Udvalget for Videnskab og Teknologi 2010-11 (1. samling)
UVT Alm.del Bilag 74
Offentligt
9. november 2010Til Udvalget for Videnskab og TeknologiJeg har været i korrespondance med IT- og Telestyrelsen, hvor jeg har prøvet at f˚ dem til ataforklare mig hvordan jeg kan sikre mig at et NemID-interface p˚ en web-side sender mine login-adata til NemID, og ikke til hjemmesiden eller en tredje-part.Efter mere end en m˚aned med har jeg f˚ følgende svar:aetPeter Lind Damkjær fra DanID har svaret følgende p˚ dine spørgsm˚aal:“Det er korrekt, at man i princippet kan lave en ikke-signeret applet, s˚ den ser udasom om, den er DanID’s applet. Brugere med særlig indsigt vil kunne skelne dette vedat kigge p˚ HTML-koden, downloade og verificere Java-appletten uden om browser-ainterfacet.Hvilket jo er en ekstremt svær opgave, da Javascript kan ændre p˚ koden, s˚ man ville være nødtaatil at læse alle dele og frames p˚ siden som kan indeholde JavaScript, inklusiv CSS.aDet er ikke mit indtryk at IT- og Telestyrelsen tager problemet seriøst.Det ville være nemt at lave et sikkert login, hvis man bare sørgede for at alle logins foregik p˚ enahttps-beskyttet side ejet af NemID, og man s˚ derefter blev sendt videre til den side man ønskedeaat logge ind p˚ Det ville ogs˚ gøre det muligt at vide, om et NemID-login p˚ en side man ellersa.aaikke kendte var til at stole p˚ Jeg er uforst˚a.aende over for hvorfor denne løsning ikke er valgt, elleri det mindste er i gang med at blive implementeret.Indtil en løsning er lavet, hvor man kan verificere modtageren, s˚ bør NemID som et absolutaminimum lave en liste over sider som har ret til at bruge NemID, som man manuelt kan checke.Ellers har jeg jo ingen mulighed for at vide om den side som jeg indtaster mine oplysninger p˚abare er en fishing-side som prøver at stjæle mine oplysninger.Det er m˚aske relevant at nævne her, at hvis man modtager stj˚ login-oplysninger “live”, s˚ kanalneaman spørge brugeren om koden fra pap-arket, og p˚ den m˚ have nok til for eksempel at overføreaadepenge fra brugerens netbank. S˚ mens 2-faktor koden hjælper, s˚ kan man stadig gøre stor skade.aaDesuden har jeg lige (8 november 2010) f˚ et brev fra NemID med nye brugsbetingelser gennemaetmin netbank. I de nye betingelser st˚ der blandt andet:arDu skal sikre at andre ikke f˚ mulighed for at aflure din adgangskode, n˚ duararindtaster denDet kan jeg ikke se hvordan jeg har mulighed for at forhindre, s˚ længe at jeg ikke har rimeligamulighed for at vide om det der vises i min browser faktisk er en NemID-applet. Det ville derforvære rimeligt at dette krav fjernes, indtil NemID har lavet en løsning hvor det er teknisk muligt atverificere at NemID er modtageren, og ikke en tredjepart som prøver at aflure min adgangskode.Jeg vil lige nævne to andre urelaterede problemer med NemID1. NemID kræver uden nogen god grund adgang til at læse og skrive vilk˚arlige filer p˚ min PC.aSom beskrevet p˚ http://www.version2.dk/artikel/15865-danid-java-applet-skal-beskytte-mod-aman-in-the-middle-angreb er der gjort forsøg p˚ at argumentere for valget, men det lyder foramig som tynde efterrationaliseringer. Det er meget d˚arlig sikkerheds-praksis at kræve ube-grænset adgang til en brugers PC uden nogen grund!2. NemID er min eneste grund til at have Java installeret. Men det at have Java installeret ˚abnermange muligheder for sikkerheds-huller i Java, som ellers ikke ville have p˚avirket mig. Da der
ikke er nogen god grund til at NemID ikke bare bruger almindelig HTML/JavaScript/HTTPS,er det meget uheldigt fra et sikkerheds-synspunkt at kræve en Java-plugin installeret.Med venlig hilsen,
Thue Janus KristensenRymarksvej 35, 3. 1.2900 Hellerup
2