Travlhed hos Skat fremprovokerer sikkerhedsbrist i NemLog-in

9. marts 2011 kl. 06:5919
En timeout-fejl var skyld i, at et antal brugerne ikke fik besked om, at de var logget på skat.dk med deres NemID gennem NemLog-in. Fejlen betød samtidig, at brugerne ikke blev logget af igen.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Pres på Skats servere og timeoutproblemer var i weekenden skyld i, at borgerne ikke anede, om de var logget på systemet eller ej. Samtidig betød fejlen, at borgeren reelt var logget på skat.dk med sin NemID gennem det fællesoffentlige loginsamarbejde NemLog-in uden at vide det - også selv om borgeren havde forladt hjemmesiden.

Ifølge Søren Kjær Jensen, der er kontorchef for Skats it-afdeling, opstod problemet i weekenden som følge af et stort pres på systemet og for lange timeoutperioder. Det forvirrede populært sagt de dialoger, som fandt sted mellem brugeren og NemLog-in, så hverken system eller bruger fik at vide, om loginprocessen blev gennemført eller ej.

»Der er situationer, hvor det er muligt at nå en timeout, der giver en uhensigtsmæssighed i dialogen. Vi har nu sat nogle timeoutparametre ned, og det skulle eliminere den uhensigtsmæssige dialog,« siger Søren Kjær Jensen til Version2.

Fejlen betyder potentielt, at brugere, der forsøger at se deres årsopgørelse fra en offentlig pc, ikke kan være sikre på, at den næste bruger vil have fri adgang til deres personfølsomme oplysninger, hvis man har forsøgt at logge på NemID-tjenester under en timeoutfejl.

Artiklen fortsætter efter annoncen

Søren Kjær Jensen erkender, at weekendens timeoutproblemer forværrede brugernes chancer for overhovedet at vide, om de var logget ind eller ej. Men han fastslår samtidig, at borgerne altid bør følge de anbefalinger, som IT- og Telestyrrelsen har udgivet om brugen af NemID.

»Det her problem er ikke meget anderledes, end hvis du glemmer at logge dig ordentligt ud af tjenesten og lukke alle browservinduer, når du er færdig. Der har altid ligget en risiko for, at det ikke er tilstrækkeligt bare at forlade hjemmesiden, hvis du vil logges af. Men det er klart, at denne situation, som vi oplevede i weekenden, ikke hjælper på det problem,« erkender Søren Kjær Jensen.

Fejl i dialogen
Flere borgere oplevede problemer med at logge på Skat.dk med NemID under weekendens såkaldte snigpremiere på den årlige årsopgørelse. Nogle blev mødt med fejlmeldinger fra Skats IBM-servere i det tidsrum hvor firmaets teknikere forsøgte at stoppe flere processer, der begyndte at køre i løkke.

I få tilfælde ville borgeren få en fejlmeddelelse fra NemLog-in-servicen.
Efter at borgeren havde indtastet brugeroplysninger og nøglekorttal, så ville loginvinduet i flere tilfælde lade til at ?hænge? i selve loginprocessen.

Artiklen fortsætter efter annoncen

Klikkede brugeren på et vilkårligt link på den hængende hjemmeside, ville vedkommende blive mødt med en generel fejlmeddelelse fra NemLog-in, der bad brugeren om at prøve igen eller ringe til NemID's support.

Men forlod brugeren denne hjemmeside for igen at gennemføre loginprocessen på skat.dk, så var det pludselig muligt at komme ind i skattemappen uden brug af hverken cpr-nummer, kodeord eller tal fra nøglekortet.

Søren Kjær Jensen understreger i denne sammenhæng, at Skat ikke opfatter denne episode som et sikkerhedsbrist.

»Det er vigtigt for os at understrege, at vi ikke ser det som et sikkerhedsbrud. Men det er klart, at det er uhensigtsmæssigt, at dialogen ikke kan fortælle brugeren, om du faktisk er logget på eller ej,« siger Søren Kjær Jensen til Version2.

Skat vil fortsat følge sagen, men Søren Kjær regner med, at problemet er løst for nu.

Blandt andet har Skat nedsat timeoutparametrene, så det nu kun tager 10 sekunder, før brugeren modtager en fejlmeddelelse, hvor der før ville gå op til 5 minutter. Desuden vil Skat i som følge af Version2's henvendelse tilføje en fejlmeddelelse, der fortæller brugeren om fejlen og giver en anbefaling om, at alle browservinduer bør lukkes.

Opdateret 11.41: Præcisering af fejlmeddelelsen fra NemLog-in samt præcisering af, at sårbarheden ikke ligger i NemID, men i kommunikationen mellem Skat og NemLog-in.

19 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
9. marts 2011 kl. 07:58

Det er da ikke helt i overensstemmelse med sandheden at påstå at det afslører en sikkerhedsbrist i NemID når det i stedet er fejl i Skat / CSC's NemLog-In der bliver udstillet som følge af at deres server kapacitet er for lille.

Når i hævder at fejlmeddelelsen kommer direkte fra NemIDs servere er det der i virkeligheden er sket, at appletten submitter login OK responset til service udbyderen som i dette tilfælde er nemlog-in på sikker-adgang.dk, dvs. det offentlige "login fællesskab".

Hvis denne server modtager requestet men vælger ikke at svare pga. kapacitetsproblemer så vil det for brugeren se ud som om appletten hænger, mens det i virkeligheden er noget helt andet.

2
9. marts 2011 kl. 08:18

Uanset om det er reelt eller ej.

Det er flot Lasse. Du følger virkelig redaktionens linie med at hade NemID...

10
9. marts 2011 kl. 12:45

Jeg forstår ikke. Skal det her være udtryk for "redaktionens linie med at hade NemID." ???

Hvis jeg var DanID, så ville jeg da være lykkelig for at selv IT-journalister igen og igen spildte tid på at pille i relativt ligegyldige oppiskede historier istedet for at se på de virkelige problemer ved NemID. Hvis ellers ikke min sølvpapirshat var blevet væk flytterod, så kunne man da få den mistanke, at de her ikke-historier om NemID var en del af en større konspiration bestilt af DanID ;)

4
9. marts 2011 kl. 10:08

Tja, det er jo langt fra kun Version2 som er efter nemid, men uanset hvordan man vender og drejer sagen så er det fortjent. Nemid er en skandale af proportioner og sager omkring nedetid, dårlig sikkerhed osv. står jo i kø!

Det system burde afskaffes på stedet... Det er en skandale at man betror se mange systemer med det l*rt.

5
9. marts 2011 kl. 10:29

Hvad er det så der er galt med det? Jeg synes da egentlig det fungerer fint. Jeg har endnu ikke oplevet problemer med det.

6
9. marts 2011 kl. 10:47

Jeg ville være lidt gladere, hvis jeg vidste, at mine skattekroner blev brugt til at ansætte IT-folk, der kan identificere sikkerhedsbrud, når det sker. Specielt hvis de er ansat til at arbejde med IT-sikkerhed!

Fra artiklen: "Det er vigtigt for os at understrege, at vi ikke ser det som et sikkerhedsbrud. Men det er klart, at det er uhensigtsmæssigt, at dialogen ikke kan fortælle brugeren, om du faktisk er logget på eller ej."

Den slags slendrian bør ikke forekomme i et land, der vil være med i verdenseliten indenfor informationsteknologi.

7
9. marts 2011 kl. 11:35

det kommer ikke som en overraskelse for mig at NEM IDE vasker deres hænder

jeg har flere gange klaget over deres forløb med først ikke at kunne registrees ( tog op mod en måned på grund af mangelfuld instruktion og beaukratiske sagsgange hver gang man skulle have nyt aktiverings password og selvmodsigelser om at HVIS man nu tastede det pågældene pasword ind forkert så havde man 3 forsøg før paswordet blev banned, men fald man nu for den tiomout som skulle være på at masn skulle have akiverte INDEN der er gået 5 minutter SÅ HAVDE MAN GUD FANDENME KUN 1 FORSØG før paswordet blev banned ( I min verden dybt selvmodsigende )

og ander henvendelser har drejet sig om hvorvid NEM IDE ikke virker når java ikke virker..

i begge tilfælde vasker NEM IDE hænderne og siger det er alle andre der er fulde af løgn og K U N NEM IDE der har ret

8
9. marts 2011 kl. 11:45

Det må anses for sikkerhedsmæssigt uansvarligt at bruge sin NemID fra computere som man ikke har 100% kontrol over.

Man kan heller ikke vide om disse computere har opdateret AV software og seneste service packs, som DanID jo forlanger.

Det aller bedste må være en computer, eventuelt en virtual machine, som ikke bruges til andet end NemID ting.

Mindre kan desværre ikke gøre det, når applikationerne i den anden ende (specielt det offentlige NemLogin) er designet så ringe som det åbenbart er tilfældet.

9
9. marts 2011 kl. 12:27

Det aller bedste må være en computer, eventuelt en virtual machine, som ikke bruges til andet end NemID ting.

Den er netop sådan jeg har implementeret NemID. VirtualBOX med en skrabet Xubuntu 10.10. Den anvendes i øvrigt kun til netbank - der er ingen OCES-del i den. Der er heller ingen netværksdelinger til/fra den virtuelle maskine.

Ultimativt sandboxing.

11
9. marts 2011 kl. 14:04

Det aller bedste må være en computer, eventuelt en virtual machine, som ikke bruges til andet end NemID ting.

Pt. har jeg kun et andet brugernavn, der bruges når jeg skal bruge NemId, men jeg planlægger at bruge PCBSDs mulighed for at bruge et jail (The Warden).

Jeg skal lige teste hvor godt Suns (Oracles) JRE virker på FreeBSD, og falder det godt ud vil jeg lave en FireFox med Sun/Oracle JRE i en Warden Inmate.http://wiki.pcbsd.org/index.php/Managing_Jails_with_The_Warden

Til dem der ikke ved det, så er et FreeBSD jail en operativ system niveau virtualisering af FreeBSD, hvor et/flere programmer er låst inde i et lukket miljø. Se mere her: http://en.wikipedia.org/wiki/FreeBSD_jail

12
9. marts 2011 kl. 19:54

@Lars - Alene det faktum at folk vitterligt sidder og diskutere jails, virtual machines osv. for at føle sig tryg ved NemID, siger da vidst alt :)

Det værste er tanken om at nemID sikkert vil brede sig til flere og flere systemer... Glæder mig ikke til den dag hvor nogen virkelig finder et kæmpe hul i systemet og får adgang til alt fra din bankkonto til dine skatteoplysninger.

13
11. marts 2011 kl. 02:14

Jeg synes vi glemmer i kampens hede, at NemId var den ultimative løsning på alle de problemer mange åbenbart har - når de står ude i byen og skal bruge deres digitale signatur!

Med det lille praktiske papkort, kan man blot logge ind fra en hvilken som helst pc - det er da smart!

Men hvordan er det nu lige at virkeligheden er?

Der er vist noget med at man skal bekræfte ved sin tilmelding til NemId, at man har fuldstændig styr på sikkerheden i den pc man bruger!

Ja undskyld mig, men hvordan kan jeg sikre mig at bibliotekets pc, er fuldt sikkerheds opdateret?

Et andet delformål med NemId, er den oplagte mulighed der er for total overvågning af alle transaktioner via nettet - det er da også smart!

Spørgsmålet er blot, hvorfor er sikkerheden så helt elendig?

Vi er rigtig heldige os danskere, at vi har fået dette fantastiske værktøj fra IT- og Tele styrelsen samt DanID.

Blot synd at det ikke virker, og at de ansvarlige stadig vasker hænder!

Mvh Lars plbrake.dk

3
9. marts 2011 kl. 09:53

Jeg forsøgte at logge på Skat.dk ved sekstiden, og det lykkedes mig endelig at komme igennem NemID login´et ..

NemID´et blev logget ind, men jeg kunne ikke komme ind på Skats server pga. belastning.

Men; efter en films tid og lidt kaffe, så prøvede jeg igen kl. 2230. Og da kunne fint logge ind uden NemID, og uden nogen passwords, selv efter genstart af maskinen ..
Jeg var desværre ikke kvik nok til at prøve at erstattet mit CPRnummer med kærestens CPRnummer, bare for at prøve at se om det virkede...

/J