget voldsomt beløb, for der er jo et stort antal sites og løsninger der er tilpasset NemID.

Det handler ikke så meget om hvad NemID har kostet. Det handler mere om, at det ikke hænger sammen.
Det er helt underordnet om det har kostet 1 - 2 - 5 milliarder, hvis det var sikkert i sin logon-løsning, krypteringsteknik og indeholder en identifikationsløsning.
Men det fungerer jo ikke, og det er ikke en identifikationsløsning.

Når man bruger SÅ mange penge, på noget som ikke lever op til hvad man har fået pengene for, så er der alt mulig grund til kritik.
Især fordi det ikke er en sikker løsning, som skulle bekæmpe terror, hvidvaskning osv..

Der er jo tale om, at man kan bruge NemID til at hugge penge med og sende dem til udlandet. Der er også tale om, at NemID som løsning, overhovedet ikke bekæmper denne mulighed for kriminalitet.
Det er STIK IMOD de krav der var til at vælge DanID som leverandør, og senere midlertidigt godkende den fremlagte løsning.
DanID har fortsat mulighed for at komme med en levering, men det er ikke noget de kan blive ved med at trække i langdrag, når deres nuværende løsning falder mere og mere fra hinanden.

Jeg personligt, syntes det er synd, at man holder alle Danskeres ejendom og personlige oplysninger, frem til almindelig kriminel selvbetjening, frem for at levere en fornuftig vare.
Det er ikke kun synd for dem det går ud over, men også for tanken om Det Digitale Samfund.
Får man ikke styr på det, så er det jo en realitet, at Det Digitale Samfund, falder til jorden. Det er ikke i nogens interesse !

Prisen, altså ikke den økonomiske, er kun, at der er nogen få embedsmænd, politikere og teknikere, der skal indrømme over for dem selv og alle andre, at de har taget fejl i deres valg af løsning.
Det er kun fordi nogen få individer, føler deres ære trådt på, at der ikke er et klap der fungerer.

Pengene, om det er den ene eller anden der får penge for en fungerende løsning, er helt lige meget, set fra samfundets side.
For samfundet, handler det kun om selve løsningen, og om ikke at spilde penge og tid på løsninger der ikke virker.

Tid er nu blevet en væsentlig faktor, for når NemID ikke virker som det skal, og der allerede er mange afhængigheder som skal bruge en sikker NemID, så er tiden brugt op.
Digital Tinglysning, ser jeg som en af de helt store spørgsmål, for man har jo destrueret de oprindelige ting-bøger.
Finanssektoren er et andet stort spørgsmål, for ellers er der tale om alle Danskeres kontantbeholdning, for slet ikke at snakke om finanssektoren selv.
Laves der er run på finanssektoren, gennem de muligheder der er i NemID, så lukker biksen jo simpelthen.

At der er "nogen" som beskæftiger sig med at arbejde sig ind, og det kun er et spørgsmål om relativ kort tid, inden det vil lykkedes i stor stil, et ikke engang noget jeg længere anser som teori.
Mulighederne stilles til rådighed gennem NemID, og de vil blive udnyttet. Man er allerede i gang, og har succes med det.
Med et resultat på 700 kilo, på et enkelt veludført hack, er der alt mulig grund til, at "nogen" føler sig motiveret i langt større udstrækning end tidligere.

Man må simpelthen forholde sig objektivt til, at der er tale om en internetløsning.
Fordi der er tale om en internetløsning, så vil alt der kan udnyttes blive udnyttet.
Den kultur vi har i Danmark, er ikke samme kultur man har i andre lande, som jo også har internet.
Som vi kigger på andre lande, og ser muligheder vi kan udnytte der, kigger andre på os, og finder muligheder der kan udnyttes hos os.

Lad nu være med at tro, at enhver kritik af NemID er noget negativt !

Det er langt værre, hvis man først opdager hvor elendig sikkerheden er, når det er en flok udenlandske kriminelle, der har tømt hele butikken.
Det er i aller højeste grad et realistisk scenario, og nu ved vi at det er en mulighed som NemID stiller til rådighed.

Michael Nielsen

Jeg beklager - jeg har vaeret offline paa kursus.

2.3 millarder hvor har jeg det fra.

Jo ser du det offentlige har posted ca 890 millioner kroner ind i NemID, og bankerne har leveret 1.5 millarder kroner (altsaa naermere 2.4 end 2.3 milliarder), men det er de officielle tal.

Jeg har hentet tallene fra divs nyheder om NemID.

Saaledes har skatterborgerne i Danmark direkte betalt 890millioner kroner til systemet, og indirektet 1.5 milliarder igennem bankerne.

Thomas Hansen har saadan set ret i det han skriver..

Og hans spekulation om at

Med et resultat på 700 kilo, på et enkelt veludført hack, er der alt mulig grund til, at "nogen" føler sig motiveret i langt større udstrækning end tidligere.

Dette er nemlig hvad der vil ske.

Alle dem der stoetter NemID blindt vil ikke se det, men logisk set, saa er det 700 kilo bare toppen af isbjerget.

Jeg kan demonstrere en metode hvorved jeg kan snyde selv den meste kompetente IT speicalist og faa dem til at logge ind paa en phishing side, og derfor er det urealistisk at forvente at borgerne kan gennemskue det.

Mht loesninger.

En simple krypto terminal som feks ChipTan - som er et produkt brugt i tyskland, eller en af et dusin andre produkter i verden, er saa godt som immune over for man-in-the-middle angreb, hvis de bliver brugt rigtig. Deres eneste saarbarhed er social engineering - altsaa at narre en person til at give dig penge frivilligt, det er ikke teknisk muligt (med forbehold for kryptografisk styrke, og bugs) at tage penge fra en transkation uden at brugeren er gjordt klar over det sker.

Denne loesning, ville kunne bruge TDC infrastrukturen, og at udstyre samtlige borgere i landet med saadan en enhed ville vaere langt billigere- de koster mellem 200-400dkk stykket, og vi har nok ca 2 millioner brugere, altsaa ca 400 - 800 millioner, gav vi en til alle, inklusiv nyfoedte altsaa 6 millioner, saa varprinsen, mellem 1.2-2.4 milliarder (uden nogen form for rabat, da prisen jeg citere er one of retail- ud fra de priser jeg har forhort mig om).

Vil i vide hvordan disse loesninger beskytter borgeren, saa kan jeg give et ca times langt fordrag paa sikkerheds modeller, og hvordan de fungere, eller i kan slaa op public-private key kryptography, og overveje hvad der sker naar du laver en tamper-proof terminal du saetter til feks usb porten. og sammenlign med hvad der sker i NemID sagen

beklager aa, oe, og ae brugen, men sidder i amsterdam, paa en laant computer.

Log ind eller Opret konto for at kommentere