Torben Rune

»Eklatant brøler« i MitID: Alle kunne logge på med usikre CPR-numre

MitID appen bruger 12 forskellige OpenSource biblioteker som alle er listed i appen. Næsten alle apps bruger open source kode i store mængder, så det er der ikke noget odiøst i.

At bruge det i en app som er en del af en national kritisk infrastruktur, er muligvis lidt mere kritisk, da det må formodes at kræve en grundig sikkerhedsundersøgelse hver gang der sker en ændring i et af modulerne, og navnlig, hvis der rapporteres sikkerhedsbrist i et eller flere af dem. Listen er her, incl. links til GitHub:

25. oktober kl. 09:40
Partier overraskede over egen ulovlige dataindsamling: »Det er en meget kedelig fejl«

Tillad mig en omskrivning af det interview - det er trods alt fredag i dag:

Men det er en overraskelse for Brian, medstifter af Hells Devils , som ikke engang var klar over, at det er forbudt at have værktøj til indbrud i sin taske. Til politiet oplyser han:

»Det lyder mærkeligt. Det vil jeg bede nogen kigge på. Vi bruger ikke det værktøj, og vi bryder ikke ind hos nogen.«

Han fortsætter: »Vi har ikke en gang en hægler, så hvorfor det koben og brækjern er kommet i tasken, det ved jeg simpelthen ikke. Hvor det kommer fra, det har jeg simpelthen ingen anelse om, og det vil jeg finde ud af omgående med mine klubmedlemmer. Det må være noget, politiet har plantet eller et eller andet,« fortæller Brian.

Undskyld, men det er vist dummere end politiet tillader.

7. oktober kl. 11:21
Myndighed bag MitID efter kritik af sikkerheden: »Det er den måde systemet virker på«

Pu-ha, man tør næsten ikke bruge MitID efter læsning af artiklen.

Jeg gør følgende: Alle de steder hvor NemID stadig er en mulighed, vælger jeg den. I min bank er det ikke muligt, og her bruger jeg så MitID så lidt jeg nu behøver, og åbner altid MitID appen inden jeg går på banken - så ved jeg, at der ikke hænger et gammelt loginforsøg som måske kunne give en angriber en login mulighed.

Men altså - det burde jo ikke være nødvendigt med de forholdsregler i en moderne identifikationsløsning.

Det bliver interessant at se, hvordan man vil løse problemet, som for mig at se er et grundlæggende arkitektur problem, som går tilbage til design fasen. Man skal have fat i en systemarkitekt som også har dybt indblik i datasikkerhed på forsvarsniveau. Omskolede humanister fra Statens IT er altså ikke nok - hvilket den nuværende løsning synes at bærer præg af.

7. oktober kl. 11:08
Efter afdækning af MitID hack: Digitaliseringsstyrelsen laver ukendte ændringer

Det er ikke en god idé, at pille i et produktionssystem, uden at man tester pilleriet ordentligt af.

På Twitter lige nu:

Digitaliseringsstyrelsen @DigstDK · 52 min (05-10-2022, 18:30) Der er i øjeblikket problemer med at logge på med MitID. Leverandøren arbejder på højtryk på at identificere problemet og stabilisere driften. Indtil MitID igen er stabiliseret, kan man med fordel benytte NemID i stedet. Vi melder ud igen, når der er nyt i sagen.

Mulige forklaringer / gæt: 1: Digitaliseringsstyrelsen har åbenbart ment, at de "egenskaber" Version2 har blotlagt i MitID var så graverende, at man var nødt til at skride til øjeblikkelig fejlretning - som åbenbart er gået galt.

2: "Egenskaberne" er så graverende, at de allerede er udnyttet af hackere - som har lagt MitID ned.

3: "Egenskaberne" er så graverende, at man har valgt at lukke for adgangen.

MitID er national kritisk infrastruktur, som må forventes at kunne køre redundant, og med en tilgængelighed på 99,999% eller bedre. Jeg håber virkelig at Digitaliseringsstyrelsen skruer bissen på overfor Nets - og jeg håber at der er mærkbare konsekvenser i driftskontrakten på MitID.

Hvad gør vi andre når vi ikke kan komme på vores bank, og opfylde vores betalingsforpligtelser. Betaler Digitaliseringsstyrelsen rykkergebyrerne?

5. oktober kl. 18:42
Nets: Det kommer til at tage et år at finde køber til MitID

Nets er ejet af den amerikanske kapitalfond Hellman & Friedman. I sådanne fonde er det så godt som umuligt at vide, hvem der har investeret penge. Den 1. juli sidste år trådte nye regler om screening af udenlandske direkte investeringer og særlige økonomiske aftaler i Danmark i kraft.

Disse særlige økonomiske aftaler gælder bl.a. investeringer i kritisk national infrastruktur, og MitID er netop en sådan.

Jeg mener ikke, at det er utænkeligt, at Hellmann & Friedman kan have problemer med at opfylde kravene til en investeringsscreening, og derfor enten frivillige eller tvunget er nødsaget til at sælge MitID.

Nets garanterer samtidig, at man vil lede efter en mulig køber, der »forstår og respekterer det ansvar overfor kunder og samfund, der følger med.« Nets vil dog ikke sige mere konkret, hvilke kriterier man som køber af MitID skal leve op til.

Netop den udtalelse kunne godt fortolkes som en slet skjult hentydning til en investeringsscreening. "Nets vil dog ikke sige mere konkret.... ", fordi det ikke er Nets men bl.a. Erhvervsstyrelsen som udstikker kriterierne.

Om jeg er på afveje her kan jeg ikke afgøre, men prøv at læse hele artiklen med ovenstående "briller". Pludselig giver flere andre udtalelser fra Nets en bedre mening.

4. oktober kl. 09:23
Nets moderselskab vil frasælge NemID og MitID

Er det sandt; så burde NemID/MitID aldrig være udbudt og de ansvarlife politikere må stå til ansvar. Men det er bare min betragtning!

Bemærk at jeg skriver EUs udbudsregler. Man skal have fat i Udbudsloven på både engelsk og dansk - og sammenligne hvordan undtagelsesreglerne for udbud er oversat (inklusive fodnoter). Der er nogle små interessante forskelle i de to tekster, som efter min vurdering gør, at den danske oversættelse bliver mere restriktiv i forhold til det EU kræver. Det er den danske oversættelse som er gældende lov, og den fortolkes på en måde som gør at kritisk national infrastruktur som har indflydelse på rigets sikkerhed, åbenbart skal i udbud i Danmark. Jeg tager forbehold for, at min vurdering er forkert - jeg er ingeniør ikke jurist - og jeg håber, at danske jurister har så meget tekniks forståelse, at den danske fortolkning flugter med EUs, selv om jeg kan se at det fortolkes forskelligt i andre EU lande - det er nok de andre som er galt på den - eller?

2. oktober kl. 12:24
Myndighed bag MitID efter kritik af sikkerheden: »Det er den måde systemet virker på«

Browsersessioner baseret på session cookies har ingen værdi fra et DoS-mæssigt syspunkt, da en angriber blot kan vælge at starte en ny session for hver forespørgsel.

Se: https://www.radware.com/cyberpedia/application-security/cookie-challenge/

1. oktober kl. 14:29
Myndighed bag MitID efter kritik af sikkerheden: »Det er den måde systemet virker på«

Det var godt nok en grundig dokumentation for inkompetencen i Digitaliseringsstyrelses ledelse.

