Uhyre simpelt hack kan gætte brugernavne og blokere adgangen til MitID

Er dette ikke sårbar og livsvigtig struktur i Danmark, på linje med gasrør, fiber og el. Og så overlader man det til private uden opsyn og styring. Hvem i alverden har ansvar for sådan noget sjusk?? Mvh Den gamle gnavne ing.

Hvem f..... ønskede om at kunne logge ind med en app på samme device som du skulle bruge til at tilgå et-eller-andet med?

Og tilsyneladende er app brugernes brugernavne svagere end nøgleviser brugernes navne?

(Eller er det bare de sidstnævnte, der er mere bevidste i deres valg af navne?)

Vi skal den ene gang efter den anden opdatere og udskifte systemer af hensyn til sikkerheden. Ofte bliver den ringere ved hvert skift. Hvad er formålet med alle "sikkerhedsopdateringerne" - at øge, eller sænke sikkerheden?

Ventetiden også er længere med MitID hvis man bruger nøgleviser.

Ved nøgleviseren burde man have overvejet et par ekstra digit som kontrol digits, og lave det så at den ikke blokeres, hvis kontrol digits ikke passer. Passer kontrol digits, så vil den naturligvis blokeres, hvis der er for mange forsøg, men sandsynligheden er meget lavere for fejl, og antallet af forsøg hvor tjekcifre passer, kan sættes lavt. Det betyder ikke meget for brugeren om de skal taste 6 eller 8 digits. Med to ekstra digits som kontrol digits er der kun 1% sandsynlighed for, at en forkert indtastet går igennem, og kan medføre blokering efter et par forsøg. Algoritmen for tjekdigits må naturligvis ikke være kendt, da den ikke må kunne gættes af en hacker.

For pokker det her er jo skide nemt at lukke for. https://fail2ban.org

Man skal blot lukke for IP'en som gætter frem for at lukke for ofret.

Man kan faktisk chikanere endnu mere, hvis brugeren anvender kodeviser. I så fald indtaster man forkert kodeord 3 gange, venter en time, hvorefter man igen taster forkert kodeord 3 gange. Så bliver kodeordet spærret, og så er det en tur på borgerservice, med mindre man har et alternativt identifikationsmiddel.

Nu er det jo (selvfølgelig) ret vanskeligt for os læsere at efterprøve cracket ud fra de oplysninger, vi får i artiklen. Så vi har kun de forskellige aktørers ord for, at de har ret. Hvad vi dog har sort på hvidt fra medierne de seneste måneder er, at hvis det var hensigten, at sikkerheden skulle vige for brugervenlighed, er det projekt slået fejl. Begge er lave.

Hør her, hvis det står så slemt til med MitID, hvordan mon det så ikke står til med mindre prominente løsninger? Jeg har tidligere i 2020 orienteret en kommunal myndighed, derpå datatilsynet og til sidst V2 vedr. et problem ang. brug af 4-cifrede pinkoder, som kan bruges til køb af "et meget alm. fritids-produkt", men hvor brugeren ikke kan vælge 0000 og 1234 som pinkode, men fint fx 1111. Her er det på lign. vis utvivlsomt muligt at gætte pinkode og login. Fx kan man bruge enten tlf.nummer eller email som login. Pointen er her, at brugeren selv kan vælge pinkoden, og vi ved alle, at folk ikke jævnt fordeler de pinkoder, de selv vælger - og der er kun under 1000 at vælge imellem! Desværre er ingen af de nævnte, som jeg har orienteret, gået videre med sagen, men for at skære problemet ud i pap, så se fx her https://www.datagenetics.com/blog/september32012/index.htmlJeg er ikke ekspert i sandsynlighedsregning og statistik, men det er nemt at se, at hvis man fx har 5 login-forsøg, en telefonbog (eller liste over mail adresser), og man ved de 20 mest populære pinkoder, ja så er det som V2 viser let at gå i gang, hvis man har onde hensigter. Fx hop ned på linkede side til afsnittet "The Data". Fx har pinkoden 1111 en frekvens på ca. 6 %, og hvis man har 5 login-forsøg, så kan man fx forsøge med de mest populære (minus 0000 og 1234) eller en blanding af de 20 mest populære. Så hvorfor er det lige, at fx myndigheder og Datatilsynet ikke skærper deres overvågning og opfølgning på brug af 4-cifrede pinkoder i 2022, når omtalte system fx stadig bruges?

