NemID – ville du aflive den hvis du kunne?

Min bloggerkollega Peter Toft har begået et lille indlæg som der er kommet en del diskussion omkring, se det på
http://www.version2.dk/blog/nemid-overholder-ikke-den-centrale-mail-rfc-...

Diskussionen går i starten på at NemID ikke har en abuse@nemid.nu som ellers vil gøre det nemt at rapportere eventuelle problemer. Check gerne at din organisation har tilsvarende:

Dette er nedfældet i RFC 2142 MAILBOX NAMES FOR COMMON SERVICES, ROLES AND FUNCTIONS
https://www.ietf.org/rfc/rfc2142.txt og jeg bruger det selv på mit private domæne. Dette dokument er forøvrigt fra May 1997 og således +15 år gammelt - og en rigtig god ide.

Pligt til at hjælpe

I den relativt gode diskussion der kom under Peters indlæg kommer der for mig nogle centrale punkter frem, tak Casper for at bringe emnet højere op.

http://www.version2.dk/blog/nemid-overholder-ikke-den-centrale-mail-rfc-...

Det her synes jeg er at gå i liiidt for små sko. Jeg tror vi alle der arbejder med IT er enige om at Nemid er en lorte løsning.
Men nu er den her, og vi må leve med den.
Som IT folk i DK synes jeg faktisk, vi især har en særlig pligt til at værnne om vores lands IT mæssige infrastruktur. På den måde biddrager vi til at resten af DK får så god en serivce fra fx. nemid som muligt, til trods for hvad vi må synes om den. ...

Jeg er specielt glad for at vores pligt til at hjælpe med den viden vi har, det er noget jeg selv ynder at bringe på bordet. Jeg taler for at vi skal samarbejde, gerne på kryds og tværs og blandt konkurrerende firmaer - så vi tilsammen får en god og sikker infrastruktur i Danmark.

Hvis du har viden der kan hjælpe IT-sikkerheden i Danmark eller evner som direkte eller indirekte forbedrer Danmark (og verden) kom frem, IT-sikkerhed uden grænser.

I den konkrete situation stiller jeg dog krav om at firmaer liiiiiiiige gør sig lidt umage og opretter en email adresse abuse@ - hvis de ikke selv kan så findes der nok en Microsoft konsulent der har stort kørekort til Exchange.

NemID er en katastrofe

fra samme kommentar spørges der også direkte:

Betyd det Henrik Kramshøj at næste gang, hvis den kommer, at du falder over noget ingen andre har set, der truer danske borgere i at bruge nemid, så vil du ikke rapportere det fordi nemid ikke har en abuse@ mail adresse? For hvis du sidder og arbejder med, hvad jeg tror du arbejder med, så er det sku ikke godt for alle os andre...

Den er faktisk svær, og et dilemma som er Mads og Monopolet værdigt. Specielt trigger det mig når Casper tidligere skriver "Men nu er den her, og vi må leve med den." Må vi det?

Hvis jeg gerne vil beskytte Danmark mod trusler, som jeg pr default gerne vil, skal jeg så beskytte NemID eller er jeg villig til at ofre det med en effektiv aflivning - hvis jeg fik chancen? -

Hvis jeg sad med en bombe der med et kunne gøre NemID ubrugeligt, så alle logins fra imorgen ikke ville virke, ville være usikre, jeg kunne spoofe hvem som helst, noget der fik hele korthuset til at falde ... hvad ville jeg gøre.

eller hvad BURDE jeg gøre?

Burde jeg følge responsible disclosure, som har været diskuteret i så mange år at det næsten er forældet og ikke altid bruges mere, eller er det ansvarlige og bedste for Danmark ikke at vi afliver dyret udfra konklusionen om at vi ikke fortsat vil acceptere og leve med NemID i sin nuværende allerede kompromitterede og kompromitterende form.

Her vil jeg indsætte min mening, lidt senere idag - skal vi sige ca. kl ~15:00, men skal vi ikke gøre det lidt sjovere, hvad ville du gøre hvis du sad med viden der kunne smadre NemID fuldstændigt? smide det i den virtuelle shredder eller offentliggøre det? Ville du turde smide det ud i offentligheden med dit navn som afsender?

< < < < placeholder opdateret kl 14:36 - dette er skrevet imorges i toget >

NemID er en katastrofe på alle niveauer og det eneste rigtige at gøre hvis man sidder med en bombe om systemet er at smide den ud til offentligheden uden ophold. Uanset at alle logins og dermed alle borgere ville risikere datatab, utilgængelighed og tab af fortrolighed er det en rimelig og afbalanceret måde at aflive systemet.

Hov, afbalanceret når det kan give tab af data for millioner af mennesker og nødløsninger vil koste millioner af kroner?! Ja, faresignalerne har været der fra starten, kritikken er blevet undertrykt, ansvaret er hvor ansvaret bør være og derfor er der ikke en valid grund til at tilbageholde eventuel information.

Ville jeg poste med mit eget navn? Nej, jeg ville ikke per default gøre det med mit eget navn hvis det kunne undgås - specielt grundet erstatningskrav ville det være en juridisk kamp som ville have ekstreme konsekvenser, så jeg ville nok først poste og dernæste lodde stemningen, sorry. Hvis det ikke kunne undgås ville jeg formentlig poste aligevel, og gå kampen imøde.

(PS jeg vil altså ikke have skylden for alle fremtidige anonyme post, just for the record :-) )

> >

Nedenstående også nyt, skrevet ca 14:40
Jeg tænkte på forslaget med at vente til imorgen, men formoder ikke dette rammer de almindelige aviser, og jeg synes alle de gode svar fra andre fortjener mit input. Der kommer nogle interessante svar!

Jeg bemærker at mange IKKE tror det vil hjælpe meget at kontakte NemID - og det er i sig selv ret alvorligt. Jeg er selv kæmpe fan af Panton eksempelvis og PHK - så hvis deres oplevelser er så ringe, så lover det jo ikke godt for fremtiden for NemID! Jeg føler mig også bekræftet i at det ville være sundt for Danmark om det blev skudt ned, og en fair warning på 30 dage ville jeg også klart overveje - selvom det ville fjerne den statement det er at man har ignoreret advarsler igennem snart mange år.

Yderligere svar fra mig vil være nedenfor i debatten, ses dernede!

Kommentarer (28)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Carsten Gehling

Se det er dét, man kalder et godt spørgsmål... :-)

Selvfølgelig ville jeg ikke smadre NemID - alene af den grund, at så meget infrastruktur og national økonomi er hængt op på det. Det ville være fuldstændig uansvarligt og i mine øjne være groft strafbart.

Jeg ville sørge for at give besked samtidig til: Nets/DanID, Nationalbanken, og hvem det nu er, der er den ansvarlige offentlige opgavestiller. Med grundig gennemgang til, hvorledes "bomben" fungerer.

På samme måde: Hvis nu jeg opdagede en konstruktionssvaghed i Storebæltsbroens østlige del, så jeg kunne få den til at knække sammen med de 12 blålyn jeg har liggende ude i garagen, så ville jeg jo heller ikke gøre det - det ville skade dansk økonomi i en ufattelig grad, da broen er en vigtig del af vores infrastruktur. Men jeg ville søreme sørge for at give besked til dem, der varetager vedligeholdelsen af broen.

Minor update: Jeg ville i begge tilfælde være MEGET fristet til den destruktive løsning... i hvert fald et par minutter. ;-)

Poul-Henning Kamp Blogger

Jeg har engang prøvet at opnå kontakt med Nets om noget temmelig vigtigt (for dem!) og det lykkedes ikke før jeg ringede privat til en tidligere kollega.

Nets er derfor et specialtilfælde for mig.

Med den hovne og vi-alene-vide holdning Nets ligger for dagen og men stillet overfor hvor lidt de faktisk ved eller gider når det kommer til stykket, jvf. fotografens advarsel, er min holdning "Lad falde hvad ej kan stå."

Jeg ville foretage ét telefonopkald til Nets.

Hvis de ikke kan eller ikke vil stille mig igennem til en kompetent medarbejder, vil jeg give dem 3-6 timer, afhængigt af tidspunktet på dagen, til at få vedkommende til at ringe tilbage til mig.

Sker det ikke, ville jeg publicere sagen på min blog, således at borgerne kunne vide at de ikke mere kunne stole på NemID.

Hvis Nets vil have bedre vilkår, kan de starte med "den gyldne regel".

Mikkel Mortensen

Nemid har desværre tidligere vist, hvad deres holdning er til dem der forsøger at hjælpe. Hvis jeg sad med den ultimative bombe, ville jeg nok finde mig en journalist hos version2 og under sikkerhed for hemmeligholdelse af navn, ville jeg offentliggøre det den vej; det sidste jeg ville gøre var nok at forsøge at informere dem via. de normale kanaler...

Thomas Løcke

Min indre Han Solo ville bombe NemID tilbage til stenalderen, og grine højlydt mens hele korthuset styrtede sammen om Nets og de ansvarlige politikere/embedsmænd.

Min indre Grisling ville "offentliggøre" opskriften på bomben til Nets, diverse IT-ordfører, en håndfuld ærværdige dommere, nogle ansvarlige og stædige journalister, politiet og alle de tekniske guruer jeg kunne grave ud af den danske muld.

Grisling ville med stor sandsynlighed vinde over Han Solo.

Christian Panton

Jeg har engang prøvet at opnå kontakt med Nets om noget temmelig vigtigt (for dem!) og det lykkedes ikke før jeg ringede privat til en tidligere kollega.

Det er meget lig min oplevelse: Jeg måtte bruge pænt lagt tid på at forklare at min henvendelse ikke var et supportspørgsmål, da jeg lige ville give dem et heads up vedr. min NemID implementation - hvis altså det gav anledning til sikkerhedshuller. Jeg fik dog først svar efter pressen tog sagen op to uger efter, med et rungende "det kan du glemme alt om".

Jeg faldt desuden over denne meget interessante "talk" omkring teknikken bag NemID, med beskrivelser af applikationsstacken, sikkerhed, HSM'er, mm.

Kristian Lund

At et privat, udenlandske firma er den eneste der må underskrive for mig, er fuldstændig vanvittigt. Det kan - åbenbart - kun gøres tydeligt for befolkning og politikere ved et massivt, omfattende sammenbrud.

Hvis NemID stoppede med at virke, eller stod pivåbent og kollapsede som utroværdigt, kunne man turde håbe på krav om at enhver person selv er ansvarlig for sine nøgler (vi ringer jo heller ikke til Blackwater om at låse hoveddøren op). Dertil den elendige sikkerhed (jeg, uden teknisk uddannelse, vidste åbenbart før NemID hvad DDOS var), og ikke mindst sikkerheds-kulturen (hehe) som PHK beskriver.

Christian Panton

En af de ting jeg lagde først mærke til da jeg begyndte at kigge på sikkerheden i NemID, var at appletten havde CA-pinning. Det tænkte jeg var vældig fint og patchede mit JRE til at den datastruktur de brugte til at gemme det statiske CA certifikat også altid indeholdte mit CA. Jeg havde dog lavet en fejl i hvornår dette skulle inkluderes, og der var derfor CA mispatch på den MITM proxy jeg benyttede mig af. Men appletten loadede fint. Jeg tænkte at dette måtte være noget code rot som havde gjort at CA-pinning-funktionaliteten ikke længere virkede, og jeg skrev derfor en hastig email til en person jeg tidligere havde korresponderet med i Danid. Svaret var følgende:

"Appletten anvender ikke HTTPS som et væsentligt sikkerhedselement og derfor stoppes eksekveringen ikke ved CA mismatch."

Hvorfor f***** er der så brugt så meget energi på det?

Frithiof Andreas Jensen

JA, det ville jeg. Men jeg vil have noget ud af det også, det er en af den slags muligheder der ikke kommer ofte.

Eftersom enhver debat, kritik eller problemstilling altid afvises med argumentet "Fordi ... Markedet!" så tror jeg at jeg må tage dette til efterretning og holde en lille auktion.

Höjeste bud får krypteringsnöglen til en fil som indeholder informationen allerede placeret på P2P, NETS er naturligvis velkommen til at byde med.

Hvis budet ikke når over reserven, d.v.s. det det koster at köbe mit huslån ud (med skat e.t.c.), så ryger nöglen ud på P2P også. Så må de selv rode med det.

Peter Mogensen

Jeg synes der er stor forskel på hvordan tæppet bliver trukket væk under monsteret.

Eksponere et zero-day exploit, der sætter samtlige danskere i økonomisk fare ... nej.

Sladre til en journalist om at jeg er blevet bekendt med at Bain Capital er blevet afkrævet under Patriot Act at kræve Nets modificerer deres Java-applet for at få adgang til danskeres indentitet. ... så afgjort ja.

Kai Birger Nielsen

Jeg forsøgte at få nogen til at tage alvorligt at de har forskellige versioner af deres eula liggende forskellige steder med svagt forskellig ordlyd og dermed mening. Ingen gad tage sig af det, så jeg blev kastebold mellem inkompetent support ved nets og ditto ved en kreditforening.
De kan for min skyld stege i eget fedt.

Nicolai Klausen

den lokale kommune, hospital, mm der ikke har styr på sikkerheden, er uden betydning. Fremgangs måden for håndtering af sikkerheds problemer er den sammen.

  • Kontakt den ansvarlige med information om problemet

  • Vender de ikke tilbage inden for et givet tidsrum eskalerer du din information til en højere instans - For NemID må det være digitaliserings styrelsen

  • Er der stadig ikke nogen tilbagemelding, gør du dem begge opmærksom på, at pressen bliver informere, hvis ikke de aktivt viser, at de er ved at lukke angrebs vektoren - cc pressen på denne eskalering (uden at fortælle pressen hvad problemet, blot at den er der)

    • Kan angrebs vektoren kun lukkes på den korte bane, ved at ved lukke servicen, skal servicen naturligvis lukkes.
  • Er der stadig ikke nogen tilbagemelding, giver du pressen alt information omkring sikkerheds problemet.

Min erfaring er desværre, at det først er når der eskaleres med pressen som cc, at den ansvarlige enhed handler - Heldigvis, har jeg endnu ikke været nød til at give pressen alt information.

Jakob Sørensen

Hvis vi lige ser bort fra diverse jura (hvad jeg må og ikke må), så ville jeg nok advare folkene bag om at ødelæggelsen ville blive frigivet om X dage (fx. en måned). Så kan de nå at løse problemerne, eller lukke lortet. Nedtællingen ville sikre at det (forhåbentlig) ikke blev ignoreret.

Christian Madsen

En initiativrig person burde starte "Selskab for offentlig ydmyghed og
arrogence" med formål at afdække de situationer, hvor
systemet/partnere ser sig selv som ufejlbarligt, ignorerer
henvendelser, optræder arrogang/spydigt, men så sandeligt lige så, når
disse optræder ydmygt, taknemmeligt og samarbejdsvilligt - både ris og ros
hjælper os jo til at nå derhen hvor vi alle gerne vil.

Der kunne så være en hjemmeside, hvor folk kunne poste, dokumentere og
diskutere deres oplevelser. Både gode, som dårlige. Til at starte med dårlige
og når systemet har set sig selv i spejlet længe nok, de gode.

Christian Madsen

En anden, mere fræk og risikovillig person kunne så starte
"whistleblower.dk", hvor dokumentation kunne oploades med
tidsindstillet offentliggørelse til emails, sociale medier, p2p mv. Så
ville der ligesom være et vist systematiseret pres til at tage tingene
alvorligt. En kryptografiinteresseret ville sikkert kunne udtænke
nogen snedige mekanismer til at sikre at indhold og nøgler ville være
i sikkerhed for magtens stærke hænder.

Tine Andersen

Og alt for besværligt at bruge, det kræves at jeg møder fysisk op med fysiske papirer. Hvor smart er det?

Min site (der godt nok ikke er oppe at køre endnu) har @abuse og så videre. Jeg har selv nogen gange tilskrevet webmastere- og påpeget problemer. Som regel bliver de løst.

Hvis jeg, der godt nok ved lidt, har alle de her mailadresser oppe at køre, hvorfor har NEMID, det så ikke?
Jeg mener, jeg betaler i omegnen af 1500 kr/md på mit tussegamle kobber... Og jeg er kun næ-RIG.

For fo fokken da!

Mvh
Tine- fattigrøv- og nu ved I hvorfor

Casper Jensen

Først og fremmest mange tak til Henrik for at fange min pointe og ikke mindst for at mane mit sind til ro :)

I followup af det jeg skrev, på før omtalte forum, må jeg sige jeg ville prøve det formelle kanaler, hvis jeg stod inde med sådan en viden.

Hvis de formelle kanaler fejlede, hvilket det lader til de ville :), havde jeg nok også offentlig gjort det, fx via version2.

Det der med at ringe ud af det blå.
Nu gætter jeg bare. Jeg kunne forstille mig nemid måske får en del af kald af folk der tror de ved hvad de snakker om. Når anderkendte eksperter ringer til nemid med bekymringer vil de ryge samme bunke som alle os andre.
Ville det ikke være en ide at lave et talerør for ISPernes sikkerheds folk og anderkendte eksperter som fx. PHK? Istedet for at tvinge dem til at bruge de offentlige kanaler. PHK måtte jo bruge sit netværk for at komme igennem!
Egentlig tror jeg det vil gavne IT sikkerheden en del i DK hvis ISP'er, eksperter og firmaerer som CSIS samarbejde mere, måske oprettede en organisation eller ligende.

Så for at opsumere sætter jeg bogernes sikkerhed før nemid's eksistens, hvorfor, hvis de ikke ville lytte, måtte det offentliggøres. Koste hvad det koste ville.

Tak til dig Henrik for at se essensen i hvad jeg prøvede at sige, og ikke tage det personligt :)

PS:
Kali, Security onion og ELSA er for vildt!

Sune Marcher

Jeg havde startet med at kontakte NETS + hvad jeg lige kunne finde på af relevante ministerier, og pressen - og havde gjort alle parter opmærksomme på hvem der var kontaktet, og hvad de havde fået at vide. Pressen skulle naturligvis ikke have detaljerede informationer, kun severity-level.

Dernæst ville NETS få præcis en uge til at komme med fornuftig tilbagemelding. Intet svar, eller for lang tidshorisont på fix ville medføre Nuclear Release, spredt ud over pastebins, github, piratebay og hvad man ellers kan finde på.

Al kommunikation ville naturligvis foregå fra anonym mail-konto, gennem hacket/åben WiFi der ikke er i nærheden af hvor jeg bor, og fra Tails eller lignende distro bootet fra en usb-stick og ændret MAC adresse - anonym fysisk post er en dårlig idé når vi snakker om at kompromitere national infrastruktur, DNA-spor and all.

Og der ville naturligvis ikke være spor af research-materiale på nogle af de computere befinder sig i min lejlighed.

Henrik Kramshøj Blogger

Egentlig tror jeg det vil gavne IT sikkerheden en del i DK hvis ISP'er, eksperter og firmaerer som CSIS samarbejde mere, måske oprettede en organisation eller ligende.

Der findes faktisk ISP-sikkerhedsforum hvor de mødes en del af de danske ISP'er. Frivilligt og privat arrangeret.

Jeg tror et stort problem er at der vil være meget få henvendelser, og derfor bliver processen ikke indkørt ordentligt i organisationen. Det tog også mange år før Microsoft begyndte at håndtere henvendelser om fejl i deres produkter eksempelvis.

Så ja, det kan være svært - og ofte får man heller ikke alle detaljerne med i en sådan henvendelse, så det er svært at se om den er alvorlig eller bare mjaeh.

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize