Kontakt 180Grader.dk
6

Skrevet af Censete libere 428 dage siden - Direkte link

Yes, så har overklovnen lagt hovedet i strikken på ansvaret for NemId - se sidst i indslaget

Med lidt held falder han på samme sag. Han er om nogen hovedansvarlig for de enorme skader på samfundsøkonomen som følge af systematiske fejlvalg på digitaliseringsområdet.

 

At det offentlige heller ikke kan finde ud af at styre it-projekter, gør blot sagen værre - det skadelige er de projekter som gennemføres og underminerer samfundet og forhindrer effektivisering af den offentlige sektor


Skrevet af Shadowen (Michael Nielsen) 428 dage siden - Direkte link

Som jeg forudsage ved introduktionen af NemID..

 

En løsning der ikke er lavet ordenlig, vil ikke virke.

 

Det KAN laves ordenligt, og det har været mulig siden ca 1993 da jeg var med til at lave en løsning i udlandet, men jeg har ikke kunnet fået nogen her i landet til at lytte til min kritik - som i øverigt jeg ikke var den eneste der frembragte.

 

Det vil koste os mange penge at lappe, og arbjede rundt om de indbyggede sikkerhedshuller som NemID er fyldt med.


Skrevet af slettet bruger 9880 428 dage siden - Direkte link

At cracke det danske NemID må være en våd drøm for mange kriminelle. Tænk på alle de identiteter, de kan kopiere. NemID er jo adgangen til alle grundlæggende personoplysninger.


Skrevet af Censete libere 428 dage siden - Direkte link

Lad være med at snakke fremtid - det er sket - NemId er stendødt ligesom det var dødfødt fra starten.

Det kan ikke engang teoretisk reddes. Modellen med central single signon er imod alle principper og samfundshensyn.

 

Luk lortet og send de ansvarlige i retten.


Skrevet af hmadsen 428 dage siden - Direkte link

Helt enig..

 

Hackerne benytter en designfejl i NemID som er så grundlæggende at den ikke kan lappes .

 

Var det så bare min netbank de kunne lænse så var jeg sgu ligeglad for så måtte banken jo bare hoste op men med NemID kan de krimnelle få adgang til ALT muligt om mig og hvis de er lidt snu så begynder de at bruge deres MiTM koder til at lave adresseændinger og så bede om at få tilsendt et nyt kodekort til en postkasse som de har sat op et tilfædigt sted (Det virker, bare spørg Morten Spiegelhauer)...


Skrevet af Shadowen (Michael Nielsen) 428 dage siden - Direkte link

Jeg under mig stadigvæk hvordan man kan designe et system der er så fejlbehæftet i koncept at det er ufattelig, i sær når der er intet nyt over det,  SecurID har lavet en signon løsning der minder om det, SSL er kendt teknologi, Digitale signaturer er kendt teknologi, der findes mange hardware devices til beskyttelse af nøgler, og de fantes også før NemID kom ud...      Jeg kan altså kun komme på to svar.

 

1. Inkompetente designere/udviklere ....

 

2. Der er en anden agenda, som feks at folk ikke må være beskyttet, altså et ønske om total overvågning, og derved per design sårbar over for MITM.

 

eller en kombination af 1 + 2..

 


Skrevet af Censete libere 428 dage siden - Direkte link

Det er designet som en penge- og kontrolmaskine. Forhindre sikkerhed og konkurrence  med henblik på at skabe overvågning, locking og central kontrol.


Skrevet af hmadsen 428 dage siden - Direkte link

Problemet er jo at udover at skulle lave en single sign on løsning som låste alle brugerne til Nets's system så de kan malke os i al fremtid så skulle de også lave et system som kunne indeholde stats-trojaneren.

 

Jeg stemmer stadigvæk for at de laver et system hvor min digitale signatur er en JEG generer her hos mig selv og så sender dem min offentlige nøgle.

 

Min private nøgle måtte meget gerne ligge i noget hardware....Gerne et system ala chiptan som de bruger i Tyskland.


Skrevet af Shadowen (Michael Nielsen) 428 dage siden - Direkte link

Cracke, du behøver ikke cracke NemID, den er designed til at blive misbrugt..


Skrevet af hmadsen 428 dage siden - Direkte link

Ja det er lidt ligesom med bankenøgler.


Du kan intet gøre for at gøre en gammel 5 stifters lås immun overfor bankenøgler, det eneste du kan gøre er at skifte låsen til en der er mere sikker.

 

Det samme med NemID, du kan ikke rette op på fejlen som gør at man kan lave MiTM angreb, du kan kun udskifte det med et andet system.


Skrevet af Shadowen (Michael Nielsen) 428 dage siden - Direkte link

Yep


Skrevet af Censete libere 428 dage siden - Direkte link

MiTM er kun en del af problemet.

Du har også lock-in, overvågning, flaskehalse, tagetting etc.

NemId gør borgere til mål.


Skrevet af Shadowen (Michael Nielsen) 428 dage siden - Direkte link

Hvad værre er, den gamle TDC signatur, var implementeret korrekt, efter divs standarder (som jeg forstår det), dens eneste problem var at det var en software nøgle, som kunne stjæles...   Derved skulle man vogte sig for trojaner, m.v.

 

Så kom NemID som lovede den løste - det eneste problem - som TDC signaturen havde, men man opdagede - fra massiv kritik fra folk der ved hvad de drejer sig om - at man stadivæk skulle være 100% trojan sikret, og den skabte en gruppe meget alvorlige sikkerheds huller.

 

Den billigeste og nemmeste løsning ville havde været at simplehen skifte TDC's Software nøgle ud med en hardware nøgle, helst en terminal, enten ala ChipTan, eller en USB nøgle der kan underskrive..   Løsningen med en skærm og terminal på usb enheden, havde kun kostet ca 800 millioner (200dkk per enhed, for 2 millioner brugere)  at gennemnfører, og løsningen havde muligheden for flere udbydere af certifikater, da TDC implementede en ægte CA løsning..   

 

Da NemID gik i udbud, kontaktede jeg både Teknologi rådet, TDC, og alle jeg kunne for at åbne deres øjne for denne hardware løsning....  Men ingen vil  havde den.

 

Men Ak Nej, vi brugte 2.4 milliarder kroner på at lave et system der er total fejlbehæftet.


Skrevet af Censete libere 428 dage siden - Direkte link

For god ordens skyld, så er det ikke nok blot at lægge nøglen i hardware - du addresserer kun 2 % af problemet.

Du skal være logget ind for at kommentere artikler. Du kan logge ind her!

Flere artikler fra IT

14
11
13
6
5
7
6
7
9
11
10
7
23
2
4
6
17
16
36
18