– fordi tiden kræver et MODSPIL

10. Aug 2010

NemID - statens bagdør til din computer

 
Pressemeddelse fra IT-politisk Forening:

Med NemID får danskerne et fælles login-system til banker, det offentlige og meget mere. Men samtidig får banker og det offentlige muligheden for at stikke snablen direkte ned i den enkelte borgers computer.

Det skyldes den måde, browsere behandler Java-applets på.

Applets

Java applets er små programmer, som kan indbygges i en hjemmeside, og som kører på brugernes PC'er. De gør det muligt at indbygge ekstra funktionalitet i en hjemmeside.

Som udgangspunkt har en Java-applet ikke mulighed for at tilgå filer på computeren. Browseren sørger nemlig for at holde styr på, hvad appletten må og ikke må.

Men hvis appletten er signeret, vil browseren spørge dig, om du stoler på udgiveren af appletten. Hvis du svarer ja, giver du fuld adgang til, at appletten må gøre næsten hvad som helst med din PC.

Appletten kan blandt andet:

  • Læse alle personlige filer
  • Skrive eller ændre alle personlige filer
  • Sende data fra PC'en over internettet til andre servere
  • Starte programmer på PC'en
  • Installere bagdøre, så andre senere kan få adgang til PC'en

Millioner af danskere bruger applets fra netbanker og offentlige
myndigheder. Alene DanID forventer at have tre millioner brugere det første år.

Typiske anvendelser af applets er

  • Netbanker, både danske og udenlandske
  • Digital signatur, fx til SKAT, sundhed.dk, osv.
  • Private firmaer, som fx upload af digitale billeder til trykning - fx http://bestilling.photocare.dk/
  • Nogle online spil

Problemet

Når du kommer ind på en side med en signeret Java-applet, vil den spørge dig, om du stoler på den. Men du har kun mulighed for at svare ja aller nej - du kan ikke sige, at du kun stoler på den til udvalgte ting.

Hvis du for eksempel vil bestille billeder til trykning, vil du måske gerne tillade, at appletten kan se dine feriebilleder - men ikke at den læser dine private dokumenter. Som bruger må du så selv vurdere, om siden er troværdig eller ej.

Der er altså ikke tale om en sikkerhedsfejl hos NemID. Fejlen ligger i den måde, Java-applets behandles på i de forskellige browsere.
Men det er et problem, at NemID baserer sig på Java-applets, sålænge de giver en så bred adgang til brugerens PC, og sålænge man ikke kan vælge andre løsninger.

Med online spil, trykning af billeder osv. kan du lade være med at bruge servicen, hvis du ikke er tryg. Med banker kunne du tidligere vælge en anden bank, hvis du havde betænkeligheder.

Men med NemID er der ingen alternativer, og det bliver sværere og sværere at klare sig uden. Samtidig er der nu kun én løsning, der bruges af alle danskere.

Det er men andre ord et slaraffenland for både kriminelle og nysgerrige virksomheder og myndigheder.

Hvad kan det misbruges til?

Det er indlysende, at kriminelle vil kunne udnytte godtroende borgere for direkte økonomisk vinding.

Men der er også mulighed for industrispionage. En bank kan f.x. lade deres applet undersøge brugernes PC'er for spor efter engagementer med andre banker. Og andre brugere af DanID kan have held til at gennemsøge deres konkurrenters harddiske og netværksdrev for forretningshemmeligheder.

Det er dog allernemmest for de offentlige myndigheder. At så mange danskere bliver afhængige af at give statslige myndigheder og banker adgang til deres computere rejser således nogle interessante spørgsmål:

I hvilke tilfælde kan fx. politiet benytte denne mulighed til at se indholdet af mistænkte personers PC'er?

I hvor stort omfang vil DanID, bankerne og offentlige myndigheder, som fx. SKAT, samarbejde med politiet om dette, og er de forpligtet til det?

Vil politiet og andre myndigheder i givet fald kun have ret til at undersøge indholdet af borgernes PC'er - eller vil de også have lov til at installere programmer - bagdøre, keyloggere etc.?

Vil sådanne indgreb kræve en dommerkendelse?

EU-regler fra de seneste år tilskyndet øget samarbejde mellem offentlige myndigheder og private om bl.a. såkaldte "remote searches". Det er et pænt udtryk for at hacke sig ind på mistænktes computere.

The new strategy recommends reinforcing partnership between the police and the private sector by better knowledge-sharing on investigation methods and trends in cyber crime. It also encourages both parties to respond quickly to information requests, resort to remote searches, cyber patrols for online tracking of criminals and joint investigations across borders.

http://europa.eu/rapid/pressReleasesAction.do?reference=IP/08/1827

I England har de allerede taget de nye midler i brug:

The Home Office has quietly adopted a new plan to allow police across Britain routinely to hack into people’s personal computers without a warrant.

http://www.timesonline.co.uk/tol/news/politics/article5439604.ece

Så vil man i Danmark bruge denne oplagte mulighed, at bede banker eller offentlige myndigheder modificere Java applets målrettet mod mistænkte for at undersøge deres PC'er?

Og er danskerne klar over at de giver banker og offentlige myndigheder fuld adgang til at undersøge deres PC'er og installere software på dem?


Omtale i medierne:

Computerworld: NemID åbner ladeport til din computer
Børsen: Store huller i sikkerheden omkring digital signatur
TV2: NemID: Sikkerhedsbrist afvises

Jeg ved ikke med den sidste, for den påviste sikkerhedsbrist er desværre temmelig uafviselig. Man kan undgå den ved at bruge en eller anden form for virtualisering - i et kommende indlæg vil jeg beskrive, hvordan man kan bruge NemID i Ubuntu uden at give DanID adgang til at læse alle dine filer.

Update: Version 2 har en god gennemgang af sagen:

Forening: Unødvendigt at bruge usikker Java-applet til NemID

Kommentarer: