Das NemID trojaner - paranoia eller rettidig omhu?

NemID er en fadæse. En fadæse af det helt store, som bliver ved med at give og give, bekymringer, morskab - på kanten af en græsk tragedie - af de lange!

NemID fejler på alle punkter, fra opstarten til idag hvor vi med tvang SKAL bruge NemID til diverse ting. Jeg gider slet ikke diskutere det, NemID stinker. Den seneste udvikling er dog at man forbeholder sig retten til at benytte dette system til at introducere malware på mistænktes computere - ref rockerloven og artiklerne på version2.dk, seneste http://www.version2.dk/artikel/justitsminister-vil-ikke-afvise-nemid-som....

Godt, NemID stinker men vi SKAL bruge det - eksempelvis er det et krav til min Netbank - i Nordjyske Bank, som forøvrigt er en bank jeg varmt kan anbefale, hvis man kan leve med venlighed, forståelse, kompetence og en hel afdeling som kender dig :-)

Mit valg med hensyn til NemID var idag at installere en virtuel maskine på min Mac - med den hensigt derefter at blokere for Java i min browser og med tiden migrere denne maskine væk fra mine primære systemer - dvs dem med mine private data. Til denne virtuelle maskine ville jeg vælge et open source operativsystem, har ikke tænkt mig at bekoste en Windows licens til dette. Efter et check på NemIDs hjemmeside og min banks hjemmeside så jeg valgte Ubuntu Linux 12.04 . NB: det er ikke altid nemt at finde en kombination som er supporteret, men os der har været med siden dengang KUN Windows var understøttet kan da glæde os over at både Mac og Linux idag er supporteret.

Jeg installerede således en Ubuntu 12.04 på en 6Gb virtuel disk, standard opsætning i VMware Fusion, og udførte følgende:

  • sudo apt-get update && sudo apt-get upgrade, efterfulgt af en reboot med ny kerne, opdateringer osv.

  • Menupunkt install VMware tools, efterfulgt af tar zxvf /media/VMware\ Tools/VMwareTools-8.8.3-682996.tar.gz

  • cd vmware-tools-distrib; sudo ./vmware-install.pl; sudo shutdown -r now
    disse tools giver mulighed for at ændre vinduets størrelse og så ændres maskinens opløsning, smart :-)

  • sudo apt-get install openjdk-7-jre-headless - installerer en Java, der er flere at vælge mellem, valgte den nyeste

  • Installation af Icedtea Java Plugin - kunne ikke huske hvad den hed, så brugte Ubuntu Software Center

  • Start af browser og vupti - min netbank virker :-)

Hele processen tog mindre end en time, da jeg allerede havde downloadet Ubuntu 12.04 iso på knap 700Mb.

Illustration: Privatfoto

Problemer med løsningen,

  • Måske holder den op med at virke - hvis jeg lader være med at opgradere min VM så er det kun når netbanken ændrer sig

Fordele ved løsningen,

  • Min netbank adgang er uafhængig af min laptop med data - kan flyttes til andre steder på internet, måske et separat vlan/subnet på en ESXi i datacenter

Fremtiden, kunne man forestille sig at NemID kunne frigive en supporteret virtuel maskine? Selv min lille netbook har kræfter nok til at afvikle virtuelle maskiner, og det ville formentlig formindske problemer med "Linux nørderne" som kræver support for alle mulige kombinationer - jeg synes ikke det er urimeligt som kunde at have et frit valg, vores autoværksteder afviser os jo heller ikke hvis vi har en bestemt terning hængende i forruden.

Jeg fik forøvrigt et svar på twitter ret hurtigt, det er en løsning som flere andre bruger - kom gerne med indspark om det har virket og hvor længe I har brugt jeres løsning.

BTW titlen er en henvisning til "das bundestrojaner" som blandt andet er undersøgt at Chaos Computer Club, CCC [http://netzpolitik.org/2011/ccc-uber-das-innenleben-des-bundestrojaners/](CCC über das Innenleben des Bundestrojaners) - ja regeringer tænker helt bestemt i den retning, det er hverken science fiction eller langt ude.

Kommentarer (25)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Ole Kaas

Tak for denne blog post - nu fik jeg endelig taget mig sammen! Valgte dog VirtualBox 4.1.14 istedet, da jeg fandt ud af at betalingskortet skulle ud af muldvarpeskindet hvis VMware Fusion skulle i spil. Virtualbox overraskede positivt - hurtig installation på MAC og intuitiv gui - endda på dansk! VM guest fik 8GB disk og 1GB Ram. Install af ubuntu - tog bare standard instillinger - klik, klik, klik... Søgte på "java" i software center - Icedtea tingen dukkede op som nr. 2. Installer... "vil du opdatere?" - ja tak. Vente vente... reboot... åbne Firefox... Ind på bankens hjemmeside... Jamen Hurra! Ikke et øje tørt.

Under en halv time incl div. downloads (100Mbit/s). Jeg har ikke tidligere prøvet Virtualbox og jeg kan ikke huske hvornår jeg sidst har installeret en Linux med grafisk brugerflade.

UPDATE: Smut ind i "System Settings" i Ubuntu og vælg "Additional Drivers". Så kan man køre højere opløsninger end 1024x768 :)

  • 9
  • 0
Jesper Lund

Virtualbox + Xubuntu guest hos mig. I første omgang for at det skulle være lidt mere "light weight" end Gnome. En anden fordel er at Unity i den almindelige Ubuntu (og Gnome 3) har det bedst når den kører på et rigtigt grafikkort. Det er måske smag og behag, men jeg synes at Xfce desktoppen passer bedre til VirtualBox's emulerede grafikkort.

Og Java plugin er blokeret i Firefox på min desktop + netbook. Jeg savner det ikke. Det er stort set kun hvis jeg får forvildet mig ind på en NemID side (ok, dem kommer der flere og flere af..) at der kommer en fejlmeddelelse om manglende Java.

  • 1
  • 0
Mads Vanggaard

Hvis dit spørgsmål omkring paranoia eller ej går på, at du tror staten vil bruge nemid til at spionere på dig, så ja du har paranoia. Med mindre, at du er snotdum kriminel så vil staten ikke få meget ud af, at forsøge at hacke din maskine, søge efter diverse dokumenter eller spor på den ugerning du måtte have gjort. Det vil være lettere at 1) kikke på din providers log og 2) hente din computer. Hvis du reelt havde dårlige møl i posen og intelligens til at undgå følgerne af de to punkter, så vil du nok ikke have installeret meget andet end det absolut nødvendige software og derved have undgået nemID. Ergo, chancen for at staten hacker dig kontra den sag de måtte have i medierne hvis de blev taget i forsøget... tja, det er vist åbenlyst.

Hvis det er for at sikre dig imod hackning pga. dårlig Java plugin sikkerhed eller malware, så +1 for et godt skridt i den rette retning. Jeg vil forslå, at du kan udvide med sikkerhed (f.eks. firewall beskyttelser eller java.policy) så du kun kan snakke med din bank og danid - og derved undgå kald til ond-kode.dk/nemid. Eller noget i den dur

  • 3
  • 14
Henrik Størner

Så lav et VM "snapshot" umiddelbart efter installationen, og efter hver gang du har brugt NemID til noget (bank, e-boks, Skat, ...) så lav en "revert" til dit snapshot. Det burde forhindre hacking mellem de forskellige NemID services du benytter.

(Kynikerne vil selvfølgelig fremhæve, at eftersom NemID ligger inde med alle de private nøgler så kan Den Store Konspiration (TM) alligvel gå ind på alle dine services uden at hacke NemID login).

Men jo, fin artikel. Måske skulle jeg se at få lavet endnu en VM reserveret til NemID.

  • 11
  • 0
David Anker

Det er ikke nødvendigt at have noget at skjule for ville køre NemID virtuelt. Det er mere krænkelsen i muligheden for andre¹ at åbne ind til mine private(!) ejendele/hemmeligheder².

¹Hvem kan jeg ikke engang vide.
²Det behøver ikke være ulovligt før det ikke må komme ud, forretning fx.

Og for lige at lave en forudsigelse i tilfældet at NemID forbliver:
"Man begynder at afvikle alle NemID-procedure fra en USB-nøgle i stedet for VM"

  • 10
  • 0
Jesper Lund

Hvis dit spørgsmål omkring paranoia eller ej går på, at du tror staten vil bruge nemid til at spionere på dig, så ja du har paranoia.

NemID trojaneren vil nok ikke være den mest oplagte angrebsvektor hvis PET el.lign. vil installere overvågningssoftware på din computer. Dertil er metoden trods alt for usikker, og med de enorme ressourcer som PET har, kan de finde mere effektive metoder.

Men til en generel og samtidig billig overvågning af hele befolkningen kunne jeg sagtens se en rolle for NemID trojaneren. Og forslag af den type har sådan set været fremme, for eksempel Teknologirådets forslag for et par år siden om at "sikkerhedsteste" alle computere inden de kontaktede offentlige tjenester
http://www.computerworld.dk/art/45462/offentligt-pc-syn-skal-forbedre-si...

Der er mange andre kreative forslag om beskeder fra staten der skal poppe op på borgernes computere. Det var eksempelvis fremme i forbindelse med liberaliseringen af spillelovgivningen. For at forebygge ludomani, skulle der komme en pop up besked efter X timers pokerspil.

Det er heller ikke utænkeligt at Rettighedsalliancen en dag vil overtale staten til at scanne borgernes computere for fildelingssoftware.

Alle disse ting vil være meget nemmere hvis staten har en daemon kørende på vores computere. Og hvilken systemkomponent har vi alle installeret...?

Måske er dette ubegrundet, måske er det ikke. Efter DanIDs stunt sidste år, hvor de blev taget med bukserne nede i at indsamle oplysninger om vores computere på trods af at de havde bedyret det modsatte, ved jeg ikke længere hvad jeg skal tro om DanID.

Men her ligger den store fordel ved sandboxingen i en virtual machine: nu kan jeg være ligeglad for der er ikke noget at overvåge!

  • 18
  • 2
Mads Vanggaard

Hvis vi går fra at staten vil spionere til at lave "proaktivt informationsarbejde" eller lignende, så kan vi slippe lidt de blå solbriller og hatten der hører til spion verden.

Jeg vil dog have samme udgangspunk: forestil dig at de virkelig vil gøre det... De laver ikke Microsoft/Citrix finden, hvor man skal downloade et checke-program før de giver dig adgang til web-sitet, men laver mere eller mindre skjult dette via nemID. Eller forestil dig at der ofte poppede informationsbjælker frem på din skærm fordi staten ville fortælle dig, at de har gjort XYZ til gavn for deres vælgere. Det vil jo være så irriterende for de fleste, og en indtrængen på privatområdet at de vil have en meget dårlig sag i medierne. Ingen regering vil med god vilje gennemføre noget som de har en meget dårlig sag med. De vil jo blive kørt rundt i manegen og kommer til at pisse de alm. Hr og Fru Jensen. Derfor vil de ikke gøre det.

Når det er sagt, så synes jeg da det er fint at denne artikel viser, hvordan man kan gøre for at minimere risikoen for at du får malware eller lignende ind. Personligt vil jeg forslå at der bliver tilføjet noget om hvordan man sikrer sig med firewall regler at VM instansen kun kan snakke med banken, det offentlige og den rigtige nemID, samt at der bliver rullet tilbage når VM instancen bliver lukket ned.

Jeg kan se en forretningscase i det. Lav en USB som automatisk starter en VM op med en nemID-enabled browser. Det bør du kunne sælge til hvem som helst der bekymrer sig lidt om sikkerhed.

  • 1
  • 0
Henrik Kramshøj Blogger

@mads, jeg tror sagtens vi kan snakke om det vil være ineffektivt og ikke det smarteste at gøre. Desværre ser vi igen og igen eksempler på at rationel tanke ikke forhindrer tåbelige tiltag - dyre endda - som vil have meget lille indflydelse på opklaringsarbejdet.

Faktisk er det vel nærmere reglen end undtagelsen at man ikke ser overordnet på problemerne og forsøger at afhjælpe dem, nyere eksempler er NemID, terrorlogning og selv størstedelen af scanningsaktiviteterne i lufthavnens sikkerhedstjek er omsonst. (I parentes bemærket, tak fordi I fanger folk det vil tage bilbatterier med, og flot at I fandt min sprite sidste gang jeg fløj - jeg havde glemt den i bunden af tasken, kniven som jeg tidligere har haft med i carry on har jeg lagt derhjemme ...)

@jesper, tak for dit indlæg - du gør både opmærksom på at det ikke vil være effektivt, igen vil ineffektive forslag ikke være nok modstand mod at det vil blive forsøgt - "det kunne jo være". I den anden retning gør du opmærksom på andre trusler, staten og rettighedsalliancen. Da rockerloven allerede giver Skat samme beføjelser til at inficere befolkningens systemer med malware er det efter min mening ikke så langt ude at snakke om paranoia.

Så igen, paranoia eller rettidig omhu, der skal nok komme eksempler på at NemID vil blive misbrugt, som i brugt til andre formål end tiltænkt og annonceret oprindeligt!

  • 8
  • 0
Anonym

(Kynikerne vil selvfølgelig fremhæve, at eftersom NemID ligger inde med alle de private nøgler så kan Den Store Konspiration (TM) alligvel gå ind på alle dine services uden at hacke NemID login).

Hvorfor skulle staten "hacke" NemID (eller bruge de private nøgler) når de(n) har adgang til de ekspertsystemer hvori data ligger via medarbejdernes adgang til disse systemer?

Borgerservice medarbejderen logger ikke på med NemID (borgerens eller eget), men bliver valideret på andre måder, og transkationer bliver logget.

  • 3
  • 0
Jesper Poulsen

Jeg startede ud med VM allerede inden NemID, da min bank (Spar Nord) havde nogle problemer med Java og visse browsere længe inden NemID blev rullet ud. Det er samme VM der kører NemID i dag.

VM er VirtualBox og gæste-OS er Xubuntu 10.04 LTS. Java er IcedTea og browser er Firefox. Virtuel disk er på 4 GiB, der er 256 MiB RAM og 12 MiB video. Ingen shares, hverken ind i VM'en eller ud af VM'en.

  • 1
  • 0
Per Møller Olsen

En anden lille bekymring, jeg har haft siden indførelsen af NemID:

Hvis man nu kender en persons CPR-nummer, kan man lukke dem ude af NemID. Lav et forsøg på login og tast password forkert 5 gange. Så bliver brugeren lukket ude i 8 timer. Efter otte timer forsøger du igen og taster password forkert. Herefter skal brugeren have nyt nøglekort tilsendt.

Lad os så lige lave et script der tager samtlige gyldige CPR-numre på personer mellem 18 og 90 år og taster forkert. Så har vi lagt alle private transaktioner ned i 3-4 dage.

Nå nej ... det virker jo ikke ... af to årsager:

  1. Nets ville jo opdage at en maskine systematisk angreb dem. Men hvad hvis man lader x-tusinde virtuelle maskiner (eller et botnet) lave angrebet?

  2. CPR-numrene er jo personlige og bare SÅ hemmelige, at man jo SLET ikke kan få fat i dem ... øhh ... nå nej.

Hvornår mon sådan et angreb finder sted?

NemID har allerede svaret mig, at man jo opfordres til at logge ind med et brugernavn og at man slår CPR-nr. login fra. Nå ... men hvorfor gør de det så ikke?

I øvrigt er det fint med en vejledning til installation af en VM-løsning, der virker. MEN ... skulle NemID ikke ... øhh ... "Nem" ... altså for helt almindelige u-nørdede borgere i Danmark?

En klage jeg sendte til videnskabsministeriet, over monopolisering af digital signatur blev afvist af Charlotte Sahl Madsen fordi det var i national interesse, at have et fælles loginsystem. Øh ... nå?

Er der nogle, der ved, om NemID-løsningen står spejlet på flere datacentre i landet ... eller kan en vildfaren gravemaskine sætte tænderne i "KABLET" til NemID?

Ved vi i det hele taget nok om, hvor solid den kurv, vi har lagt alle æggene i, er?

  • 10
  • 0
Jens Peter Jensen

Nej, de begraver ikke mistanken!
De påstår selv, at de ikke kan, som det er implementeret i dag. Men da de ikke har offentliggjort den fulde kildekode til klient og server, er det stadig op til, om vi stoler på DanID, Digitalisteringstyrelsen og Finansministeriet.
Det svarer heller ikke på, om den nødvendige designændring kan blive beordret og gennemført på et senere tidspunkt, uden at vi bliver informeret - igen er det op til, om vi stoler på DanID og myndighederne.
Det svarer heller ikke på, om NemID (tilsigtet eller ej) åbner op for andre sårbarheder på bogernes computere. Igen: Offentliggør kildekoden - og kræv ikke, at folk kører kode på deres computere, som de ikke selv har oversat fra kildekoden.

  • 7
  • 0
Rasmus Rask
  • 4
  • 0
Anonym

Som NemID er skruet sammen, vil det altid blive påstand mod påstand, om der er tale om en Statstrojaner eller ej.
Man skal direkte kigge på de data der til enhver tid sendes til og fra den enkelte bruger, for at afsløre om det bruges som trojaner. Det er helt umuligt.

Har man mulighed for at lægge skjult software ind, så har man også mulighed for at fjerne det igen, uden at det kan spores af den almindelige bruger, dermed er løkken sluttet.

Det er som bekendt, også en mulighed hackere har.

Det er ikke muligt at "lægge NemID ned". Det er måske teknisk muligt, men der vil straks blive formuleret en lov, som beskriver at det er brugernes ansvar om NemID fungerer.
Hvilket man i stort omfang allerede har gjort.

NemID er ikke en sikker løsning, hvilket var kravet. NemID er en usikker loginløsning, som oven i købet ikke tilbyder brugeren ret til selv at vælge password.
NemID er ikke en identifikationsløsning, ikke engang i sit tekniske grundlag, men heller ikke i forhold til almindelige grundlæggende regler for identifikation.

  • 5
  • 0
Per Møller Olsen

Nemlig ... og argumentet du tidligere brugte om ekskærester/eksægtefæller, var også det allerførste jeg tænkte ... lad mig få spærret cpr-login.

Til gengæld er jeg overhovedet ikke overbevist om, at Nets "mekanismer" til at opdage angreb kan være til stor hjælp. Hidtil har hverken fantasi, fornuftige valg eller projektets konstruktion givet udtryk for at man har kontrol over det hele.

  • 4
  • 0
Mads Vanggaard

Hvordan skal han kunne svare, at det aldrig er muligt at en regering kan lave en lovændring der tvinger et privat firma til at implementere denne overvågning som teoretisk er muligt? Selv hvis det stod i grundloven kan det jo laves om.

Hvis du ikke stoler på myndigheder må du jo arbejde for at vi vælger nogen som du stoler på næste gang. Alternativt omstyrte folkestyret og sætte dig selv for bordende, men stoler vi så på dig?

  • 1
  • 2
Mads Vanggaard

Hvis du er en snotdum kriminel som benytter din almindelige pc til at lave handlinger som måtte være interessant for PET eller FET, så ja - så skal du frygte den hemmelige hær.

Hvis du er en kriminel som beskytter dig bl.a. ved ikke at installere nemID - fordi du mener staten overvåger dig - så skal du frygte den almindelige retskendelse om at ransage bolig og derved at de henter pc med hjem til deres lab. Du skal også frygte at de kikker på din Internet log

Hvis du mener at ved at kikke kildekoden igennem, at du så er sikker - ja så skal du igen frygte de helt almindelige metoder som politiet benytter sig af dagligt.

Hvis du mener at NETS lyver til folketinget, at de uden en kontrakt med staten Danmark laver en overvågning af alle installationer for at sælge informationerne i stil med Google og deres Gmail, tja. så beskyt dig i bedste stil.

Hvis du er bange for at nemID giver hackere en chance for at hacke din maskine, tja. så beskyt dig i bedste stil.

Hvis du har alle mulige argumenter om at alt hvad folketinget og NETS har gjort i forhold til nemID er ulovligt, at det er udnyttelsen af danskere i profittens tegn, at det er brud på grundloven, at det hele er fordækt tænkt, holdt skjult for alle i Danmark undtagen et par bosser i NETS, bankerne og i regeringen, tja. så skal hatten frem.

Hvis du nu bare en gang - virkelig kun en gang - prøver at tænke scenariet om det store fordækte spil igennem omkring overvågning af danskerne, samtidig med at du prøver at holde din puls nede, og så forestiller dig hvis de virkelig gjorde det og blevet taget i det, hvad der så ville ske. Forhåbentlig vil du tænke, at det vil de nok helst ikke stå med en sådan sag da den kan vælte en regering. Dernæst, igen imens du holder pulsen nede, tænker hvordan vil de kunne opnå en overvågning af interessante emner med andre midler... Kan de det? Når du har gjort det, så kan du for min skyld vende tilbage til at alt omkring nemID er ondt. Og vi i Danmark hellere skulle have haft en anden - stadig udefineret - ting som er meget mere sikker og kan benyttes uden problemer af det ganske land.

  • 3
  • 1
Gert Madsen

DanID skriver:
"Som NemID er designet i dag er det ikke teknisk muligt for myndighederne at bruge NemID som indgang til at udføre dataaflæsning af borgeres computere."

Det er et kritikpunkt, at man lige netop har designet systemet, så det er teknisk muligt at læse hvad som helst på PC'en. Det havde man ikke behøvet, og der er ikke fremkommet noget som helst fornuftigt argument for at kræve så stor adgang til folks PC'er.

Tilbage står at der i den centrale del af systemet (som ingen udenforstående ved noget om, eller har adgang til) måske er programmeret en teknisk begrænsning ind, som forhindrer aflæsning af folks PC'er.

Men det klinger altså hult, når man nemt kunne have valgt et design, der IKKE gav den mulighed på folks PC.

Det svarer lidt til at sige at det ikke er teknisk muligt for en knallert at køre mere end 25 km/t, på trods af at hvem som helst der gider undersøge det, ved hvordan man kan pille, så den kører 70 km/t.

  • 1
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize