Min bloggerkollega Peter Toft har begået et lille indlæg som der er kommet en del diskussion omkring, se det på
http://www.version2.dk/blog/nemid-overholder-ikke-den-centrale-mail-rfc-…
Diskussionen går i starten på at NemID ikke har en abuse@nemid.nu som ellers vil gøre det nemt at rapportere eventuelle problemer. Check gerne at din organisation har tilsvarende:
- abuse@domain.tld – diverse sikkerhedsproblemer kan rapporteres her
- postmaster@domain.tld – problemer med aflevering og afsendelse af post
- webmaster@domain.tld – web siden har en fejl, problemer med webserver hertil
- hostmaster@domain.tld – kontakt for problemer der relaterer sig til domæneregistrering mv.
Dette er nedfældet i RFC 2142 MAILBOX NAMES FOR COMMON SERVICES, ROLES AND FUNCTIONS
https://www.ietf.org/rfc/rfc2142.txt og jeg bruger det selv på mit private domæne. Dette dokument er forøvrigt fra May 1997 og således +15 år gammelt – og en rigtig god ide.
I den relativt gode diskussion der kom under Peters indlæg kommer der for mig nogle centrale punkter frem, tak Casper for at bringe emnet højere op.
http://www.version2.dk/blog/nemid-overholder-ikke-den-centrale-mail-rfc-…
Det her synes jeg er at gå i liiidt for små sko. Jeg tror vi alle der arbejder med IT er enige om at Nemid er en lorte løsning.
Men nu er den her, og vi må leve med den.
Som IT folk i DK synes jeg faktisk, vi især har en særlig pligt til at værnne om vores lands IT mæssige infrastruktur. På den måde biddrager vi til at resten af DK får så god en serivce fra fx. nemid som muligt, til trods for hvad vi må synes om den.
…
Jeg er specielt glad for at vores pligt til at hjælpe med den viden vi har, det er noget jeg selv ynder at bringe på bordet. Jeg taler for at vi skal samarbejde, gerne på kryds og tværs og blandt konkurrerende firmaer – så vi tilsammen får en god og sikker infrastruktur i Danmark.
Hvis du har viden der kan hjælpe IT-sikkerheden i Danmark eller evner som direkte eller indirekte forbedrer Danmark (og verden) kom frem, IT-sikkerhed uden grænser.
I den konkrete situation stiller jeg dog krav om at firmaer liiiiiiiige gør sig lidt umage og opretter en email adresse abuse@ – hvis de ikke selv kan så findes der nok en Microsoft konsulent der har stort kørekort til Exchange.
fra samme kommentar spørges der også direkte:
Betyd det Henrik Kramshøj at næste gang, hvis den kommer, at du falder over noget ingen andre har set, der truer danske borgere i at bruge nemid, så vil du ikke rapportere det fordi nemid ikke har en abuse@ mail adresse? For hvis du sidder og arbejder med, hvad jeg tror du arbejder med, så er det sku ikke godt for alle os andre…
Den er faktisk svær, og et dilemma som er Mads og Monopolet værdigt. Specielt trigger det mig når Casper tidligere skriver “Men nu er den her, og vi må leve med den.” Må vi det?
Hvis jeg gerne vil beskytte Danmark mod trusler, som jeg pr default gerne vil, skal jeg så beskytte NemID eller er jeg villig til at ofre det med en effektiv aflivning – hvis jeg fik chancen? -
Hvis jeg sad med en bombe der med et kunne gøre NemID ubrugeligt, så alle logins fra imorgen ikke ville virke, ville være usikre, jeg kunne spoofe hvem som helst, noget der fik hele korthuset til at falde … hvad ville jeg gøre.
eller hvad BURDE jeg gøre?
Burde jeg følge responsible disclosure, som har været diskuteret i så mange år at det næsten er forældet og ikke altid bruges mere, eller er det ansvarlige og bedste for Danmark ikke at vi afliver dyret udfra konklusionen om at vi ikke fortsat vil acceptere og leve med NemID i sin nuværende allerede kompromitterede og kompromitterende form.
Her vil jeg indsætte min mening, lidt senere idag – skal vi sige ca. kl ~15:00, men skal vi ikke gøre det lidt sjovere, hvad ville du gøre hvis du sad med viden der kunne smadre NemID fuldstændigt? smide det i den virtuelle shredder eller offentliggøre det? Ville du turde smide det ud i offentligheden med dit navn som afsender?
< < < < placeholder opdateret kl 14:36 – dette er skrevet imorges i toget >
NemID er en katastrofe på alle niveauer og det eneste rigtige at gøre hvis man sidder med en bombe om systemet er at smide den ud til offentligheden uden ophold. Uanset at alle logins og dermed alle borgere ville risikere datatab, utilgængelighed og tab af fortrolighed er det en rimelig og afbalanceret måde at aflive systemet.
Hov, afbalanceret når det kan give tab af data for millioner af mennesker og nødløsninger vil koste millioner af kroner?! Ja, faresignalerne har været der fra starten, kritikken er blevet undertrykt, ansvaret er hvor ansvaret bør være og derfor er der ikke en valid grund til at tilbageholde eventuel information.
Ville jeg poste med mit eget navn? Nej, jeg ville ikke per default gøre det med mit eget navn hvis det kunne undgås – specielt grundet erstatningskrav ville det være en juridisk kamp som ville have ekstreme konsekvenser, så jeg ville nok først poste og dernæste lodde stemningen, sorry. Hvis det ikke kunne undgås ville jeg formentlig poste aligevel, og gå kampen imøde.
(PS jeg vil altså ikke have skylden for alle fremtidige anonyme post, just for the record 
)
> >
Nedenstående også nyt, skrevet ca 14:40
Jeg tænkte på forslaget med at vente til imorgen, men formoder ikke dette rammer de almindelige aviser, og jeg synes alle de gode svar fra andre fortjener mit input. Der kommer nogle interessante svar!
Jeg bemærker at mange IKKE tror det vil hjælpe meget at kontakte NemID – og det er i sig selv ret alvorligt. Jeg er selv kæmpe fan af Panton eksempelvis og PHK – så hvis deres oplevelser er så ringe, så lover det jo ikke godt for fremtiden for NemID! Jeg føler mig også bekræftet i at det ville være sundt for Danmark om det blev skudt ned, og en fair warning på 30 dage ville jeg også klart overveje – selvom det ville fjerne den statement det er at man har ignoreret advarsler igennem snart mange år.
Yderligere svar fra mig vil være nedenfor i debatten, ses dernede!
Leave a Reply