Ja, det må man sige. Lidt af det jeg faldt over under vejs:

»Typisk benytter eksempelvis virksomheder, antenneforeninger med flere den samme IP-adresse for al udgående trafik. Der skal derfor tages højde for, at flere forskellige brugere benytter samme IP-adresse. Derfor er grænsen sat med dette for øje. Grænsen er dog dynamisk og kan hurtigt ændres, hvis risikobilledet ændres.«

Man kan ikke tælle fejlforsøg via IP adresser. De skal tælles via sessioner, og derfor er sessionsbegrebet omgærdet af særlig sikkerhed i alle browsere. Og der skal kun være 1 forsøg pr. session. Taster man forkert, må man starte en ny session. Antallet af samtidige sessioner fra samme IP adresse skal begrænses til en vis procentdel af det antal potentielle brugere som benytter samme adresse. Hvis ikke man tæller pr. session kan man netop ikke ændre grænsen - uanset risikobilledet. Så svaret er skudt pænt ved siden af.

»Angrebet giver mulighed for individuel chikane. Det er dog muligt løbende at blackliste IP-adresser. Jeg ved ikke, om det er sket i det tilfælde, du nævner endnu.«

Og hvad gør man så hvis angrebet kommer fra en IP adresse som er NAT'et sammen med tusindvis af reelle brugere? Bum.

»Det er ikke et angreb, vi eller bankerne har set i praksis.

Hvis man står med ryggen til ser man ingenting, og derfor sker det ikke. Den udtalelse er der vist lidt Komiske Ali over.

Det er selvfølgelig også noget, man hele tiden vil overveje. Det har en konsekvens med højere sikkerhed. Stiller man meget høje krav til brugernavnene, vil man udelukke en gruppe brugere.

Når man har valgt at brugernavnet skal holdes hemmeligt, og at det skal gøres obskurt for at højne sikkerheden, så var det måske en glimrende idé netop at udelukke den gruppe brugere som ikke kan finde ud af det.

Bekymringen for denne slags angreb er en generel problemstilling. At lave opskrifter på, hvordan man laver DDoS-angreb er ikke godt, og det er ulovligt.

Opskrifterne på DDoS angreb findes i ti-tusind vis allerede, og russiske statshackere er ganske uimponeret over dansk lovgivning. Det gør vel bare deres arbejde mere spændende. Med den logik der lægges for dagen her, kan vi ende i en situation hvor det offentliges ansvar ophører, fordi man som bruger ikke lavede et brugernavn som var obskurt nok til at det ikke kunne hackes. Man skal måske overveje at kalde det et password, og ikke vise det i klartekst på skærmen, så i det mindste brugeren selv er klar over, at han skal holde det hemmeligt.

Har det angreb, jeg har lavet, trigget nogle alarmer i jeres system? »Nu er det ikke os der driver løsningen.

Så det er ikke Digitaliseringsstyrelsens ansvar? Hvis ikke Digitaliseringsstyrelsen har systemejerskabet til MitID hvem har så? Der er vist noget som ikke er på plads her.

Denne slags mærkelige pladder-svar får mig til at tænke tilbage på de mange mærkelig svar vi i tidens løb modtog fra Telestyrelsen, hver gang der blev stillet kritiske spørgsmål til noget. Dengang var det forretnings- og politik spørgsmål som blev affejet med mærkelige og ligegyldige svar, som indikerede ringe systemforståelse. Men det her er kritisk national infrastruktur, som potentielt har betydning for rigets sikkerhed, så den slags svar fungerer ikke her.

30. september kl. 14:15
Nets moderselskab vil frasælge NemID og MitID

Det vigtigste ved det her salg er vel, at man får sikret, at bruger data aldrig må overdrages til udlandet, uanset hvor mange gange de bliver solgt og splittet op.

Det vigtigste er, at ingen - hverken virksomheder eller fremmede regeringer - får adgang til noget som helst - heller ikke til at ødelægge, forsinke, forvanske eller kompromittere data. Vi taler om et nationalt kritisk infrastruktur system, som - hvis det ødelægges eller misbruges - kan få så katastrofale konsekvenser for vores samfund, at det er samfunds- og livstruende.

Reelt brude der være to sideordnede systemer (som nu NemID og MitID), som begge kunne bruges til det samme og parallelt, dvs. så der opbygges redundans i løsningen. Hver af løsningerne skal drives med komplet separation, så de altid kan fungere også selv om det ene går ned.

Driften af begge systemer skal underlægge militær beskyttelse.

NB! Kritisk national infrastruktur som har indflydelse på rigets sikkerhed er i øvrigt undtaget fra EUs udbudsregler.

28. september kl. 13:04
Nets moderselskab vil frasælge NemID og MitID

Hvad sker der, hvis Nets sælger til et amerikansk firma, eller til et andet usikkert 3. land? Så overholder de vel ikke længere GDPR?

Det er korrekt. MitID er kritisk national infrastruktur, og derfor får Nets næppe lov til at afhænde tjenesten til hvem de vil. I mine øjne - og selv om jeg ellers er meget liberalt anlagt - vil det eneste rigtige være, at den danske Stat overtager denne løsning. At have en national identitetsløsning på private hænder - uanset om hænderne er danske eller ej - sætter hele det danske samfunds sikkerhed på en unødvendig prøve, uden at der opnås nogen fordel ved det - kun øget risiko.

27. september kl. 18:23
Deadline nærmer sig: En halv million danskere mangler stadig at få MitID

NemID kan ikke udfases ...

Specielt ikke hvis man glemmer sit bruger-ID til MitID. I MitIDs "hjælpeunivers" (det er en FAQ men de synes måske det andet lyder bedre) kan man læse:

Har du glemt dit bruger-ID, kan du selv finde det ved at scanne dit pas i MitID appen, eller ved at logge på MitID.dk med NemID.

Så hvis NemID lukkes ned kommer udenlandske medborgere uden dansk pas i klemme. Nå, pyt - de har jo i forvejen været tvunget til at besøge kommunen for at få MitID.

Tilbage er spørgsmålet så: Hvis NemID er så usikkert at det bliver erstattet af MitID, hvorfor er det så sikkert nok til at oplyse mig mit bruger-ID?

17. september kl. 15:13
IDA kritiserer regeringens millionplaner for logning af danskerne: »I bedste fald penge ud af vinduet«

»Der er flere muligheder for at imødekomme politiets behov for informationer ved terror eller alvorlig kriminalitet, uden at det resulterer i en grov tilsidesættelse af borgernes grundlæggende rettigheder med en så massiv overvågning, som et flertal i Folketinget lægger op til,«

Det kan vel tænkes, at de 150 mio. kr. skal gå til at lovliggøre logningsmetoden, så den holder sig inden for EUs regler.

12. september kl. 08:00
Næsten alle firmaer bløder stadig i skyen

Det er værd at bemærke, at hovedparten af de interviewede virksomheder i undersøgelsen har mere end 15.000 ansatte, og at virksomheder under 1.000 ansatte ikke indgår. Af disse store virksomheder udgør hele 43% tech og finans branchen. Derfor skal man være meget forsigtig med, generelt at fortolke resultaterne af denne type undersøgelser som udtryk for danske forhold. Der er masser af små og mellestore virksomheder (50 til 250 medarbejdere) i Danmark, som får fuld valuta for det der betales for cloud tjenester, og som ville pådrage sig langt højere omkostninger hvis de selv skulle etablere IT afdelinger og ansætte personale til at drive egne systemer. Bemærk også, at på trods af de negative forhold, så fremgår det at: ". A majority of respondents (90%) say that it is helping them achieve business goals." Undersøgelsen er i øvrigt lavet af Forrester Consulting på vegne af HashiCorp.

27. august kl. 08:30
Ny undersøgelse: Mere end 80.000 Hikvision-kameraer kan kontrolleres af hackere

.... der har undersøgt mere end 285.000 Hikvision-kameraer på verdensplan for, om de er blevet sikkerhedsopdateret.

Den underliggende præmis for den undersøgelse er, at ondsindede hackere skal forhindres i at misbruge kameraet. Det er dog ikke det der har været og er anstødsdelen imod Hikvisikon.

Det er derimod Hikvision selv som mistænkes for at misbruge kameraet. Om mistanken er begrundet eller ej er vanskeligt at afgøre.

Den er opstået fordi det hævdes, at netop Hikvision er en statsejet virksomhed, som kontrolleres af den kinesiske regering, dvs. det kinesiske kommunistparti.

Og som Michael (#2) skriver: "Grundlæggende er det bare dumt at sætte kameraer op hvor man har grund til at have mistro til dem der har designet kameraet."

Ja, det er det - og da i endnu højere grad når den software som skal forhindre misbrug kommer fra en producent som selv er under mistanke for netop det, opdateringen skal forhindre.

24. august kl. 07:09
Dansk undertøjsgigant klædt af: JBS ramt af dobbelt afpresningsangreb

hvorfor ligger en produktionsvirksomhed inde med billeder af sygesikringsbevis og pas!? det lugter af slavelignende sweatshop skræmmeri.. ubehagelige forhold!

Virksomheder skal sikre, at alle medarbejdere har ret til at arbejde i landet. Det kræver i visse tilfælde en arbejdstilladelse, og virksomheder skal sikre, at en sådan findes og er udstedt til den medarbejder der ansættes. Et pas kan bruges som dokumentation for, at der er match mellem tilladelse og medarbejder, og derfor gemmer virksomheder typisk kopier af begge dele, så de kan bevise at reglerne er fulgt. Det er der ikke noget ubehageligt i - det er lovgivning.

28. juni kl. 07:16
T-Mobile købte data tilbage fra hackere for at forhindre læk: Men hackerne forsøgte stadig at sælge dem

Billedet som illustrere denne (og andre af V2's) artikler er morsomt. Det stammer fra en aprilsnar i 2019 lavet af John Legere. Den gik under navnet the "T-Mobile Phone BoothE". Lidt mere info her.

19. april kl. 07:56
It-rådgiver: Danmark skal rekruttere russiske it-specialister

I den givne situation, kan jeg godt være bekymret for om man kan skelne hvilke der faktisk er flygtet ud af Rusland og hvilke der kommer til at optræde som Russiske agenter. Netop i IT stillinger er risikoen temmelig stor for at uheldige elementer kan få indflydelse eller information som ikke burde tilflyde Rusland disse dage.

Jeg er helt enig. Af samme grund vil firmaer komme i problemer, hvis der skal leveres til virksomheder der repræsenterer kritisk national infrastruktur. Her taler vi om telesektoren, energisektoren, transportsektoren, søfartssektoren, sundhedssektoren og den finansielle sektor.

I disse sektorer gælder særlige skærpede regler for leverancer. Ofte betyder det, at der skal sikkerhedsgodkendelser til de medarbejdere der skal levere, og i mange tilfælde skal virksomheden også selv sikkerhedsgodkendes. Desuden vil der, hvis de russiske ansatte placeres i f.eks. en russisk filial, skulle gennemføres investeringsscreeninger for leverancer til de kritiske infrastruktur sektorer.

Selv hvis virksomheden ikke arbejder inden for de kritiske sektorer, kræves der i mange tilfælde sikkerhedsgodkendelser.

Godkendelserne kræves uanset om der er tale om danske statsborgere, eller ej. Det er myndighederne i medarbejderens hjemland som foretager sikkerhedsgodkendelsen, og jeg kan godt forestille mig, at russiske medarbejdere - som skal sikkerhedsgodkendes af russiske myndigheder - vil løbe ind i visse problemer blandt danske infrastruktur kunder - de vil formodentlig næppe accepteret godkendelsen.

Så bortset fra at sætte fokus på, at Danmark - som resten af Europa (og verden) - mangler kvalificerede IT folk, så er forslaget - mildt sagt - rigtig dårligt timet, og så uigennemtænkt, at det næppe har gang på jord. Til gengæld kan det lynhurtigt få ekspederet virksomheder som prøver, ud i et helt uforudsigeligt troværdighedsproblem, ikke kun i de kritiske sektorer, men helt generelt.

12. april kl. 12:48
Kodefejl sendte Mit.dk til tælling i to døgn: Leverandør insisterer på, at løsningen var gennemtestet

Denne type fejl løses ikke ved hverken unit-test, integrations-test, performance-test etc. Det er et design review af løsningen med deltagelse af erfarne folk med 'sikkerheds briller' på, og ikke nødvendigvis den billigste.

Enig - og typisk løses den type af konceptuelle designfejl heller ikke på to døgn. Risikoen for fejl i uigennemtænkte og utestede lappeløsninger er alt for stor.

Og ja, prisen for erfarne systemarkitekter med 'sikkerheds briller' er høj - men det er prisen for at undgå de monumentale fejl der opstår i kølvandet på dårligt design og forkerte koncepter.

Som man siger: Hvis du synes det er dyrt at bruge dyre konsulent, så vent og se hvad det kommer til at koster at bruge billige. QED.

5. april kl. 12:47
Kodefejl sendte Mit.dk til tælling i to døgn: Leverandør insisterer på, at løsningen var gennemtestet

Fuldstændig enig. Og inden man starter testen kunne man passende få nogle erfarne systemarkitekter til at gå de koncpetuelle designkriterier for Mit.dk igennem. I lyset af den omtalte fejl kunne man passende få dem til at sætte fokus på bl.a. alt hvad der kan ske, når man skifter sessionsnøgle mellem frontend og backend, med specielt fokus på sessionens kobling til MitID. Det er noget af en opgave, bl.a. fordi forskellige browsere har kedelige tendenser til at behandle sessionsbegrebet forskelligt.

5. april kl. 07:48
Kodefejl sendte Mit.dk til tælling i to døgn: Leverandør insisterer på, at løsningen var gennemtestet

Diagnosen er forkert - der er ikke tale om en kodningsfejl! Det der beskrives i artiklen er en konceptuel og arkitekturmæssig designfelj - ikke en kodefejl. En kodefejl beskriver en fejl, hvor et stykke software gør noget andet end tiltænkt. Beskrivelsen her afdækker, at softwaren gør nøjagtigt som tiltænkt, men at tankerne bag funktionen er forkert.

En strid om ord? Nej, bestemt ikke. Kodefejl opstår når en systemkoncept omsættes til kode. Den beskrevne fejl er sket på konceptniveau - hvor det åbenbart er besluttet at bruge en forkert sessionsidentifikation i systemet - formodentlig fordi den sessionsidentifikator som frontenden vedligeholder, åbenbart ikke er god nok, eller ikke kan overføres til backend systemerne. At skifte sessionsnøgler under vejs er der intet odiøst i, men her er konceptet udviklet uden hensyn til eller forståelse for løsningens realtidsegenskaber.

Den slags fejl skal fanges på designtedspunktet - ikke i kodetest, og da slet ikke i "slutbrugertest" med live data.

Er det ikke lige meget - når nu fejlen er fundet og rettet? Absolut ikke. Når der opstår konceputelle fejl på dette niveau, er det alvorligt. Risikoen for, at lignende fejl ligger andre steder i løsningen er overhængende, netop fordi den aktuelle fejl afslører mangel på systemforståelse. Blot for at nævne nogle få problemområder: Tilgangen til og låsningen af records i backend systemets databaser; Håndtering af sessionsudløb eller afslutning i frontenden, med låste records i backenden; Spærring eller udløb af brugerens MitID under en kørende session; Samtidig tilgang fra samme bruger via forskellige apps (web, mobilapps osv.), med samme MitID, men med forskellige sessioner; Samtidig tilgang fra to forskellige brugere til samme persons data (muligt via værgemåls tilgang).

5. april kl. 07:40