MODSPIL.DK
– fordi tiden kræver et MODSPIL

Seneste indlæg:
•  NemID - statens bagdør til din computer

Kategorier
•  Oversigt
•  Politik
•  Film
•  Billeder og kunst
•  Digte
•  Litteratur
•  Myter og folketro
•  Tegneserier
•  IT-Politik og ophavsret
•  IT og teknologi
•  Nyheder
•  Diverse

Om denne weblog:
• Baggrund
• Bagmand
• Debatforum
• Kontakt
• Flickr Moments
• Indiske film på Modspil.dk
• Statistik
• RSS
• Atom
• Senest kommenterede indlæg

Søgning:

Danske medier:
•  Arbejderen
•  Information
•  Jyllands-Posten
•  Modkraft
•  Politiken
•  Århus Stiftstidende

Internationale nyhedskilder:
•  Al-Jazeera
•  AlterNet
•  Common Dreams
•  Counterpunch
•  The Guardian
•  Ha'aretz
•  The Independent

Links:
•  Faklen
•  Humanisme
•  Danarige
•  IT-Politisk Forening
•  Magenta
•  Open Space Aarhus

Andre Weblogs:
• BoingBoing
• Capac
• Groovy Age of Horror
• Afghanistan Today
• La Petite Claudine
• Lenin's Tomb
• Magia Posthuma
• Nacho Escolar

Artikler:
Politik og samfund:
•  Narkotikapolitik som forbrydelse
•  Narkomyter blokerer
•  Legalisér narkotika!
•  Hvad må de sociale myndigheder (ikke)?
•  Færre tvangsfjernelser
•  Højredrejningen i Danmark
•  "Sandhed" og "ret" i Baskerlandet
•  Lidt om rygepolitik
•  Skole og ensretning
•  Tsunami, hjælpsomhed og prioritering
•  Open source frigør økonomien
•  Big Brother, PET og Echelon
 
Videnskab og filosofi:
•  Iagttagelsesafhængighed og teoribygning
•  Naturlovenes relativitet
•  Videnskabelighed og dannelse
•  Einstein-Podolsky-Rosen Paradokset
•  Theory of Bound-Free Pair Production
•  Pair creation with bound electron for photon impact on bare heavy nuclei
 
Religionshistorie:
•  Sydamerikas levende guder
•  Orixás – de vigtigste yorubaguder
•  Brasilianske Besættelsesreligioner og Antik Polyteisme

Arkiv:
• December 2017
• Juli 2017
• Juni 2017
• Maj 2017
• Juni 2016
• April 2016
• Marts 2016
• Februar 2016
• Januar 2016
• November 2015
• Oktober 2015
• August 2015
• Juli 2015
• Juni 2015
• Maj 2015
• April 2015
• Marts 2015
• Februar 2015
• Januar 2015
• December 2014
• November 2014
• Oktober 2014
• September 2014
• August 2014
• Juli 2014
• Juni 2014
• Maj 2014
• April 2014
• Marts 2014
• Februar 2014
• Januar 2014
• December 2013
• November 2013
• Oktober 2013
• September 2013
• August 2013
• Juli 2013
• Juni 2013
• Maj 2013
• April 2013
• Marts 2013
• Februar 2013
• Januar 2013
• December 2012
• November 2012
• Oktober 2012
• September 2012
• August 2012
• Juli 2012
• Juni 2012
• Maj 2012
• April 2012
• Februar 2012
• Januar 2012
• December 2011
• November 2011
• Oktober 2011
• September 2011
• August 2011
• Juli 2011
• Juni 2011
• Maj 2011
• April 2011
• Marts 2011
• Februar 2011
• Januar 2011
• December 2010
• November 2010
• Oktober 2010
• September 2010
• August 2010
• Juli 2010
• Juni 2010
• Maj 2010
• April 2010
• Marts 2010
• Februar 2010
• Januar 2010
• December 2009
• November 2009
• Oktober 2009
• September 2009
• August 2009
• Juli 2009
• Juni 2009
• Maj 2009
• April 2009
• Marts 2009
• Februar 2009
• Januar 2009
• December 2008
• November 2008
• Oktober 2008
• September 2008
• August 2008
• Juli 2008
• Juni 2008
• Maj 2008
• April 2008
• Marts 2008
• Februar 2008
• Januar 2008
• December 2007
• November 2007
• Oktober 2007
• September 2007
• August 2007
• Juli 2007
• Juni 2007
• Maj 2007
• April 2007
• Marts 2007
• Februar 2007
• Januar 2007
• December 2006
• November 2006
• Oktober 2006
• September 2006
• August 2006
• Juli 2006
• Juni 2006
• Maj 2006
• April 2006
• Marts 2006
• Februar 2006
• Januar 2006
• December 2005
• November 2005
• Oktober 2005
• September 2005
• August 2005
• Juli 2005
• Juni 2005
• Maj 2005
• April 2005
• Marts 2005
• Februar 2005
• Januar 2005

[FSF Associate Member] Chart.dk eXTReMe Tracker Creative Commons License
10. Aug 2010

NemID - statens bagdør til din computer

 
Pressemeddelse fra IT-politisk Forening:

Med NemID får danskerne et fælles login-system til banker, det offentlige og meget mere. Men samtidig får banker og det offentlige muligheden for at stikke snablen direkte ned i den enkelte borgers computer.

Det skyldes den måde, browsere behandler Java-applets på.

Applets

Java applets er små programmer, som kan indbygges i en hjemmeside, og som kører på brugernes PC'er. De gør det muligt at indbygge ekstra funktionalitet i en hjemmeside.

Som udgangspunkt har en Java-applet ikke mulighed for at tilgå filer på computeren. Browseren sørger nemlig for at holde styr på, hvad appletten må og ikke må.

Men hvis appletten er signeret, vil browseren spørge dig, om du stoler på udgiveren af appletten. Hvis du svarer ja, giver du fuld adgang til, at appletten må gøre næsten hvad som helst med din PC.

Appletten kan blandt andet:

  • Læse alle personlige filer
  • Skrive eller ændre alle personlige filer
  • Sende data fra PC'en over internettet til andre servere
  • Starte programmer på PC'en
  • Installere bagdøre, så andre senere kan få adgang til PC'en

Millioner af danskere bruger applets fra netbanker og offentlige
myndigheder. Alene DanID forventer at have tre millioner brugere det første år.

Typiske anvendelser af applets er

  • Netbanker, både danske og udenlandske
  • Digital signatur, fx til SKAT, sundhed.dk, osv.
  • Private firmaer, som fx upload af digitale billeder til trykning - fx http://bestilling.photocare.dk/
  • Nogle online spil

Problemet

Når du kommer ind på en side med en signeret Java-applet, vil den spørge dig, om du stoler på den. Men du har kun mulighed for at svare ja aller nej - du kan ikke sige, at du kun stoler på den til udvalgte ting.

Hvis du for eksempel vil bestille billeder til trykning, vil du måske gerne tillade, at appletten kan se dine feriebilleder - men ikke at den læser dine private dokumenter. Som bruger må du så selv vurdere, om siden er troværdig eller ej.

Der er altså ikke tale om en sikkerhedsfejl hos NemID. Fejlen ligger i den måde, Java-applets behandles på i de forskellige browsere.
Men det er et problem, at NemID baserer sig på Java-applets, sålænge de giver en så bred adgang til brugerens PC, og sålænge man ikke kan vælge andre løsninger.

Med online spil, trykning af billeder osv. kan du lade være med at bruge servicen, hvis du ikke er tryg. Med banker kunne du tidligere vælge en anden bank, hvis du havde betænkeligheder.

Men med NemID er der ingen alternativer, og det bliver sværere og sværere at klare sig uden. Samtidig er der nu kun én løsning, der bruges af alle danskere.

Det er men andre ord et slaraffenland for både kriminelle og nysgerrige virksomheder og myndigheder.

Hvad kan det misbruges til?

Det er indlysende, at kriminelle vil kunne udnytte godtroende borgere for direkte økonomisk vinding.

Men der er også mulighed for industrispionage. En bank kan f.x. lade deres applet undersøge brugernes PC'er for spor efter engagementer med andre banker. Og andre brugere af DanID kan have held til at gennemsøge deres konkurrenters harddiske og netværksdrev for forretningshemmeligheder.

Det er dog allernemmest for de offentlige myndigheder. At så mange danskere bliver afhængige af at give statslige myndigheder og banker adgang til deres computere rejser således nogle interessante spørgsmål:

I hvilke tilfælde kan fx. politiet benytte denne mulighed til at se indholdet af mistænkte personers PC'er?

I hvor stort omfang vil DanID, bankerne og offentlige myndigheder, som fx. SKAT, samarbejde med politiet om dette, og er de forpligtet til det?

Vil politiet og andre myndigheder i givet fald kun have ret til at undersøge indholdet af borgernes PC'er - eller vil de også have lov til at installere programmer - bagdøre, keyloggere etc.?

Vil sådanne indgreb kræve en dommerkendelse?

EU-regler fra de seneste år tilskyndet øget samarbejde mellem offentlige myndigheder og private om bl.a. såkaldte "remote searches". Det er et pænt udtryk for at hacke sig ind på mistænktes computere.

The new strategy recommends reinforcing partnership between the police and the private sector by better knowledge-sharing on investigation methods and trends in cyber crime. It also encourages both parties to respond quickly to information requests, resort to remote searches, cyber patrols for online tracking of criminals and joint investigations across borders.

http://europa.eu/rapid/pressReleasesAction.do?reference=IP/08/1827

I England har de allerede taget de nye midler i brug:

The Home Office has quietly adopted a new plan to allow police across Britain routinely to hack into people’s personal computers without a warrant.

http://www.timesonline.co.uk/tol/news/politics/article5439604.ece

Så vil man i Danmark bruge denne oplagte mulighed, at bede banker eller offentlige myndigheder modificere Java applets målrettet mod mistænkte for at undersøge deres PC'er?

Og er danskerne klar over at de giver banker og offentlige myndigheder fuld adgang til at undersøge deres PC'er og installere software på dem?

Omtale i medierne:

Computerworld: NemID åbner ladeport til din computer
Børsen: Store huller i sikkerheden omkring digital signatur
TV2: NemID: Sikkerhedsbrist afvises

Jeg ved ikke med den sidste, for den påviste sikkerhedsbrist er desværre temmelig uafviselig. Man kan undgå den ved at bruge en eller anden form for virtualisering - i et kommende indlæg vil jeg beskrive, hvordan man kan bruge NemID i Ubuntu uden at give DanID adgang til at læse alle dine filer.

Update: Version 2 har en god gennemgang af sagen:

Forening: Unødvendigt at bruge usikker Java-applet til NemID

[ agger, Tue 10 Aug, :12:17: /itpolitik] - kommentar(er) - link

Kommentarer: