Den græske tragedie NemID status

Et meget slemt problem var NemID fik rutinemæssig fornyelse af certifikat galt i halsen.

Først må jeg fortælle folk at det var en fejl fra DanIDs side, og de kunne trykke OK.

Dernærst fortælle at den slags advarsler skal tages meget alvorligt, og at de ikke fremover bare må trykke OK. Vi er nogle der kæmper en kamp, for at få almindelige brugere til at forstå hvad de har med at gøre, og så de kan agere forsvarligt på egen hånd, og så kommer DanID og stikker en kæp i hjulet...

De fleste af dem jeg kender, forventer at der sker mystiske ting når de går ind på en tilfældig hjemmeside, men når det er deres netbank.... suk!

http://www.ernemidnedeigen.dk/

På et tidspunkt lykkedes det en simpel bankansat at forkludre en oprettelse så een kunde fik adgang til en anden kundes NemID, dette betød at kunden havde fuld kontrol over den anden kundes digitale identitet.

Hvorfor en bankansat har mulighed for at lave denne fejl uden systemet fanger den er en gåde og viser hvor ringe sikkerheden reelt set er selvom de ellers praler med god sikkerhed og krypterede nøgler i sikre moduler osv osv.

Som da min afdøde svigerfar fik til tilsendt sit "NemID" brev og nøglekort to år efter han var afgået ved døden, og et år efter boet var gjort op!

Som før nævnt mener jeg også det er et problem, at de enkelte delelementer af tvangsdigitaliseringen er så afkoblede fra hinanden, at ingen har det overordnede ansvar. DanID nægter at forholde sig til risiciene ved de systemer som de giver adgang til (evt. via MitM), Digitaliseringsstyrelsen afviser at det er deres problem når NemID er nede, man lader det være op til bibliotekarer at hjælpe borgere der ikke selv kan (på trods af at man kun må anvende NemID på computere " hvor operativsystem, internetbrowser og øvrige programmer løbende bliver opdateret med de seneste sikkerhedsopdateringer", hvilket man naturligvis ikke kan stå inde for på kommunens vegne på et bibliotek). Så vidt jeg ved bliver kun misbrugsstatistikker fra bankdelen offentliggjort, hvis statistikker for OCES overhovedet findes (der er også problemer med værdiansættelse af misbrug der).

Resultatet er at borgeren kan blive kastet rundt mellem private og offentlige organisationer, eksempelvis i et forsøg på at genoprette skaderne efter et NemID-misbrug.

Thumbs down til tvangsdigitalisering.

Så vidt jeg ved bliver kun misbrugsstatistikker fra bankdelen offentliggjort, hvis statistikker for OCES overhovedet findes (der er også problemer med værdiansættelse af misbrug der).

Misbrugsstatistikkerne for netbank omfatter kun de borgere som har fået penge stjålet fra deres bankkonto. De kriminelle ved næppe på forhånd hvem der har 50k stående på deres lønkonto, så realistisk set har de kriminelle brudt ind i et langt større antal bankkonti, mange steder for blot at konstatere at her var der ikke noget at stjæle. De har givetvis høstet navn og CPR nummer når de nu var i gang, men så er vi ovre i det mere bløde identitetstyveri som der ikke er præcise statistikker for.

Der er et og kun et sikkerhedsniveau, svarende til en og samme nøgle til haveskuret, huset, cyklen, bilen, bankboksen mv.

Det er ikke muligt at håndtere fuldmagter, svarende til at jeg gav min nabo nøglen til pengeskabet og det hele, hvis han gerne, mens jeg er på ferie, vil låne min plæneklipper der står i skuret.

Du mangler en af de mest åbenlyse: Der er ingen reel sikkerhed, man skal bare taste sit password og engangskode ind på alle sider som har noget som ligner en NemID-login-boks. Modsat fx OpenID, hvor mit ID har en central login-side, og jeg derfor har en måde at sikre mig at en login-form sender mit password det rigtige sted hen.

http://www.version2.dk/artikel/video-saadan-kan-nemid-hackes-32396

Det synes jeg faktisk er det grelleste problem med NemID, fordi det er så umotiveret og nemt at designe rigtigt.

I mellemtiden har bl.a. Nordea følt sig tvunget til at fjerne den sidste rest af sikkerhed, ved at erstatte NemID med en sms-kode på netbanken. Se https://www.netbank.nordea.dk/netbank/index (screenshot http://ge.tt/643WkXv/v/0?c )

Der var et problem med at DanID sagde at de ikke havde adgang til filerne på kundens computer. Og så viste det sig bagefter at de havde skjult kode i nogen billedfiler, på bedste hackermanér, endda med kode til forskellige systemer i forskellige filer.

NemID appletten har adgang til de fleste filer på kundens computer, det er altså den rene bank- og statstrojaner. IT-POL har demonstreret hvordan det gøres.

DanID havde ikke på forhånd sikret sig dk-domænet for nemid-tjenesten. Mage til hovedløs business-praktis har jeg ikke set længe. Så lagde de sag an mod ejeren af demid.dk, og tabte. NETS tabte også sagen om domænet nets.dk. Det virker altså amatøragtigt for så stort og vigtigt infrastuktur-firma. Det er ikke særligt betryggende.

Henrik, du siger du vil samle kalamiteterne. Hvor vil du lægge informationen? På en Wiki et sted? Måske wikipedia?

Nu nævner du SMS-koder.

Hvorfor er SMS-kode mere usikkre end fx NemID? Jeg passer da på min telefon. Kodekort og Nøglegenerator ligger....et sted derhjemme.

Kan en sikkerheds-kyndig svare på hvorfor SMS-koder ikke bare kan erstatte NemID?

Jeg elsker bare at høre og læse omkring hvor godt og smart det er at det offentlige digitaliserer... men gør de nu også det?

Som jeg ser det har vi bare fået udvekslet rundsendingen af papir med rundsendingen af pap-kort? ... Det er da vist analog tænkning i en digital alder!

Og hvorfor skal det offentlige altid satse på EEN leverandør og ALTID på en Klient-Server model, hvor ALT ligger hos den private leverandør? Når man vælger en så kritisk opgave og smider alle æggene i samme kurv burde man da i det mindste stille andre kvalitetskrav end oppetid? ... Hvad er kravene til Test hos DanID? Hvad er kravene til alternative løsninger? Hvad er kravene til support? Hvad er kravene til design/arkitektur? Hvad er kravene til integration? Hvad er kravene til skalerbarhed? osv.

Vi ved jo alle hvordan det går når man har et lille IT projekt med en inkompetent forretning og en projektleder, der ikke forstår hverken forretning eller IT siden... Prøv så at udskifte forretning med "ingenting" og projektleder med "politiker"! Så er det da ingen sag at regne ud at samtlige IT projekter kører i hegnet med fuld fart og travlheden ved håndvasken vil ingen ende tage!

Lige så lidt prestige der er i at gennemføre et succesfuldt IT projekt for en politiker (ja, jeg ved godt at det er en teoretisk situation!) lige så lidt prestige er der åbenbart i at gennemføre den fra IT leverandørens side!

Uagtet at hendes indstillinger hos NemID står til automatisk fornyelse og hendes email oplysninger er korrekte, udløb hendes certifikat uden varsel forleden, og gjorde hende nemid ubrugeligt. Efter at have gennemtrevlet nemid.nu uden at finde oplysninger om hvad man så skulle gøre, var eneste mulighed at ringe til Nets - hvor der selvfølgelig grundet var enorme ventetider på at komme igennem.

De har da endelig(!) fået gjort det muligt at have sin private nøgle på sit eget USB-token - så de ikke længere har ens private nøgle i deres "sikre" varetægt.

Det er årsagen til at jeg endelig har fået et OCES certifikat :)

Det virker iøvrigt også på f.ex. Linux - har lige lavet en opdateret vejledning til hvordan det gøres (inkl. noget java workaround - fordi NemID ikke kan løse, hvad alle andre sjovt nok godt kan :) - sig til hvis i vil have link til blog om det.