"Så længe den gør det, kan de rigtige indehavere ikke logge ind, og deres MitID-app vil konstant vise dem en anmodning om at swipe"

Jeg tænker, at ægte hackede brugere ville kontakte MitID meget hurtigt, skulle de komme i den situation. Og mon ikke det hurtigt ville føre til en undersøgelse og udelukkelse af de involverede IP-adresser, efterfulgt af en politianmeldelse.

Hvis det skulle være en ægte penetrationstest, så skulle de "hackede" brugere ikke være forhåndsinformeret og man ville se:

1. Hvor mange der bevidstløst ville swipe adgang
2. Hvor mange der ville anmelde angrebet og udbyderens reaktionsevne.

Nets/DanID har en lang tradition for ikke at sikre sig mod selv de mest udbredte angrebstyper. Det var først da NemID to gange blev lagt ned af en teenager, der bestilte et DDOS angreb for 100 kr., at de fandt ud af, at man skulle sikre løsningen mod DDOS. Samtidig var NemID alle dage sårbar overfor phishing/MiM angreb, da man skulle taste koder på alle mulige websider.

Det overrasker mig på ingen måde, MitID er sårbart overfor den form for DOS angreb, V2 her beskriver.

Hvad skal man med fjender med den slags venner.

Anne Marie Krogsbøll it er moderne og brug af denne er hipt.

At digitalisere alt betyder at en politiker er moderne og handlekraftig.

Vi nævnes også tit som værende verdensmestre, åh så fremme i skoene med vores digitalisering i Danmark og som eksempel til efterlevelse i de internationale medier.

Så vores politikere har ikke engang behov for bestikkelse. Digitaliseringen er kejserens klæder og techselskaberne er skrædderne.

Hvad angår advarslerne, så er vores politikere siden angrebet på de tyranniske smagsdommere bedre eksperter end eksperterne.

Perfekt storm

Det underliggende problem her er i mine øjne at Digitaliseringsstyrelsen er projektejere, og jeg tror simpelthen ikke de har kompetencerne. Mit indtryk er at det er en flok jurister.

NemID var i sin tid også en katastrofe - allerede før det blev rullet ud, byggede det på forældet teknologi i form af et Java-plugin. Nogle år senere da sikkerhedshullerne i Java for alvor blev kendt, betød det så at alle danskere med netbank let kunne hackes.

Når Digitaliseringsstyrelsen så ikke selv kan finde ud af det, så burde de måske overveje at operere med flere udbydere, og så lade markedet finde ud af det. Folk kan godt selv mærke hvor let forskellige identitetsudbydere er at bruge, og medierne kan godt finde ud af at viderebringe historier om usikkerheder til almindelige mennesker - skandalehistorier er en af de få ting de er gode til.

Men det ville så kræve et strategisk udsyn de heller ikke har kompetencer til at have. Det er det samme med det der latterlige e-boks/minpost/... Benchmarket er om det er billigere end at sende et brev!!!

Siden mitID er kommet til har jeg taget mig til hovedet, fordi jeg kan ikke få øje på bedre sikkerhed, selvom jeg virkelig prøver. Jeg har selv gættet flere venners brugernavn, så det betegner jeg ikke som hemmeligt medmindre det er meget svært at gætte. Derefter mangler man "swipen" - hvor er så 2FA ???? Det havde man i det mindste med nemID da man også havde kodeord + swipe. det er jo 2-faktor. Ved mitID er det jo stort set kun 1-faktor som jeg ser det. Nu har eksperimentet bevist at de kan lukke en bruger ud, og hvis man så ved uheld swiper, så er der en anden der har fået adgang. Ingen 2-fa her. Jeg kan ikke forstå at ingen under udviklingen har hejst flaget her og sagt "Det er ikke smart, det kan vi ikke udrulle".

