Travlhed hos Skat fremprovokerer sikkerhedsbrist i NemLog-in

En timeout-fejl var skyld i, at et antal brugerne ikke fik besked om, at de var logget på skat.dk med deres NemID gennem NemLog-in. Fejlen betød samtidig, at brugerne ikke blev logget af igen.

Pres på Skats servere og timeoutproblemer var i weekenden skyld i, at borgerne ikke anede, om de var logget på systemet eller ej. Samtidig betød fejlen, at borgeren reelt var logget på skat.dk med sin NemID gennem det fællesoffentlige loginsamarbejde NemLog-in uden at vide det - også selv om borgeren havde forladt hjemmesiden.

Ifølge Søren Kjær Jensen, der er kontorchef for Skats it-afdeling, opstod problemet i weekenden som følge af et stort pres på systemet og for lange timeoutperioder. Det forvirrede populært sagt de dialoger, som fandt sted mellem brugeren og NemLog-in, så hverken system eller bruger fik at vide, om loginprocessen blev gennemført eller ej.

»Der er situationer, hvor det er muligt at nå en timeout, der giver en uhensigtsmæssighed i dialogen. Vi har nu sat nogle timeoutparametre ned, og det skulle eliminere den uhensigtsmæssige dialog,« siger Søren Kjær Jensen til Version2.

Fejlen betyder potentielt, at brugere, der forsøger at se deres årsopgørelse fra en offentlig pc, ikke kan være sikre på, at den næste bruger vil have fri adgang til deres personfølsomme oplysninger, hvis man har forsøgt at logge på NemID-tjenester under en timeoutfejl.

Søren Kjær Jensen erkender, at weekendens timeoutproblemer forværrede brugernes chancer for overhovedet at vide, om de var logget ind eller ej. Men han fastslår samtidig, at borgerne altid bør følge de anbefalinger, som IT- og Telestyrrelsen har udgivet om brugen af NemID.

»Det her problem er ikke meget anderledes, end hvis du glemmer at logge dig ordentligt ud af tjenesten og lukke alle browservinduer, når du er færdig. Der har altid ligget en risiko for, at det ikke er tilstrækkeligt bare at forlade hjemmesiden, hvis du vil logges af. Men det er klart, at denne situation, som vi oplevede i weekenden, ikke hjælper på det problem,« erkender Søren Kjær Jensen.

Fejl i dialogen
Flere borgere oplevede problemer med at logge på Skat.dk med NemID under weekendens såkaldte snigpremiere på den årlige årsopgørelse. Nogle blev mødt med fejlmeldinger fra Skats IBM-servere i det tidsrum hvor firmaets teknikere forsøgte at stoppe flere processer, der begyndte at køre i løkke.

I få tilfælde ville borgeren få en fejlmeddelelse fra NemLog-in-servicen.
Efter at borgeren havde indtastet brugeroplysninger og nøglekorttal, så ville loginvinduet i flere tilfælde lade til at ?hænge? i selve loginprocessen.

Klikkede brugeren på et vilkårligt link på den hængende hjemmeside, ville vedkommende blive mødt med en generel fejlmeddelelse fra NemLog-in, der bad brugeren om at prøve igen eller ringe til NemID's support.

Men forlod brugeren denne hjemmeside for igen at gennemføre loginprocessen på skat.dk, så var det pludselig muligt at komme ind i skattemappen uden brug af hverken cpr-nummer, kodeord eller tal fra nøglekortet.

Søren Kjær Jensen understreger i denne sammenhæng, at Skat ikke opfatter denne episode som et sikkerhedsbrist.

»Det er vigtigt for os at understrege, at vi ikke ser det som et sikkerhedsbrud. Men det er klart, at det er uhensigtsmæssigt, at dialogen ikke kan fortælle brugeren, om du faktisk er logget på eller ej,« siger Søren Kjær Jensen til Version2.

Skat vil fortsat følge sagen, men Søren Kjær regner med, at problemet er løst for nu.

Blandt andet har Skat nedsat timeoutparametrene, så det nu kun tager 10 sekunder, før brugeren modtager en fejlmeddelelse, hvor der før ville gå op til 5 minutter. Desuden vil Skat i som følge af Version2's henvendelse tilføje en fejlmeddelelse, der fortæller brugeren om fejlen og giver en anbefaling om, at alle browservinduer bør lukkes.

Opdateret 11.41: Præcisering af fejlmeddelelsen fra NemLog-in samt præcisering af, at sårbarheden ikke ligger i NemID, men i kommunikationen mellem Skat og NemLog-in.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kim Rasmussen

Det er da ikke helt i overensstemmelse med sandheden at påstå at det afslører en sikkerhedsbrist i NemID når det i stedet er fejl i Skat / CSC's NemLog-In der bliver udstillet som følge af at deres server kapacitet er for lille.

Når i hævder at fejlmeddelelsen kommer direkte fra NemIDs servere er det der i virkeligheden er sket, at appletten submitter login OK responset til service udbyderen som i dette tilfælde er nemlog-in på sikker-adgang.dk, dvs. det offentlige "login fællesskab".

Hvis denne server modtager requestet men vælger ikke at svare pga. kapacitetsproblemer så vil det for brugeren se ud som om appletten hænger, mens det i virkeligheden er noget helt andet.

  • 0
  • 0
Jakob Køster

Jeg forsøgte at logge på Skat.dk ved sekstiden, og det lykkedes mig endelig at komme igennem NemID login´et ..

NemID´et blev logget ind, men jeg kunne ikke komme ind på Skats server pga. belastning.

Men; efter en films tid og lidt kaffe, så prøvede jeg igen kl. 2230. Og da kunne fint logge ind uden NemID, og uden nogen passwords, selv efter genstart af maskinen ..
Jeg var desværre ikke kvik nok til at prøve at erstattet mit CPRnummer med kærestens CPRnummer, bare for at prøve at se om det virkede...

/J

  • 0
  • 0
Michael Lykke

Tja, det er jo langt fra kun Version2 som er efter nemid, men uanset hvordan man vender og drejer sagen så er det fortjent. Nemid er en skandale af proportioner og sager omkring nedetid, dårlig sikkerhed osv. står jo i kø!

Det system burde afskaffes på stedet... Det er en skandale at man betror se mange systemer med det l*rt.

  • 0
  • 0
Jan Ulrich Jensen

Jeg ville være lidt gladere, hvis jeg vidste, at mine skattekroner blev brugt til at ansætte IT-folk, der kan identificere sikkerhedsbrud, når det sker. Specielt hvis de er ansat til at arbejde med IT-sikkerhed!

Fra artiklen: "Det er vigtigt for os at understrege, at vi ikke ser det som et sikkerhedsbrud. Men det er klart, at det er uhensigtsmæssigt, at dialogen ikke kan fortælle brugeren, om du faktisk er logget på eller ej."

Den slags slendrian bør ikke forekomme i et land, der vil være med i verdenseliten indenfor informationsteknologi.

  • 0
  • 0
carsten guldhammer

det kommer ikke som en overraskelse for mig at NEM IDE vasker deres hænder

jeg har flere gange klaget over deres forløb med først ikke at kunne registrees ( tog op mod en måned på grund af mangelfuld instruktion og beaukratiske sagsgange hver gang man skulle have nyt aktiverings password og selvmodsigelser om at HVIS man nu tastede det pågældene pasword ind forkert så havde man 3 forsøg før paswordet blev banned, men fald man nu for den tiomout som skulle være på at masn skulle have akiverte INDEN der er gået 5 minutter SÅ HAVDE MAN GUD FANDENME KUN 1 FORSØG før paswordet blev banned ( I min verden dybt selvmodsigende )

og ander henvendelser har drejet sig om hvorvid NEM IDE ikke virker når java ikke virker..

i begge tilfælde vasker NEM IDE hænderne og siger det er alle andre der er fulde af løgn og K U N NEM IDE der har ret

  • 0
  • 0
Jesper Lund

Det må anses for sikkerhedsmæssigt uansvarligt at bruge sin NemID fra computere som man ikke har 100% kontrol over.

Man kan heller ikke vide om disse computere har opdateret AV software og seneste service packs, som DanID jo forlanger.

Det aller bedste må være en computer, eventuelt en virtual machine, som ikke bruges til andet end NemID ting.

Mindre kan desværre ikke gøre det, når applikationerne i den anden ende (specielt det offentlige NemLogin) er designet så ringe som det åbenbart er tilfældet.

  • 0
  • 0
Jesper Poulsen

Det aller bedste må være en computer, eventuelt en virtual machine, som ikke bruges til andet end NemID ting.

Den er netop sådan jeg har implementeret NemID. VirtualBOX med en skrabet Xubuntu 10.10. Den anvendes i øvrigt kun til netbank - der er ingen OCES-del i den. Der er heller ingen netværksdelinger til/fra den virtuelle maskine.

Ultimativt sandboxing.

  • 0
  • 0
Peter Mogensen

Jeg forstår ikke.
Skal det her være udtryk for "redaktionens linie med at hade NemID." ???

Hvis jeg var DanID, så ville jeg da være lykkelig for at selv IT-journalister igen og igen spildte tid på at pille i relativt ligegyldige oppiskede historier istedet for at se på de virkelige problemer ved NemID.
Hvis ellers ikke min sølvpapirshat var blevet væk flytterod, så kunne man da få den mistanke, at de her ikke-historier om NemID var en del af en større konspiration bestilt af DanID ;)

  • 0
  • 0
Lars Tørnes Hansen

Det aller bedste må være en computer, eventuelt en virtual machine, som ikke bruges til andet end NemID ting.

Pt. har jeg kun et andet brugernavn, der bruges når jeg skal bruge NemId, men jeg planlægger at bruge PCBSDs mulighed for at bruge et jail (The Warden).

Jeg skal lige teste hvor godt Suns (Oracles) JRE virker på FreeBSD, og falder det godt ud vil jeg lave en FireFox med Sun/Oracle JRE i en Warden Inmate.
http://wiki.pcbsd.org/index.php/Managing_Jails_with_The_Warden

Til dem der ikke ved det, så er et FreeBSD jail en operativ system niveau virtualisering af FreeBSD, hvor et/flere programmer er låst inde i et lukket miljø.
Se mere her: http://en.wikipedia.org/wiki/FreeBSD_jail

  • 0
  • 0
Michael Lykke

@Lars - Alene det faktum at folk vitterligt sidder og diskutere jails, virtual machines osv. for at føle sig tryg ved NemID, siger da vidst alt :)

Det værste er tanken om at nemID sikkert vil brede sig til flere og flere systemer... Glæder mig ikke til den dag hvor nogen virkelig finder et kæmpe hul i systemet og får adgang til alt fra din bankkonto til dine skatteoplysninger.

  • 0
  • 0
Lars Christensen

Jeg synes vi glemmer i kampens hede, at NemId var den ultimative løsning på alle de problemer mange åbenbart har - når de står ude i byen og skal bruge deres digitale signatur!

Med det lille praktiske papkort, kan man blot logge ind fra en hvilken som helst pc - det er da smart!

Men hvordan er det nu lige at virkeligheden er?

Der er vist noget med at man skal bekræfte ved sin tilmelding til NemId, at man har fuldstændig styr på sikkerheden i den pc man bruger!

Ja undskyld mig, men hvordan kan jeg sikre mig at bibliotekets pc, er fuldt sikkerheds opdateret?

Et andet delformål med NemId, er den oplagte mulighed der er for total overvågning af alle transaktioner via nettet - det er da også smart!

Spørgsmålet er blot, hvorfor er sikkerheden så helt elendig?

Vi er rigtig heldige os danskere, at vi har fået dette fantastiske værktøj fra IT- og Tele styrelsen samt DanID.

Blot synd at det ikke virker, og at de ansvarlige stadig vasker hænder!

Mvh Lars plbrake.dk

  • 0
  • 0
Steen Skadhauge

Jeg er ny i tråden, så jeg håber ikke mit problem
sander til i debatten, om hvem der har fejlen i det store stygge osv.............

Som i overskriften snurrer mit 'ventehjul' lystigt
når jeg prøver at logge mig ind efter indtast af nøgle.

Så prøver jeg min kones pc, og der går det ok.
Og så tibage til min pc. Hænger !

Og det er reproducerbart!

Det skal siges at min pc, en WIN7 er blevet sikkerhedskopieret 1. trin bagud, for ikke så længe siden.
Min kones pc er en vista.

Hos NemId servicedesk siger de, at hjulet skal løbe til det stopper og der vises en fejl.
Det gjorde der nemlig sent i aftes: viste en fejlmeddelelse. Så ville jeg starte igen her til morgen, og nu kører min pc (klient) på 6h.

Det er interessant, men min kone synes det ikke. Mine bankforretninger må jeg da ordne inde hos mig selv!

Hilsen Steen Skadhauge

  • 0
  • 0
Michael Lykke

Ja det er noget lort for at sige det på godt dansk. I mellemtiden er jeg selv løbet i den situation at min bank nu har lukket for al adgang uden nemID og jeg skulle derfor bestille et nyt... Jeg venter nu på 14 dag uden at have modtaget noget fra NemID...

Magen til fuldstændig ubeskrivelig tåbeligt system skal man godt nok lede længe efter!

  • 0
  • 0
Jan Birk

Selvom jeg havde frygtet meget - godt hjulpet på vej af debatten her - synes jeg NemId fungerer godt.

Bevares, små irriterende ting, men intet mod de "gamle" løsninger, som indebar forskellige login metoder. NemId på pap er en forbedring for mig og mindst min ikke-it-orienterede familie.

Jeg har opnået en fordel overfor mit gamle "Active Card" som i ny og næ løb tør for strøm. Det skulle vist være sikkert og vist, at det ikke sker med papkortet.

Jeg er mere nervøs for hvad der sker om et års tid, når server-server certifikaterne begynder at udløbe. Opdager alle det og får alle skiftet på de rigtige tider og ....

Ellers synes jeg NemID er et godt skridt på vejen.

/Jan

  • 0
  • 0
Michael Lykke

Før NemID blev indført var der en del banker der havde andre måder at logge på som ikke krævede man havde en lokal nøgefil liggende og derved gav samme fleksibilitet som NemID hvad angår banken.

Istedet for det direkte åndssvage papkort man skal rende rundt med og have nye af hver gang man har brugt 148 logins så kunne man istedet have lavet en løsning i stil med fx den authenticator løsning spillet WoW benytter og som andre systemer også benytter. Her kan man have en app på ens telefon som hvert 10 sekund generere en ny kode ud fra en algoritme. Når man så skal logge på så indtaster man bare den kode som der bliver vist på displayet(Fx ens mobiltelefon eller lign.) - Så slipper man for et papkort der skal skiftes ud løbende og hvor man samtidigt skal sidde og lede efter en bestemt tal-kombination for så at indtaste et andet tal der står ved siden af.

Idéen bag systemet har sikkert været ganske fin, men udførslen er noget elendigt hø og DanID har godt nok heller ikke været for heldig med deres måde at håndtere det på.

Nu har jeg så ventet 14 dage på at få adgang til min bank uden held - Gad vide hvor mange gange jeg skal bestille det kort før jeg modtager det.

  • 0
  • 0
Jesper Poulsen

[quote]Ellers synes jeg NemID er et godt skridt på vejen.[/qoute]

NemID er et skidt skridt på vejen, for der findes bedre løsninger.

Forestil dig en lille hardware-dims på størrelse med en USB-falsh-enhed, men en knap og et lille display.
Du sætter dimsen i computeren, checker på displayet at du har fat i den rigtige myndighed og godkender ved et tryk på knappen.

Din private del af PKI er [b]din private del[/b] for hardware-dimsen ligger til grund for den. Disse crypto-enheder findes. De kan købes. De bør købes og de bør implementeres.

http://www.ftsafe.com/products/interpass.html#2

  • 0
  • 0
Steen Skadhauge

Jeg kan uden prob logge mig ind på NemId support.
Jeg kan uden prob logge mig ind på NemId selvbetj.
og derfra til DanskeNetBank.
Jeg kan stadig ikke logge mig ind til DanskeNetB.-
og det går istå der hvor Nem-nøglekode står og
snurrer med sit hjul.

Jeg kan uden prob logge mig ind på netbank på min
kones pc.

Så der er noget, der siger mig, at der er noget råddent i min pc, og jeg går nu igang med at gå dybere i min pc. Nogle bud på dybere---?.
Konsistens check af alle accelleratorer ?
Afmontering af accelleratorer ? (gud forbyde)

Jeg må begynde med at kigge dybt ind på skærmen---

hilsen steen

Hilsen Steen

  • 0
  • 0
Log ind eller Opret konto for at kommentere