Politik, censur og spin (+ lidt 'Anonymous' til sidst)

Danmark er et demokratisk samfund, vi er et videnssamfund som fremmer ytringsfriheden, og i Danmark fanger politiet skurkene.. eller gør de?

Vi er så glade for at tro at vi 'the shit' men facts er, at - i hvert fald noget af - det er en illustration.

Siden Muhammed tegningerne har vi været glade for 'ytringsfriheden', men hvad er denne egentligt?

I 2005 fik vi DNS filteret mod børnepornografi - det var godt, var det ikke? Hvem kan dog sige nej til at "blokkere" børnepornografi? Året efter begyndte vi at blokkere allofmp3.com, det var også godt, ikke? Det var jo en "ulovlig" tjeneste som solgte musik de slet ikke havde rettigheder til! Senere i 2008 begyndte de store ISP'er at blokkere thepiratebay.org, det var jo også en enormt slem side. Sidste år (2011) tog vi skidtet videre og begyndte at blokkere gambling sider som ikke havde en dansk spille licens, og hjemmesider som solgte medicin (fx 24hdiet.com). Kan du se hvor det går hen?
Vi begyndte med noget som ingen kunne råbe vagt i gevær for, derefter blev det lidt strengere og så lidt strengere, til et punkt idag hvor vi blokkere helt lovlige sider, fordi de ikke smider penge i statskassen (via SKAT). Hele tiden bliver der argumenteret med "jamen, det er for jeres egen bedste!", men er det? Og hvad bliver det næste? Lad os da blokkere nynazistiske sider, og derefter partier som "minder" om nynazister.. og hvad med DF? Dem kan vi heller ikke lide, så lad os da også blokkere dem, så vi ender med et samfund der som Kina kun har ét parti. Se dét er demokrati :o)

Det er alt sammen et enormt spændende emne, og jeg kan bestemt anbefale at man læser denne pdf af Thomas Steen Rasmussen fra censurfridns.dk.

Men jeg må videre til næste emne, nemlig politiet og deres arbejde.

Trojan-Spy.Win32.BankTexeasy

Vi har ikke fået en ordentlig analyse af det malware som ramte 7 bank kunder i sidste uge, men vi har fået et navn (hvis man smugkigger i CSIS' BankTexeasy Detection Tool-program): Trojan-Spy.Win32.BankTexeasy.

Lad os se på Nets/DanID/PBS har at sige til det:

"Brugerne har samlet virussen op fra forskellige hjemmesider, hvor de har klikket på links eller bannere. Her er typisk tale om legitime hjemmesider, der er blevet angrebet af hackerne."

Så hvis man ikke klikker på "links eller bannere", så skulle man altså være sikker? CSIS skriver:

"BankTexeasy er kravlet ind på maskinen ved at udnytte kendte sårbarheder i populære tredjepartsprogrammer herunder Adobe Reader/Acrobat og Flash, Java JRE og Quicktime."

Dette lyder som et "drive-by" angreb via en hacked legitim hjemmeside, og så kan man altså ikke vide sig sikker ved bare at undgå at klikke på "links og bannere".
Men lad os se hvad Nets/NemID mere har at byde på:

"Vær mistænksom, hvis noget er anderledes:

Du bliver kun bedt om at indtaste en nøgle fra nøglekortet umiddelbart efter, at du har indtastet dit bruger-id og adgangskode. Sker det ikke som en del af dette normale forløb, så skal du være på vagt.

Hvis du bliver bedt om en ekstra nøgle fra nøglekortet, så luk straks browseren og kontakt din bank."

Men hvad hvis man trykker forkert? Eller.. hvad hvis NemID appletten siger at man har trykket forkert? Skal man så løbe skrigende væk, eller bevare roen? (Vi læser videre):

"NemID er stadig sikker: 

Det er vigtigt at understrege, at det seneste angreb fra it-kriminelle ikke ændrer ved den generelle sikkerhed bag NemID. Du kan trygt anvende din netbank, som du plejer."

... men fik vi ikke lige at vide, at vi skulle passe på, og være ekstra mistænksomme?
I'll continue:

"Nets DanID vil sammen med bankerne nøje analysere de pågældende hændelser og vurdere, hvilke yderligere tiltag der kan iværksættes for at forebygge denne form for svindel."

Og hvor meget koster det så at lave en sådan "nøje analyse" ?
Utallige "IT sikkerhedseksperter" har siden dag ét kunne udpege fejl i systemet, så hvorfor ikke bare lytte til os når vi har løsningen?

NemID owned igen, igen

Ja, så lykkedes det igen, igen for hackere at bryde NemID (kilde).
Sidste gang var det 8 utroligt dumme Nordea kunder som blev snydt af phishing (tab ialt: 62.400), denne gang var det "mindst 8" Danske Bank brugere som samlet set fik stjålet 700K kroner (kilde).

Skal vi ikke bare blive enige om at NemID intet har ændret på situationen i Danmark? (udover besvær og spild af penge).

Hvordan kan man sætte inkompetente folk til at lave et system som skal "beskytte" os alle?

Jeg har ingen undervisning modtaget i IT af nogen art (lærte lidt MS Excel kommandoer i ottende klassen, but that's it). Men alligevel kunne jeg (og utallige andre "rigtige" sikkerheds-eksperter) påpege utallige fejl i NemID, da DanID 'udgav' NemID.

Og det værste ved hele situationen, er at et sikkert system kan designes enormt nemt. Hvis vi tager udgangspunkt i NemID, så kan disse rettelsers foreslås:

Væk med Java - Java er fyldt med huller, DanID får fuld adgang på ens computere, og så er det tungt/langsomt og inkompatibelt. Hvad er der galt i at bruge simpel HTML (som ikke indeholder huller, ikke får adgang til ens computer, og som er kompatibelt med alle OS som har en browser)? Ved brug af HTML ville man også løse det problem at brugeren ikke kan se hvor NemID appletten hostes. Er det svært at uddanne brugere til: "Kig i din browser. Står der https://nemid.danid.dk/blabla så kan du trygt skrive din kode ind, ellers luk siden" ?

Væk med papkort - Jeg er ret sikker på at have læst, at en af kravene til en offentlig løsning, var at løsningen skulle regne med at 50% af brugerne havde malware på deres computere. Hvordan løser man dette? Bestemt ikke ved brug af papkort (eller "normal" 2 faktor auth. løsninger), som alle lider af MitB angreb.
En enkel, men meget sikker, løsning ville være at udnytte folks mobiler. I Danmark har vi flere mobiler end indbyggere, så lad os lege at alle med en NemID konto også har som minimum en dumbphone. Imagine this: Du vil sende 123 penge til konto XYZ, du trykker send og skal skrive en verificeringskode. Du modtager en sms som indeholder; antal penge (123), modtager konto (XYZ), verificeringskoden.
Fordele: dette ("Out-of-band transaction verification") vil beskytte mod MitM/MitB (som indtil videre har været fremgangsmåden i begge "angreb" mod NemID). Er mere sikker end NemID's nuværende model
Ulemper: Kræver telefon/whatever, er ikke 100% sikkert ("MitMo" - Man-in-the-Mobile).

Så for at runde det lidt op, lige meget hvad DanID/Nets gør med deres NemID-applet, så vil det aldrig nogenside løse det underliggende problem (nemlig at brugeren ikke kan tro noget af hvad der står på hans/hendes skærm). Og hvordan løser man det? Tjo, hvorfor ikke udnytte mobilens skærm?

Flere fejl ved NemID? Skriv en kommentar så tilføjer jeg dem (hvis jeg ikke allerede er kommet i tanke om dem, og tilføjet dem :P)