Husk lige på at MitID brugernavnet IKKE er hemmeligt.

Ligesom nemid nr på den gamle løsning heller ikke var. Eller ens email, hvis det var det man brugte til at logge ind i stedet.

Derfor er der ikke meget "hack" i det version 2 er kommet frem til.

Det er self. ikke ok man kan spærre en bruger vha. forkerte login forsøg - men det kan man nok finde en løsning på.

Når det så er sagt ville det være helt fint, hvis MitID også havde et password, selvom jeg ikke kan se, at det løser dette problem.

Jeg forstår nok ikke helt "hacket" her, men når jeg skal logge på mitID, så spørger den om brugernavn, så password og så derefter enten app, kodegen, eller chip. Hvordan er det i bypass'er passwordet ?

Jeg fandt et lignende hul i NemId for ca 10 år siden og gjorde dem opmærksom på det. Det er så vidt jeg ved aldrig blevet rettet.

Man kan skifte brugernavn på MitID.dk - medmindre man er offer for angrebet. Så er det ned til borgerservice.

Det er godt nok fantastisk!

Og hvordan skifter man så bruger id, må man spørge, hvis man tilfældigvis har et bruger id der er på en af de mange hacker userid/password dictionaries?

Eller kan det også hackes af en teenager, så man både kan lukkes ude og ikke kan komme ind igen, fordi nu er ens bruger id også blevet skiftet?

En teenager kan med andre ord blokere for kritisk infrastruktur. Er der en voksen til stede?

"Det viser en undersøgelse af sikkerheden i MitID, som Version2 har foretaget. På bare en enkelt nat lykkedes det Version2 at gætte 11.000 valide MitID-­brugernavne med en meget simpel kodestump, der gættede på danske fornavne. "

Nej nej nej, hvordan kan det gå til? Vi er jo netop blevet bildt ind, at det er for at forbedre sikkerheden, at vi har skullet igennem dette udskilningshelvede, som lukker en stor del af befolkningen ude fra samfundet. Selv Pernille Vermund kan ikke hænge på - og så må der jo virkeligt gøres noget. Når først toppen af samfundet ikke kan hænge på, så må der gribes ind, forstås:

"I sidste uge kom Pernille Vermund (NB) for skade at smide sin telefon væk. Dermed blev hun uforvarende kastet ind i den digitaliseringens labyrint, som en stor befolkningsgruppe er faret vild og blevet marginaliseret i. »Det er et kæmpe problem, som vi skal gøre noget ved«, siger Nye Borgerliges formand. »Jeg er veluddannet, jeg er velorienteret, jeg bruger digitale medier hver dag. Men da jeg mistede min telefon og skulle aktivere MitID i den nye, så var det mildest talt så kompliceret, at jeg i raseri var ved at smide telefonen væk. Og når det er så kompliceret for mig, er der ikke noget at sige til, at folk giver helt op og ikke vil mere«, fortsætter Pernille Vermund. Hun måtte gå gennem fire forskellige kommuner for at få en ledig tid i borgerservice, der lå tidligere end slutningen af oktober for at sikre sig adgang til sin egen økonomi og offentlig kommunikation. »Jeg kunne risikere at blive indkaldt til noget vigtigt, som jeg ikke ville se det før slutningen af oktober. Det er jo helt meningsløst«."https://politiken.dk/indland/art9002642/Partiledere-Tiden-er-kommet-til-at-samle-Danmarks-digitale-underklasse-op

Det kan vi virkeligt ikke have!

Og her i valgkampen kappes politikerne, som har været ansvarlige for sumpen, om anger og gyldne løfter om, at det skal blive bedre.

"»Det er jo komplekst, fordi vi har så mange digitale platforme, og at rulle digitaliseringen baglæns vil være dumt. Men en del af svaret er at produktudvikle nogle systemer, der er mere intuitive for de digitalt udfordrede, men også for alle dem, der har kompetencerne. Noget handler om at lave undtagelser for dem, der har det sværest, og etablere en assistance for dem, der har det svært og ikke har et netværk til at hjælpe sig. Og så skal vi se på hele setuppet med stat, kommuner og regioner og have fokus på, hvor vi har muskelkraften. I stedet for at have fem parallelle it-systemer i regionerne bør vi lave ét fælles og investere de ressourcer, der spildes i de forskellige siloer«, siger Lars Løkke Rasmussen. "

Det er fint med lidt erkendelse af problemet - langt om længe - men det er den forkerte tilgang. Vi skal ikke fortsætte "fuld fart frem" - vi skal stoppe op, tage en tænkepause, og få de løsninger, som faktisk er vigtige, men dårlige, til at fungere ordentligt. Og så skal vi faktisk luge ud, og nøjes med at digitalisere, når det er en ubetinget god idé, som løser store problemer, og hvor det har en reel chance for at lykkes på en god måde, så alle kan være med. Uanset hvad der tilstrømmer parti- og kandidatstøttekasserne her i valgkampen, skal vi ikke bare fortsat digitalisere bevidstløst derudaf, og så klamre os til at lave særordninger for dummernikkerne (Pernille Vermund, f.eks.) Det er det, der ville være dumt!

Det burde undersøges, hvordan vi er havnet i denne suppedas. Hvis der på møderne mellem topbeslutningstagere og lobbyister lige falder et par forblommede ord om ledige stillinger med gode lønninger, som lige mangler den rette mand, så er det i mine øjne regelret korruption - men utroligt svært at afsløre. Men vi kan godt sætte en kæp i hjulet ved at lave en karensperiode mellem ansættelser i nøglestillinger i det offentlige og i det private. Det kan man i andre lande.

For der må være en eller anden forklaring på, at vore beslutningstagere har handlet i årevis med hovedet under armen - for advarende røster har det jo ikke skortet på, og dumme er de garanteret ikke:

"Lars Løkke Rasmussen, formand for Moderaterne, medgiver et medansvar for som leder af tre regeringer siden 2009 at have glemt borgerne i it-begejstringen: »Vi har levet i denne digitaliseringstidsalder, alle har ligesom bare taget iPhones ned fra hylden. Jeg er så gammel, at jeg kan huske, da jeg fik min første mobil og tog en studentereksamen uden computer. Teknologien er kommet og kommet, og vi har grebet ud efter og forfulgt de muligheder, som jo også er fantastiske, men så er der noget, vi bare har overset her. Og det er vi nødt til at gøre bedre«, siger Løkke uden dog at have politikudviklet nok til at adressere flyvefærdige løsninger: .."

Hvorfor har man overset det, når man er blevet overdynget med advarsler? Der må være en forklaring, og mit gæt er statsautoriseret korruption, og at man ligeså stille hen ad vejen via VL-klubber, middage, konferencer, studierejser etc. er blevet lidt for gode venner med BigTechs lobbyister, og nu anser disse som sit egentlige bagland. Befolkningen er bare kvæg.

Selv Datatilsynet hjælper med at opbygge BigTechs støttegrupper, hvor alle kender hinanden (fra golfbanen?), og kan sidde og klappe hinanden på ryggen, uden kritiske borgeres øjne i nakken:https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/sep/specialudvalg-om-forskning

Hvor er de kritiske stemmer i dette udvalg? Hvor er Etisk Råd? Hvor er analogistyrelsen? Thomas Birk Kristiansen, som efterhånden er ekspert på dette område? Ikke engang Datatetisk Råd (som jeg ikke har meget tiltro til) er indkaldt. Det ligner en BigTech-lobbyistgruppe for undergravelsen af borgernes rettigheder tilegne sundhedsdata. Når vi fortsætter med disse ensidigt BigTech-venlige magtfulde udvalg, fårvi aldrig styr på digitaliseringen - vi borgere bliver kørt over meden damptromle.

Nå, det var en afstikker, men illustrerer alligevel godt det jerngreb, BigTech har taget om os og vore myndigheder.