Dorte Toft
Medforfatter af "Bedrag" om Stein Bagger-sagen, hvor Bizzen-bloggen spiller en væsentlig rolle. Har modtaget eJour-prisen, IT-prisen, FUJ-prisen og Publicistprisen for sin journalistik. Desuden nomineret til Cavling-prisen i 2009.
Lykkelig i nørdland. Hvem bygger fremtiden? Gyldendal, 256 s., kr. 249,95.
Læs mere hos Boghuset eller download bogen gratis her.
Det er ikke SKAT, heller ikke CSC, der skal klandres for, at Vagn Rydeng i morges som beskrevet her fik adgang til skattemappe UDEN password, men Rydengs egen fejl. Det viser sig, efter der blev etableret kontakt mellem IT- og Telestyrelsen, der har ansvaret for den digitale signatur, og Vagn Rydeng.
Men Rydeng er ikke den eneste, der har bommet sig, oplyser centerleder hos IT- og Telestyrelsen, Palle Sørensen.
Ifølge Palle Sørensen er der nemlig tale om en teknisk spidsfindighed ved sikkerhedskopiering af den digitale signatur, som flere har misset, og derfor advarer man også med ordet VIGTIGT i vejledningen hvor sikkerhedskopiering beskrives. Gøres det forkert, afkræves brugeren ikke password.
“Den nye digitale signatur, NemID, der kommer senere på året, forhindrer folk i selv at lave den fejl. Det har heller ikke været muligt for folk, der arbejder i et Microsoft-miljø,” forklarer Palle Sørensen.
Ifølge ham opstår problemet, der hvor der bruges “åbne” browsere som for eksempel Firefox, og folk tager backup til et format, der hedder pkcs12. Det har kodningsmæssigt ikke været muligt at forhindre, at fejlen kan begås, oplyser Palle Sørensen.
Den nye NemID eliminerer som nævnt risikoen. Den bliver ikke blot nøglen til det offentlige, men også nøglen til netbanker med videre, og med den brede brug, der dermed åbnes for, har det været afgørende at få fjernet risikoen for fejl helt, oplyser Palle Sørensen.
Det er ikke første gang, at en brugerfejl tolkes som en systemfejl, men jeg beklager, at jeg ikke fik taget hele runden til Skat og IT- Telestyrelsen først. Tak for dem, der via Twitter, lynhurtigt fik peget på muligheden af, at det var brugeren selv, der kunne klandres for fejlen.
5. marts 2010 kl. 17:23
[...] Password-fejl ej hos Skat, men bruger. NemID fjerner risiko. [...]
6. marts 2010 kl. 22:10
Du er nød til at bruge en .pkcs12 fil hvis du vil installerer dit OCES certifikat fra en konto med begrænsede rettigheder i Windows (XP Pro).
Det gælder osse, hvis du vil kunne benytte dit OCES certifikat med Apples OS X og Safari (virker kun med OpenOCES) og/eller e-mail programmet Entourage fra Microsoft Office suite.
Ingen, der er ved deres fulde fem afvikler programmer – e-mail eller browser – i Windows fra en konto med administrator rettigheder.
“Det har kodningsmæssigt ikke været muligt at forhindre, at fejlen kan begås, oplyser Palle Sørensen.”
Det kan godt være, men så er man selv ude om det. Man kan altså godt beskytte certifikatet med password, når man installerer fra en .pkcs12 fil. Og det er som sagt nødvendigt at benytte .pkcs12 i flere tilfælde.
7. marts 2010 kl. 10:46
Generelt mener jeg ikke man kan tale om brugerfejl vedr. et så vigtigt spørgsmål som adgang til SKAT mm. Selvom der gøres opmærksom med diverse VIGTIG beskeder mm så bør adgange til disse systemer være 100% og hvis bestemte platforme har sikkerhedsbriste så må der lukkes af for adgang via disse. Derudover så kan man godt give brugerne en løftet pegefinger for ikke at bruge sikre passwords. På vores site, http://www.passwordstar.dk, giver vi brugerne mulighed for at danne tilfældige passwords og kun skulle huske en ting, men alligevel oplever vi stor modstand mod at bruge sådanne muligheder.
9. marts 2010 kl. 11:50
Som jeg ser det, er problemet i høj grad at den digitale signatur er “solgt” som en sikker løsning som afhænger af et password.
Den digitale signatur er IKKE afhængig af et password og har aldrig været det.
Selve signaturen kan benyttes helt uden adgangskode (bla som beskrevet her ifbm skat.dk). Hvis man følger instruktionerne som følger med den digitale signatur, bliver den installeret i en slag tegnebog som er låst med password. Så må vi håbe at folk husker at låse tegnebogen – eller husker at bruge tegnebogen – eller husker at bruge et system hvor der overhovedet findes en tegnebog – for selve signaturen er helt ubeskyttet i sin natur.
Derfor bruger jeg ikke længere den digitale signatur. Hvis vi på et tidspunkt får en offentlig digital signatur som:
1) Bliver “markedsført” ærligt
2) Virker nogenlunde sikker og gennemtænkt
3) Ikke er i strid med lovgivningen (som DanId vistnok er)
Indtil den tid kommer vil jeg gå alle de omveje jeg kan for at slippe for offentlig digital signatur.
20. marts 2010 kl. 19:24
Kære Dorte
Skulle du ikke til at vende dig til at tælle til ti, inden du skriver dine blogs. Dette er jo ikke første gang, hvor dine journalistiske evner ikke rækker til at undersøge en sag inden du hænger folk ud….
Der var også noget mobilepeople, og en løgn der slap igennem?
/Ole
22. marts 2010 kl. 11:08
@ Ole Nielsen. Du kan have ret i, at jeg har stolet lidt for meget på kilder i de to sager, men i sagen med mobilePeople er essensen fuldstændig korrekt, nemlig at der på relativt kort tid tabes en masse penge på dette selskab, og det kan ikke bare forklares med business as usual for VC’er. Normalt tager det lidt længere tid:-)
Via Venture oplyste over for mig, at også porteføljeselskaberne GoHello og GoIP gik ned relativt få år efter investeringen, men at udsigter i øvrigt er lovende.
Hvad angår skat og den digitale signatur. Ja, det er ikke godt, at jeg blot stolede på kilden, men der var sammenfald med andre registrerede hændelser, der fik hans beretning til at virke helt korrekt i mine øren.
Og hvad kom der ud af det blogindlæg. Til slut den rette sammenhæng. Samt en klarlægning af, at vi har/har haft en digital signatur, hvor det hændte at ikke it-kyndige slutbrugere kan lave en så alvorlig fejl i sikkerhedskopieringen (der skal til for at flytte signaturen over på en anden pc), at kravet om et password forsvandt. Og vi kunne se, at min kilde ikke var den eneste, der havde begået fejlen.
Flere læsere mener, at det i sig selv er en alvorlig sag, for en digital signatur har samme juridiske virkning som en rigtig underskrift. “Heldigvis” gælder det så kun over for det offentlige. Den nye digitale signatur NemID, gælder både det offentlige og netbanken.
Begge blogindlæg fremstår i dag som korrekte. Skulle de blive præsenteret for nogle via en søgemaskine f.eks., er der ingen vildledning der, men stadig ganske gode debatter som er gode at blive klog på.
Jeg har naturligvis også adviseret de kilder, der var lige lovlig hurtigt ude, om, at deres tip ikke holdt. Den ene kilde kendte jeg i forvejen, og han har aldrig tidligere berettet noget, der ikke holdt.
Fejlfrihed eksisterer ikke. Hverken på denne blog, eller i traditionel journalist på papir. Irren ist menschlich – også for journalister.
Bloggens verden er så IKKE artiklens. Et emne behøver ikke at være belyst i alle ender og kanter i et blogindlæg, og usikkerhed kan indikeres. Den store styrke ved blogs er jo, at kyndige læsere selv bidrager, og nogle af dem ved til tider mere om, hvor skoen trykker, end selv den journalist, der har forsøgt at sætte sig godt ind i sagen. Bloggens styrke er også, at fejl rettes hurtigt, at der er plads til opfølgning, og at der er plads nok til at beskrive en større kompleksitet, når det er nødvendigt.
Men måske er de klassiske artiklers verden mere rigtig for dig.
6. juli 2010 kl. 00:31
Marts er nu 3 måneder tilbage – undskyld denne sene kommentar.
Bør man ikke udtrykke det sådan, at nogle computere har et “husk-password” system, som er farligt, og at dette “husk-password” har været brugt i dette tilfælde?
En webside kan programmeres sådan, at den altid afkræver password, og her er ikke tale om en alternativ autentikeringsmetode (som fx. ssh challenge-response authentication UDEN password).
Mange af de formuleringer, man ser i indlæg som dette, kan snildt forstås hvis man ved noget om det i forvejen, men et af problemerne med disse authentication methods er jo at de fleste af os ikke har fået sat os ordentlig ind i det og sammenligner med en nøgle i nøgleringen eller et adgangskort og en kode.
Her i computerverdenen skal man også tænke på at den lås, og den styring af læseren til adgangskortet skal beskyttes mod tyveri af koder.