Der er nu 2 leverandørers hardware-tokens som NemID har testet og lavet vejledninger til brug af, som NemID opbevaring - så det virker til at være korrekt implementeret, da man kan købe vilkårlig hardware fra 3. part (så længe det lever op til kravene) og det anvender såvidt jeg kan se standarden pkcs11 til at man kan bruge det i browseren - og så burde man også kunne anvende ens token til bl.a. at kryptere emails osv. - som man kunne med det gamle x509 cert vi havde på en fil (og her er jeg glad for at jeg nu har det på et token :)

Resten af punkterne er jeg rimeligt enige i.. Vi burde måske lave nogle officielle løsningsforslag, for at hjælpe politikerne lidt på vej til når aftalen skal fornys.. Måske hvis f.ex. Version2 stod bag koordineringen, kunne vi få udarbejdet noget ordentligt og struktureret - istedet for at vi alle blog'er om hvad vi synes :)

Hvorfor er SMS-kode mere usikre end fx NemID?

Jeg læser dit spørgsmål som: Hvorfor er SMS-koder dårligere end papkort/access-key?

Som Multi-factor authentication er SMS-koder helt klart en af de brugbare løsninger. Problemet med SMS-koden er den kan opsnappes på forskellig vis, fx hvis du benytter en smartphone til dit banklogin.

Nogle banker blander det lidt sammen, så afhængig af hvad man vil i banken, er der forskellige sikkerhedsniveauer. Jeg kunne snildt leve med kodeord+SMS for at se kontoudtog, og så fx kodeord+SMS+papkort for at lave en transaktion. Jeg kunne også nemt leve med at en bankoverførsel til udlandet krævede telefonopringning fra banken, førstkommende hverdag.

Jeg passer da på min telefon. Kodekort og Nøglegenerator ligger....et sted derhjemme.

Mafiaen+NSA passer også godt på at de ikke bliver opdaget på din telefon.

Hvorfor er SMS-kode mere usikkre end fx NemID? Jeg passer da på min telefon. Kodekort og Nøglegenerator ligger....et sted derhjemme

Hvad der øjensynligt er gået mange forbi, så har du ikke ene-kontrol over din telefon. Prøv at google på "bagdøre" i telefoner - det er f.ex. i dag, muligt på ALLE telefoner, for operatøren at sende sms'er med "hemmelige" koder - (som de forhåbentlig spærrer for at andre kan sende - medmindre man så lige hacker operatøren - ikke specielt svært hvis man virkelig vil) som installerer software på din telefon, eller ændrer indstillinger.

Det er ikke en sølvpapirshat ting desværre - det er den skinbarlige sandhed og operatørerne mener at have brug for det, for at kunne hjælpe os osv. Desværre kan den slags "velmenene hjælpe muligheder" også nemt misbruges, og vi har INGEN garanti for at den ikke bliver det - og har ikke mulighed for at vide det.

Det er jo almindelig kendt at FBI mm. får lokket dem de overvåger til at installere en bagdør på deres smartphones - og ligeledes så opdages der jævnligt apps som gjorde mere end man troede de gjorde (af mere eller mindre ondsindet natur) - så der er rigtig mange måder at få adgang til dine sms'er på din tlf.

Husker du f.ex. at svare nej til en app - der tilfældigvis lige nævner at den også vil kunne læse dine sms'er ? Det kan en bank ihvertfald ikke stole på at flertallet gør :(

Derudover så indeholder telefoner idag, jo kun den funktionalitet som producenter og operatører ønsker at du får (læs de kan tjene penge på) - og jeg må indrømme at der er mange småting jeg godt kunne tænke mig at ændre på og da jeg er en stor tilhænger af software frihed, så glæder jeg mig til at få en telefon med fri software på (og KUN fri software) - og må indtil da leve med cyanogenmod (eller openmoko - men hardwaren er desværre for dårlig) og udover det, så er der jo desværre også indbygget diverse bagdøre i de chips der håndterer kommunikationen med gsm nettet - så bagdøre i dem, er bestemt ganske sandsynligt, selvom man har en fri telefon.

Så for at opsummere - det er ikke en særlig god idé at lade "den ting du har" være en anden computer - så er der ikke særlig langt, til at man bare hacker den også, når man vil have fat i dine oplysninger.

Det virker iøvrigt også på f.ex. Linux - har lige lavet en opdateret vejledning til hvordan det gøres (inkl. noget java workaround - fordi NemID ikke kan løse, hvad alle andre sjovt nok godt kan :) - sig til hvis i vil have link til blog om det.

Jatak. Jeg har også først fået OCES efter at hardwareløsningen kom på gaden. Jeg har indtil videre anvendt den på en Windows-installation.

Det er bare skammeligt, at hardwareudgaven af NemID ikke kan anvendes alle steder. Det er jo den sikreste udgave af NemID.

sig til hvis i vil have link til blog om det

Meget gerne.

HK: Du foreslår at bruge en VM til alle hjemmesider, der kræver NemID. Det har jeg gjort længe. Men med det forslag fjerner du jo reelt værdien af, at PET via NemID's trojanere let og uden dommerkendelse kan skaffe sig adgang til alle de data den enkelte borger har adgang til på sin computer. De eneste data der vil være at hente, er de, som PET allerede kender i forvejen. Læg en NemID-VM ind på Version2's hjemmeside med en vejledning i dens installation og brug, og en begrundelse for, hvorfor man som borger bør beskytte sit privatliv. Hvor lang tid tror du der ville gå inden en pæn mand i jakkesæt kom på besøg og "overbeviste" chefredaktøren om at den skulle fjernes igen?

Kalle har du da selv genereret den private nøgle, eller var den i dimsen da du modtog den? Jeg havde en USB-nøgle i en kort tid da den kom frem - den døde ret hurtigt på grund af en produktionsfejl, og jeg fil aldrig anskaffet en ny. Jeg kan ikke huske, at jeg var indblandet på nogen måde i genereringen af den private nøgle. Hvis man ikke selv og som den eneste genererer den private nøgle er det jo en pseudosikkerhed.

Jeg havde en USB-nøgle i en kort tid da den kom frem - den døde ret hurtigt på grund af en produktionsfejl, og jeg fil aldrig anskaffet en ny. Jeg kan ikke huske, at jeg var indblandet på nogen måde i genereringen af den private nøgle.

Specs siger at nøgleparret bliver genereret på dit crypto token, og specs siger at token er designet tamper-resistant så du ikke kan få den private nøgle ud af token.

Hermed blog om emnet - skriv endelig hvis i har spørgsmål/forslag

http://blog.klavsen.info/content/nemid-p%C3%A5-hardware-guide

linket til christian panton resolver til 404

Selvom man har fået NemID på hardware kan det stadig lade sig gøre at aktivere NemID på papkort via MitM, ikke? - og papkortet er man tvunget til at have...

Det var naturligvis OCES på papkort jeg mente...

@Michael R.: Han har åbenbart slettet sit indlæg sidenhen.. @Lars S.: Når du har NemID på hardware, så har den (og bør ikke - ellers er der en ALVORLIG brist hos NemID/DanID) ingen tilknytning til papkortet (da man jo selv har genereret ens private nøgle på usb-tokenet og man derfor slet ikke KAN anvende den almindelige OCES løsning - de har jo ikke din private nøgle længere.

Mit papkort havde jeg i forvejen ikke nogen OCES tilknytning på - så den anvender jeg til min bank og IKKE andet.

kan det stadig lade sig gøre at aktivere NemID på papkort via MitM, ikke?

Jeg vil KRAFTIGT formode at de har et check for om de allerede har en OCES profil (offentlig del) på det CPRnr - og dermed bør man IKKE kunne få OCES aktiveret på sit bank NemID/papkort.

Hvis nogen lige har et link til OCES aktivering, kunne det være sjovt at prøve :)

Jeg vil KRAFTIGT formode at de har et check for om de allerede har en OCES profil (offentlig del) på det CPRnr - og dermed bør man IKKE kunne få OCES aktiveret på sit bank NemID/papkort.

Det tvivler jeg på at de har. Der er ikke noget i vejen for at du kan have flere digitale signaturer hos DanID.

Kalle har du da selv genereret den private nøgle, eller var den i dimsen da du modtog den? Jeg havde en USB-nøgle i en kort tid da den kom frem - den døde ret hurtigt på grund af en produktionsfejl, og jeg fil aldrig anskaffet en ny. Jeg kan ikke huske, at jeg var indblandet på nogen måde i genereringen af den private nøgle. Hvis man ikke selv og som den eneste genererer den private nøgle er det jo en pseudosikkerhed.

Mener da det var fremme dengang at disse hardware dongles kom frem at din nøgle godtnok er genereret i det kort der er inde i donglen

Dog var det så vidt jeg husker noget med at for at få lov at signere en transaktion med donglen så skulle man have en kode (Pinkode) og DanID var i besiddelse af master koden (PUK koden).

Ergo vil det være fuldt ud muligt, i hvert fald for DanID at få adgang til din digitale identitet.

Derudover, når du ikke selv har genereret nøglen så er du jo igen nødt til at stole på DanID når de siger at nøglen bliver genereret i kortet og at de ikke har en kopi af nøglen et sted.

Jeg har ikke forstand på IT, så måske er min kommentar ikke relevant. Men altså: Som almindelig IT bruger plejer jeg at bruge Firefox som browser. Sidste sommer, da der kom en ny Java-version, kunne jeg ikke længere få NEM ID til at virke med Firefox. Da jeg genindlæste den gamle Java-version, virkede det; men det holdt kun en måneds tid, så blev den gamle Java-version taget helt ud. Fra da af har jeg været nødt til at bruge Internet Explorer, fordi jeg ikke kunne logge på med Firefox. Det fungerer jo; men det støder mig, at et statsligt monopol på den måde tvinger alle brugere i Danmark til at bruge en bestemt browser. Eller har jeg helt misforstået det ? Kan man få NEM ID til at fungere med Firefox på nogen måde ?

Det gode ved det nylige nedbrud er at vi nu har fået bekræftet af Nets at reglerne for brug af NemID ikke skal følges. Man kan derfor nu frit scanne sit nøglekort og benytte det som man lyster.

https://www.nemid.nu/dk-da/om_nemid/regler/regler_for_nemid/

Kan man få NEM ID til at fungere med Firefox på nogen måde ?

Det virker fint med Firefox i LMDE. Du er dermed ikke afhængig af en Windows-licens.

Dog var det så vidt jeg husker noget med at for at få lov at signere en transaktion med donglen så skulle man have en kode (Pinkode) og DanID var i besiddelse af master koden (PUK koden).

Det er ikke korrekt.

Der skal en pinkode til for at låse den op første gang. Derefter genereres certifikatet i dens hardware. Den passhrase man baserer certifikatet på skal derefter indtastes ved brug. Glemmer man den er certifikatet tabt og et nyt skal genereres. DanID kan ikke hjælpe.

Han har åbenbart slettet sit indlæg sidenhen..

Er det denne?

https://christian.panton.org/to-linjers-kode.html

Min guide røg da jeg omlagde min blog fra Tumblr til self-hosting. Havde håbet den kunne findes på archive.org, men den er åbenbart under 6 mdr gammel og ikke med i deres arkiv. Sorry.

At man har valgt at skabe endnu et monopol er minsandten håbløst.

Dog synes jeg at den evindelige bashing af Java er unuanceret. F.eks. pointen med at Java er usikkert, fordi der bliver lavet mange sikkerhedspatches, mener jeg er lidt skæv: For er al software, der ofte bliver sikkerhedspatchet, så usikkert?

Jeg har godt nok også selv mistet lidt af tilliden til Java, men primært pga. det nu er Oracle og ikke Sun, der står bag. Og hvis vi virkelig skal helt af med Java og tænke lidt konstruktivt, hvad skal alternativet så være? Javascript? Er dét nutidens bedste bud på sikkerhed?

Og endelig er pointen med at "den PC baserede browser er død" en gang sensationsjournalistik, som trækker ned på en ellers god artikel.

At man har valgt at skabe endnu et monopol er minsandten håbløst.

Det er nu ikke helt korrekt.

Det der er problemet er at man har skabt et monopol som man derefter har forankret i en privat virksomheder.

Men offentlige monopoler på infrastrukturområdet giver særdeles god mening. F.eks vand, kloak, veje, jernbaner og datakommunikation.

Så med NemId kunne man sagtens have skabt et Offentligt infrastruktur monopol (Verifiseringen) og et privat servicelag som kunne udnytte dette.

Og endelig er pointen med at "den PC baserede browser er død" en gang sensationsjournalistik, som trækker ned på en ellers god artikel.

100% enig

Og endelig er pointen med at "den PC baserede browser er død" en gang sensationsjournalistik, som trækker ned på en ellers god artikel.

blog == personlig mening != journalistik

Og endelig er pointen med at "den PC baserede browser er død" en gang sensationsjournalistik, som trækker ned på en ellers god artikel.

Hvis du læser blogindlægget, vil du se at udsagnet er baseret på en statistisk analyse af user agent strings for et antal større danske websites, og her var mere end halvdelen af alle besøg fra mobile browsere.

Det er mere "facts" end det er "mening".

Personligt kommer jeg aldrig til at lave NemID ting fra en mobil browser, men det skyldes min holdning til IT-sikkerhed, og jeg er klar over at jeg i den henseende udgør et mindretal i samfundet.

1. Closed source (problem af åbenlyse årsager)
2. Kører arbitrær kode som intet har med ID at gøre (som vi ikke ved hvad er - potentiale for backdoors/statstrojaner af forskellig art )
3. Dårligt design, hvis det koster 50 mil og tager over et år at porte fra Java til JS er der altså noget helt galt.
4. Når jeg bruger feks. Danske netbank på min tablet antager jeg at jeg bryder følgende klausuler i nemID's TOS: • ikke må scanne dit nøglekort, indtaste dine nøgler på eksternt medium eller på anden måde digitalisere eller kopiere nøglerne og • du bruger NemID på en computer, hvor operativsystem, internetbrowser og øvrige programmer løbende bliver opdateret med de seneste sikkerhedsopdateringer.
5. DanID kan ændre reglerne når de vil, og ændringerne gælder med det samme: 3.10 Ændring af reglerne for brug af NemID DanID har ret til at ændre reglerne uden varsel,

Closed source (problem af åbenlyse årsager)

I går fik jeg så at vide (af en ung mand med god kendskab til IT) at hele problemet med NemID er Open Source og at man aldrig skulle have bygget noget så samfundskritisk oven på nogen Open Source (det er Java der menes med Open Source) fordi alle kan jo hacke skidted uden at nogen opdager det.

Jeg har ingen ide om hvor unge mennesker får de tåbeligheder ind i hovedet men de sidder der meget fast.

at man aldrig skulle have bygget noget så samfundskritisk oven på nogen Open Source

Så skal du da ikke fortælle denne unge mand, at børsen i London er Linux-baseret... :-)

Eller 90% + af de store børser er Linux baseret (ingen kilde - modbevis gerne :). Og at den engelske (ihvertfald iflg. nyhederne) - har prøvet windows først -og måẗte opgive og skifte til Open Source, for at få noget der fungerede :) http://blogs.computerworld.com/london_stock_exchange_to_abandon_failed_w...

Osv. men Darwins lov skal jo 'fange' nogen - og så må de forblive i deres verdenssyn som de vil, alt imens vi andre nyder vores :)

I går fik jeg så at vide (af en ung mand med god kendskab til IT) at hele problemet med NemID er Open Source

Eller hvad med et lille skib

http://arstechnica.com/information-technology/2013/10/the-navys-newest-w...