Nets Holding A/S



NemID skjuler kode i ‘billedfiler’

Via Version2 - , indsendt af thimon

Der har på Version2 været en løbende debat om NemID, efter at det er kommet frem, at NemID har kode skjult i billedfiler af typen GIF, der igen er pakket sammen i en jar-fil på brugerens computer.

Spørgsmålene opstod i forbindelse med en virusskanning fra programmet McAfee, hvor der ved en dybskanning opdagede fire mistænkelige filer fra NemID forklædt som billedfiler, men med eksekverbar programkode.

DanID erkender nu, at de har skjult kode i billedfiler, men siger, at koden udelukkende bruges til at gemme oplysninger om sessioner i tilfælde af et eventuelt misbrug af NemID. DanID forsvarer brugen af skjulte filer med, at det udelukkende er efter princippet om at gøre det sværere for hackere, hvis der skulle opstå en sikkerhedsbrist.

DanID til Version2 skrev:
Den omtalte kode bruges til at danne den såkaldte PC-tjeksum. Tjeksummen dannes ved at måle på forskellige parametre på brugerens pc, hvorefter den i anonymiseret form følger med log-in i netbanken. Denne model fandtes også i de gamle netbankløsninger, og spiller en rolle i systemets sikkerhedsberedskab.

For at tilfredsstille kritikere, der påstår, at der sker en overvågning fra DanID, er de villige til at lade udvalgte personer se på kildekoden.





Gå til bund
Gravatar

#1 loas 22. nov. 2011 08:55

Det lugter lidt af security by obscurity. Ikke særlig betryggende.
Gravatar

#2 webwarp 22. nov. 2011 08:58

Nu hvor det er kendt, at i hvert fald mcafee antivirus har lagt en ignore på de 4 filer må man gå ud fra at nemid ændrer praksis før nogen planter virus i disse filer og udnytte.
I like my beer cold, my TV loud and my homosexuals flaming.
Gravatar

#3 Hubert 22. nov. 2011 09:01

Nyheden skrev:
Nu hvor det er kendt, at i hvert fald mcafee antivirus har lagt en ignore på de 4 filer må man gå ud fra at nemid ændrer praksis før nogen planter virus i disse filer og udnytte.


Det er faktisk ikke noget nyt. Det kom frem allerede i august måned sidste år.

Problemet ved den gennemgang er at man på ingen måde kan være sikker på at danid frigiver den kode de faktisk benytter eller at de vil fortsætte med at bruge den kode de viser hvis de faktisk benytter den nu.


issues may or may not exist until they are found."…

Shrödinger's Vulnerability
Gravatar

#4 myplacedk 22. nov. 2011 09:04

loas (1) skrev:
Det lugter lidt af security by obscurity. Ikke særlig betryggende.

Jeg gentager lige mig selv fra en anden tråd:

Security By Obscurity kan forstås på to måder.

1) Når systemets sikkerheds består i at man ikke forstår hvordan systemet virker. Fx. kan man på sin hoveddør i stedet for at have en lås, bruge et dørhåndtag der skal vippes opad. Så håber man at folk opgiver hurtigt.

Det er en meget dårlig ide, og det er ikke det, der er tale om her.

2) Ud over den rigtige sikkerhed, gør man livet lidt mere besværligt for dem som prøver at bryde ind. Fx. kan man have en god lås på sin hoveddør. Men når låsen så er dirket op går døren stadig ikke op, fordi dørhåndtaget skal vippes opad i stedet for nedad. Dvs. sikkerheden sidder i låsen, og bliver ikke mindre sikkert af et sært dørhåndtag. Men dørhåndtaget gør det lidt mere surt at være uærlig.

Det er DET der er tale om her.
Gider du lige sætte navn på bagsiden af mit Möbius pandebånd?
Gravatar

#5 Hubert 22. nov. 2011 09:05

myplacedk (4) skrev:
Jeg gentager lige mig selv fra en anden tråd:

Security By Obscurity kan forstås på to måder.

1) Når systemets sikkerheds består i at man ikke forstår hvordan systemet virker. Fx. kan man på sin hoveddør i stedet for at have en lås, bruge et dørhåndtag der skal vippes opad. Så håber man at folk opgiver hurtigt.

Det er en meget dårlig ide, og det er ikke det, der er tale om her.

2) Ud over den rigtige sikkerhed, gør man livet lidt mere besværligt for dem som prøver at bryde ind. Fx. kan man have en god lås på sin hoveddør. Men når låsen så er dirket op går døren stadig ikke op, fordi dørhåndtaget skal vippes opad i stedet for nedad. Dvs. sikkerheden sidder i låsen, og bliver ikke mindre sikkert af et sært dørhåndtag. Men dørhåndtaget gør det lidt mere surt at være uærlig.

Det er DET der er tale om her.


Og som jeg skrev i den anden tråd kan du ikke vide hvilken af de 2 muligheder der er i brug her. At påstå andet er mildest talt fjollet.


issues may or may not exist until they are found."…

Shrödinger's Vulnerability
Gravatar

#6 myplacedk 22. nov. 2011 09:08

Hubert (5) skrev:
kan du ikke vide hvilken af de 2 muligheder der er i brug her.

Netop. Det er IKKE nogen indikator for hvor god sikkerheden er. Kan vi snart stoppe med at lade som om det er et dårligt tegn?
Gider du lige sætte navn på bagsiden af mit Möbius pandebånd?
Gravatar

#7 mortenp 22. nov. 2011 09:14

Det hjælper ikke at lade os se kildeteksten. Der er et sikkerhedsproblem med hele idéen. Hvorfor bruger de en privilegeret Java-applet, med fuld adgang til brugerens system? De kan skifte koden ud fra dag til dag, fra bruger til bruger. De kan stjæle dine SSH-nøgler, din pr0n-samling, installere trojans, og så videre.

Siden min bank skiftede til NemID har jeg kørt netbank i en virtuel maskine. Jeg gør det ikke for at beskytte min netbank mod andre programmer, men for at beskytte mine andre programmer mod min netbank.

Systemet er ikke designet til at beskytte brugernes oplysninger.
Gravatar

#8 Hubert 22. nov. 2011 09:20

myplacedk (6) skrev:
Netop. Det er IKKE nogen indikator for hvor god sikkerheden er. Kan vi snart stoppe med at lade som om det er et dårligt tegn?


Det er da altid en start at du kan se at du tog fejl da du mente det nødvendigvis var det bedste af dine egne alternativer der er tale om i nemid konstruktionen.

Som udgangspunkt tænker man altid at tingene er kompromitteret når man arbejder med IT-sikkerhed. Derfor må man også gå ud fra at de har valgt alternativ 1 og ikke din påståede alternativ 2... Derfor bliver vi nødt til at sige at det er et dårligt tegn at de vælger at benytte sig af security by obscurity.

Hvis denne sag er et bevis på hvordan systemet er designet er det jo let nok at se hvorfor de vælger at holde det for sig selv.


issues may or may not exist until they are found."…

Shrödinger's Vulnerability
Gravatar

#9 rular 22. nov. 2011 09:21

webwarp (2) skrev:
Nu hvor det er kendt, at i hvert fald mcafee antivirus har lagt en ignore på de 4 filer må man gå ud fra at nemid ændrer praksis før nogen planter virus i disse filer og udnytte.


Jeg ved selvfølgelig ikke præcis hvordan mcafee har valgt at lave denne undtagelse. Men jeg tror vi kan være ret sikker på den ikke bare ignorerer filer med det navn og den placering. I stedet vil jeg gætte på at den checker om disse filer har en checksum svarende til de filer danid bruger nu. Dette gør det meget svært at bruge disse til at smugle virus ind.

Når det er sagt så bryder jeg mig generelt ikke om løsningen. Det er en form for "security by obscurity" specielt i og med at dekompilering af hele nemid komplekset er blevet besværliggjort. Ja, dette gør at der skal arbejdes lidt længere før en kriminel kan få adgang, men de har en stor motivation til at lægge dette arbejde. Vi andre der bare gerne ville checke at den kode de udfører på vores computere er ok... Vi bliver i høj grad forhindret i dette.

Hvad kan problemerne i disse manglende kode checks så være?
- Fejl de ikke selv har opdaget.
- De kan smugle "native code" af ENHVER type ind på min pc, og jeg har ingen til ringe mulighed for at opdage det. Selv ellers så åbenlyse tegn på virus som eksekverbare gif filer er ikke et brugbart mere.
- Koden fra nemid kan teknisk set bruges til at vælge en bestemt dansker, og derefter installere en trojaner på hans computer remotely. Jeg tror ikke danid/staten vil gøre dette nu, men det er sku en skræmmende mulighed.
- Find selv på flere...
Gravatar

#10 myplacedk 22. nov. 2011 09:22

Hubert (8) skrev:
Det er da altid en start at du kan se at du tog fejl da du mente det nødvendigvis var det bedste af dine egne alternativer der er tale om i nemid konstruktionen.

Det er en overfortolkning, og jeg gider stadig ikke diskutere med dig.
Gider du lige sætte navn på bagsiden af mit Möbius pandebånd?
Gravatar

#11 Hubert 22. nov. 2011 09:25

myplacedk (10) skrev:
Det er en overfortolkning, og jeg gider stadig ikke diskutere med dig.


Jeg skal da gerne beklage hvis jeg har overfortolket hvad du skriver. Jeg forsøger så vidt muligt ikke at fortolke på hvad du skriver.

Og nej selvfølgelig vil du ikke tage en debat. Jeg holder mig også gerne væk fra debatter hvor jeg ved jeg ikke får et ben til jorden fordi jeg ikke har argumenterne på plads...


issues may or may not exist until they are found."…

Shrödinger's Vulnerability
Gravatar

#12 myplacedk 22. nov. 2011 09:33

Hubert (11) skrev:
Og nej selvfølgelig vil du ikke tage en debat.

Det er en overfortolking. Jeg debaterer gerne, men ikke med dig.
Gider du lige sætte navn på bagsiden af mit Möbius pandebånd?
Gravatar

#13 Tingholm 22. nov. 2011 09:33

spørgsmålet er vel blot om security by obscurity er brugt som en lille ekstra sikkerhed eller en lille eneste sikkerhed...

Hvor mange indbrud var der i homebanksystemer før nemID og hvor mange er der nu??
Menuen.dk - Lige ved hånden
Gravatar

#14 kasperd 22. nov. 2011 09:39

loas (1) skrev:
Det lugter lidt af security by obscurity.
Det er der jo ikke noget nyt i. Da jeg rettede henvendelse til dem med et specifikt sikkerhedsspørgsmål erkendte de at deres egne sikkerhedsforanstaltninger ikke kan tåle at se dagens lys. Og da Version 2 demonstrerede hvor let man kan udføre phishing/mitm-angreb opfordrede Danid dem til at droppe debatten omkring sikkerheden.

webwarp (2) skrev:
Nu hvor det er kendt, at i hvert fald mcafee antivirus har lagt en ignore på de 4 filer må man gå ud fra at nemid ændrer praksis før nogen planter virus i disse filer og udnytte.
Jeg kan ikke se hvordan det skulle give Danid incitament til at ændre deres praksis. I stedet burde McAfee have meldt ud at de ikke vil give Nemid særbehandling og blive ved med at give advarsler indtil Danid dropper deres pjat.
The Internet is full, please try again later.
Gravatar

#15 cryo 22. nov. 2011 09:40

mortenp (7) skrev:
Hvorfor bruger de en privilegeret Java-applet, med fuld adgang til brugerens system?


Den har ikke mere adgang end din normale brugerkonto; der er ikke tale om at det kører som administrator. Det er altså med andre ord ikke anderledes end at starte et vilkårligt program på computeren.

myplacedk (4) skrev:
2) Ud over den rigtige sikkerhed, gør man livet lidt mere besværligt for dem som prøver at bryde ind. Fx. kan man have en god lås på sin hoveddør. Men når låsen så er dirket op går døren stadig ikke op, fordi dørhåndtaget skal vippes opad i stedet for nedad. Dvs. sikkerheden sidder i låsen, og bliver ikke mindre sikkert af et sært dørhåndtag. Men dørhåndtaget gør det lidt mere surt at være uærlig.


+1, jeg synes også debatten er totalt unuanceret både her og på Version2, hvor det hele tiden hævdes at det skulle være "velkendt" at S.B.O. "ikke virker".
Gravatar

#16 myplacedk 22. nov. 2011 09:40

Tingholm (13) skrev:
Hvor mange indbrud var der i homebanksystemer før nemID og hvor mange er der nu??

Her er et par artikler du selv kan prøve at tage stilling til. Du kan dog fint nøjes med overskrifterne.

NemID: Et effektivt middel mod netbankrøvere

Voldsomt fald i netbankindbrud - men ikke på grund af NemID

Når du kigger på om NemID er sikrere end hvad der var før, skal du først definere hvad du sammenligner med. Der var mange forskellige løsninger før, og nogle af dem var ca. lige så sikre som NemID. Men andre var modne til en udskiftning, og er dermed blevet forbedret meget.

Dertil kommer at NemID giver mere end høj sikkerhed. Det skal også løse nogle usability-problemer (fx. problemet med at få lavet en ny nøglefil når man får ny PC, og ofte adskillige dage uden netbank i den forbindelse), og forhåbentlig spare nogle penge.

(Jeg arbejder på en Bank-datacentral, dog ikke med netbank-sikkerhed.)
Gider du lige sætte navn på bagsiden af mit Möbius pandebånd?
Gravatar

#17 cryo 22. nov. 2011 09:41

webwarp (2) skrev:
Nu hvor det er kendt, at i hvert fald mcafee antivirus har lagt en ignore på de 4 filer må man gå ud fra at nemid ændrer praksis før nogen planter virus i disse filer og udnytte.


Nu må man nok antage at McAfee ikke er amatører og bare ignorerer filer baseret på filnavn, men derimod benytter sig af en SHA-1 hash eller lign., så den slags angreb er næppe mulige.
Gravatar

#18 HenrikH 22. nov. 2011 09:54

#17: Nu må man nok antage at DanID ikke er amatører og bare ignorerer sikkerhedsproblemer baseret på ekspertudsagn, men derimod benytter sig af en sikkerhedseksperter eller lign., så den slags angreb er næppe mulige.
Gravatar

#19 trylleklovn 22. nov. 2011 09:58

mortenp (7) skrev:
Siden min bank skiftede til NemID har jeg kørt netbank i en virtuel maskine. Jeg gør det ikke for at beskytte min netbank mod andre programmer, men for at beskytte mine andre programmer mod min netbank.



Newz.dk er fyldt med komikere. Jeg er godt underholdt!
ikke uden evner
Gravatar

#20 Jaqen 22. nov. 2011 10:02

#19: enig. Tror meget kan gå galt, men at nets vil bruge nemid som trinbræt til verdensherredømmet er ikke blandt mine største frygter :-)

ofte kommer sådanne udtalelser endda fra folk der ikke ser et problem i at have nøglekortet indskannet på samme smartphone som de bruger til mobilbank, samtidig med at de har tin-foil-hatten på i alle andre aspekter
Følg dem der søger sandheden, undgå dem der mener at have fundet den
Gravatar

#21 mortenp 22. nov. 2011 10:04

cryo (15) skrev:
Den har ikke mere adgang end din normale brugerkonto; der er ikke tale om at det kører som administrator. Det er altså med andre ord ikke anderledes end at starte et vilkårligt program på computeren.


Men det er også langt mere adgang end normale hjemmesider har. Det er alt for meget adgang. Hvilken legitim grund har de til det? Det øger i hvert fald ikke min sikkerhed som netbankbruger.
Gravatar

#22 Saxov 22. nov. 2011 12:00

myplacedk (4) skrev:
Jeg gentager lige mig selv fra en anden tråd:

Security By Obscurity kan forstås på to måder.

~snip~

Jeg tror vi alle sammen er enig om at der er to måder at se SBO på.

Der hvor folk stiller spørgsmålstegn er ved at:
1) Ingen ved om SBO er eneste lag eller ej.
2) NemID påstår det er en væsentligt del af deres sikkerhed, at bruge SBO. se fx http://www.version2.dk/artikel/danid-vi-noedt-til-...
3) NemID sniger custom native kode ind på maskinen, og vil ikke ud med hvad den gør, andet end "beregner en checksum"
Gravatar

#23 cryo 22. nov. 2011 12:03

Saxov (22) skrev:
1) Ingen ved om SBO er eneste lag eller ej.


Det er absurd at antage at det skulle være det eneste lag. Desuden, den omtalte obfuskerede kode har til formål at indsamle et "fingerprint" på computeren, og har således ikke som sådan noget med den sikrede kommunikation at gøre.

Saxov (22) skrev:
2) NemID påstår det er en væsentligt del af deres sikkerhed, at bruge SBO. se fx http://www.version2.dk/artikel/danid-vi-noedt-til-...


Det synes jeg ikke på nogen måde man kan læse af ovenstående.

Saxov (22) skrev:
3) NemID sniger custom native kode ind på maskinen, og vil ikke ud med hvad den gør, andet end "beregner en checksum"


Hvis du ikke stoler på DanID, stoler du så på din bank... eller din stat? Det virker paranoidt. Det må være et minimum at tillid et sted.
Gravatar

#24 Justin 22. nov. 2011 12:15

mortenp (21) skrev:
Men det er også langt mere adgang end normale hjemmesider har. Det er alt for meget adgang. Hvilken legitim grund har de til det? Det øger i hvert fald ikke min sikkerhed som netbankbruger.


Det simple svar er af da de før brugte en nøglefil var det nødvendigt med denne udvide adgang, også har de bare været for dovne til af lave en ny java aplet
-- > har du husket af lave en ubrugelig bil analogi i dag ?? <--
Gravatar

#25 Hubert 22. nov. 2011 12:16

cryo (23) skrev:
Det er absurd at antage at det skulle være det eneste lag. Desuden, den omtalte obfuskerede kode har til formål at indsamle et "fingerprint" på computeren, og har således ikke som sådan noget med den sikrede kommunikation at gøre.


Indtil det her kom frem ville de fleste nok også mene at det ville være absurt at antage at de ville gemme kode i en .gif fil...


issues may or may not exist until they are found."…

Shrödinger's Vulnerability
Gravatar

#26 myplacedk 22. nov. 2011 12:41

#23 svarer ca. hvad jeg ville svare.

Saxov (22) skrev:
3) NemID sniger custom native kode ind på maskinen, og vil ikke ud med hvad den gør, andet end "beregner en checksum"

Så kan jeg fortælle dig det: Koden beregner en checksum af din hardware. Formålet må være at genkende din PC.

Hvis nogen hæver penge fra din konto med din NemID, vil du formentlig sætte pris på at man kan se, at det ikke er sket fra nogen af de maskiner du plejer at bruge.

Ovenstående er baseret på DanID's egne udtalelser, som du nok også selv har læst. Der er selvfølgelig en teoretisk chance for at de lyver, men personligt synes jeg det er okay at gå ud fra at det ikke er DanID vi skal beskytte os imod.
Gider du lige sætte navn på bagsiden af mit Möbius pandebånd?
Gravatar

#27 Saxov 22. nov. 2011 12:48

cryo (23) skrev:
Det er absurd at antage at det skulle være det eneste lag.

Ja, men syntes der er kommet masser af absurte ting ud fra DanID, så skulle en til eller fra gøre noget?

cryo (23) skrev:
Desuden, den omtalte obfuskerede kode har til formål at indsamle et "fingerprint" på computeren, og har således ikke som sådan noget med den sikrede kommunikation at gøre.
VED du det, eller gætter du på at det er det eneste den kode gør?
Jeg er oprigtigt interesseret i om du har viden om PRECIST hvad den gør.

cryo (23) skrev:
Hvis du ikke stoler på DanID, stoler du så på din bank... eller din stat? Det virker paranoidt. Det må være et minimum at tillid et sted.
Jeg stoler på min bank til at håndtere mine pengesager, men jeg checker da alligevel mine konto udtog igennem jævnligt for at kigge efter uforklarlige afvigelser. Men jeg stoler ikke nødvendigvis på at min bank skal kunne håndtere fortroelighed omkring mine lægelige oplysninger, og omvendt, stoler jeg ikek på min læge eller mit forsikringsselskab til at de skal håndtere mine bankforetninger.

myplacedk (26) skrev:
Så kan jeg fortælle dig det: Koden beregner en checksum af din hardware. Formålet må være at genkende din PC.

Jeg lægger også mærke til deres formulering
http://www.version2.dk/artikel/danid-vi-holder-sikkerheden-hemmelig-goere-livet-surt-de-kriminelle-32772 skrev:
Den omtalte kode bruges til at danne den såkaldte PC-tjeksum. Tjeksummen dannes ved at måle på forskellige parametre på brugerens pc, hvorefter den i anonymiseret form følger med log-in i netbanken.
altså ikke noget om den KUN gør det, bare at den gør det, og ikke noget om hvorvidt det er mere eller mindre.

Samtidigt siger de at det er anonymt info der kædes sammen med mit CPRnummer, hvordan er det så anonymt?
Gravatar

#28 myplacedk 22. nov. 2011 12:56

Saxov (27) skrev:
altså ikke noget om den KUN gør det, bare at den gør det, og ikke noget om hvorvidt det er mere eller mindre.

Et eller andet sted er du bare nødt til enten at stole på DanID eller lade være, og uanset hvad, så er det bare det.

Deres eksistens-grundlag er at levere sikkerhed til dig, bankerne m. fl., og det er der i øvrigt ganske gode penge i. Jeg kan ikke se nogen grund til at mistænke dem for at være grundlæggende onde eller inkompetente, selv om man kan være utilfreds med nogle detaljer.

Saxov (27) skrev:
Samtidigt siger de at det er anonymt info der kædes sammen med mit CPRnummer, hvordan er det så anonymt?

Jeg forstår det sådan at det er PC'en der er anonym. Altså de kan ikke se hvilken PC du bruger, men de kan genkende den. En slags "md5sum af et fingeraftryk".
Gider du lige sætte navn på bagsiden af mit Möbius pandebånd?
Gravatar

#29 Emil Melgaard 22. nov. 2011 12:56

Bemærk at det hele tiden har stået i deres privatlivspolitik at de indsamler de her oplysninger:

https://www.nets-danid.dk/om_nets_danid/privatlivspolitik/index_12.html skrev:
De oplysninger, vi indsamler om pc’en omfatter:

* Browsertype
* Computertype
* Styresystem
* Forbindelsestype (ISDN, ADSL o.l.)
* Skærmopløsning

Herudover indsamler vi:

* Oplysning om IP adresse
* PC-checksum (teknik til beregning af unik identifikation af en pc).
* Oplysninger om tjenesteudbydere, du besøger, hvis du har valgt denne mulighed til
* Oplysning om tidspunkt, hvor du har besøgt en given hjemmeside.
* Disse oplysninger eller din adfærd på nettet sammenstilles ikke med dine personoplysninger.


Det er dog lidt svært at forstå hvorfor de gemmer filerne som gif-filer.
Gravatar

#30 Hubert 22. nov. 2011 13:00

Emil Melgaard (29) skrev:

Det er dog lidt svært at forstå hvorfor de gemmer filerne som gif-filer.


Efter eget udsagn gør de det af security by obscurity årsager. De mener selv at det gør det sværre for kriminelle at misbruge nemid. De undgår dog at komme ind på hvordan.


issues may or may not exist until they are found."…

Shrödinger's Vulnerability
Gravatar

#31 RobertL 22. nov. 2011 14:13

myplacedk (4) skrev:
Jeg gentager lige mig selv fra en anden tråd:


Jeg forstår ikke din analogi med døre og nøgler ..
Forskellen mellem (måske) låste døre og det her er bla at det kræver fysisk adgang at prøve at fuske en låst dør op.
Derudover ville det vel være temmelig stupidt at prøve at gemme låsen så folk ikke ved den er der ?

Det lugter lidt af at 'NemID' ikke er helt sikre på at OTP
er sikkert og derfor vil gå med seler OG livrem ??
Gravatar

#32 Spiderboy 22. nov. 2011 15:18

Hvis systemet er ægte sikkert, skulle det ikke gøre nogen forskel, om folk kender artitekturen eller ej.

Der findes masser af åbne implementationer af åbne, velkendte kryptosystemer derude. Disse er også blevet peer reviewet.

Jeg stiller mig også lidt kritisk, om DanID ved 110% hvad de laver, pga. al det hemmelighedskræmmeri.

myplacedk (28) skrev:
Et eller andet sted er du bare nødt til enten at stole på DanID eller lade være, og uanset hvad, så er det bare det.

DanID er i praksis ret svær at vælge fra.
Gravatar

#33 troldefar 22. nov. 2011 15:59

Nu lyder det jo helt som om at folk herinde har styr på alt. Er der ikke ved at gå bare en smule EB i det her NemID fis?
I lyder som om at alle andre end lige jer selv har HELT styr på sikkerhed og ved hvordan det skal implementeres, uden at der kan ske hverken det ene eller det andet.
Jeg har personligt ikke styr på detaljerne, omkring hvordan NemID sikrer mine oplysninger. Men jeg stoler på at de ved hvad de laver, ellers får de satme 5 millioner eller deromkring mennesker på nakken.
Desuden kan INTET sikres 110% det findes bare ikke. Ikke hvis det stadig skal kunne bruges, af hr og fru bondetamp eller gamle hr Madsen. Som INGEN forstand har på computere, men skal bruge det for at kunne komme rundt i deres hverdag.
Gravatar

#34 MichaelB 22. nov. 2011 16:11

Jeg stoppede med at læse da folk begyndte at diskuttere, så der er måske blevet spurgt om det her.

Hvorfor er der gået så længe før man har opdaget det her? Jeg mener, jeg har haft nemid i ret lang tid nu, og mcafee har lavet antivirus og sikkerhed i ret lang tid nu.
Hvis de kunne finde skjult kode idag, så burde de også kunne finde det for et år siden i de samme filer. Medmindre det er en forholdsvis ny sikkerhedsstrategi fra Danid selvfølgelig.
Har Danid gjort deres sikkerhed ekstrem god og usynlig eller har Mcafee sovet i timen?
Gravatar

#35 Taxwars 22. nov. 2011 17:54

loas (1) skrev:
Det lugter lidt af security by obscurity. Ikke særlig betryggende.


Rigtig, det er totalt amatøragtigt, og skaber utryghed.
Luk DR - de snylter på skatteyderne
Gravatar

#36 myplacedk 23. nov. 2011 08:19

RobertL (31) skrev:
Forskellen mellem (måske) låste døre og det her er bla at det kræver fysisk adgang at prøve at fuske en låst dør op.

Enhver analogi indeholder irrelevante forskelle.

RobertL (31) skrev:
Derudover ville det vel være temmelig stupidt at prøve at gemme låsen så folk ikke ved den er der ?

Jeg ved ikke lige hvad du snakker om her. Men en fungerende (og i øvrigt "dirkefri") lås, som en indbrudstyv med låsesmedsværktøj ikke kan finde, det lyder da ganske smart.

RobertL (31) skrev:
Det lugter lidt af at 'NemID' ikke er helt sikre på at OTP
er sikkert og derfor vil gå med seler OG livrem ??

Intet er 100% sikkert, selvfølgelig går man med livrem og seler. Og hæfteklammer, og hvad man ellers kan finde. Når det er så vigtigt, og det enda er deres eksistensgrundlag, så gør man da hvad man kan.
Gider du lige sætte navn på bagsiden af mit Möbius pandebånd?
Gravatar

#37 myplacedk 23. nov. 2011 08:27

MichaelB (34) skrev:
Hvorfor er der gået så længe før man har opdaget det her?

Der er forskel på hvad fagfolk ved og snakker om, og hvad pressen ved/forstår og snakker om. Jeg har set flere nævne at maskinkoden i billedfiler har været kendt længe, næsten lige så længe som NemID har været i brug.

Et bedre eksempel på dette er svagheden for MITM-angreb. Da pressen finder ud af at der er et eller andet som giver gode overskrifter, så kommer overskrifterne. Og når overskrifterne er der, så er befolkningens opmærksomhed også.

Folk med forstand på sikkerhed har vidst det helt fra starten. Af dem accepterer nogle at det er en risiko man må tage, andre har forslag til ændringer som reducerer risikoen for MITM-angreb, men til gengæld kommer med andre ulemper.
Gider du lige sætte navn på bagsiden af mit Möbius pandebånd?
Gravatar

#38 Spiderboy 23. nov. 2011 08:32

Security by obscurity er som at gemme nøglen under dørmåtten. :-)
Gravatar

#39 Hubert 23. nov. 2011 15:33

myplacedk (36) skrev:

Intet er 100% sikkert, selvfølgelig går man med livrem og seler. Og hæfteklammer, og hvad man ellers kan finde. Når det er så vigtigt, og det enda er deres eksistensgrundlag, så gør man da hvad man kan.


DanID skal heller ikke have skyld for at påstå at de har designet noget der er 100 % sikkert. Det mest positive jeg kan komme på omkring danid er faktisk at de i deres FAQ skriver at nemid løsningen ikke er 100 % sikker.

Problemet ved at gøre hvad man kan er at de i den grad kan give en selv problemer når det bliver opdaget at man benytter sig af security by obscurity og man på ingen måde har et fornuftigt svar at give når det bliver opdaget.


issues may or may not exist until they are found."…

Shrödinger's Vulnerability
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login