Efter afdækning af MitID hack: Digitaliseringsstyrelsen laver ukendte ændringer

5. oktober kl. 10:372
MitID Hack
Illustration: Nanna Skytte / Ingeniøren.
Digitaliseringsstyrelsen har gentagne gange afvist at fortælle præcis, hvad den har gjort for at sikre systemet bedre efter Version2s afdækning af en række designfejl.
Artiklen er ældre end 30 dage

»Af sikkerhedsmæssige hensyn kan vi ikke gå i detaljer med de ændringer, der er blevet foretaget, men vi har blandt andet været inde og justere i forskellige grænseværdier i beskyttelsesmekanismerne.«

Sådan lyder det fra Digitaliseringsstyrelsen, der altså har justeret på MitID siden Version2's afdækning af en række designfejl i systemet.

Læs også: Uhyre simpelt hack kan gætte brugernavne og blokere adgangen til MitID

I de oprindelige interviews med Version2 fastholdt styrelsen ellers at sikekrheden i MitID er en balancegang, men at man havde lagt sig det rigtige sted og at der derfor ikke var behov for at lave ændringer selvom Version2 kunne hive 11.000 brugernavne ud af systemet på én nat. 

Sådan har vi gjort

Den første del af angrebet går ud på at gætte MitID-brugernavne i hobetal. Uden dem kan vi ikke udføre anden del af angrebet. Heldigvis for vores kodestump, der udfører angrebet, kræver MitID ingen kode, så vi skal kun gætte et brugernavn. Der tages heller ikke højde for store eller små bogstaver, og det gør det endnu nemmere at gætte løs.

Efter en kort test viste det sig, at man kan gætte forkert 200 gange i timen, før MitID lukker i. Et højt tal, ifølge flere eksperter. Derfor satte vi en kode op, der fra to forskellige IP-adresser systematisk afprøvede alle danske fornavne. Over en nat fandt den 10.000 brugernavne.

Dermed gik vi videre for at bevise, at brugerne kan lukkes ned i større skala. 17 frivillige indgik i forsøget og blev lukket ned af en anden lille kodestump, der konstant indtastede deres korrekte brugernavne. Så længe den gør det, kan de rigtige indehavere ­ikke logge ind, og deres MitID-­app vil konstant vise dem en anmodning om at swipe. Hvis de swiper, lukker de angriberen ind.

Denne kodestump kørte samlet set mere end en uge uden at blive opdaget. I tre dage afholdt den ti brugere fra at logge på MitID ved at sende op mod 600 anmodninger i timen til MitID’s servere – uden at blive lukket ned. I en kortere periode på fem timer holdt den 17 brugere ude uden at blive lukket ned af MitID’s systemer. Der er med andre ord intet, der tyder på, at 100 eller flere forskellige IP-adresser, der kan fås gratis på nettet på forskellig vis, ikke kan udføre angrebet samtidig uden at blive lukket ned.

Ingen af vores algoritmer var optimerede i forhold til ydeevne.

I en mail til Version2 fastholder Digitaliseringsstyrelsen, at man ikke kan foretage et storskaalaangreb. Det på trods af at det er lykkes Version2 og et hold af forskere fra Aarhus Univeristet at gætte brugernavne i titusindvis og blokere et mindre antal brugere igennem længere tid. 

Afkræves svar i folketinget

Venstres IT-ordfører, Christoffer Aagaard Melson (V), har bedt finansministeren kommentere de sikkerhedsudfordringer, Version2 afdækkede 'redegøre for, hvad ministeren vil gøre for at adressere de i artiklen omtalte it-udfordringer med MitID.'

Artiklen fortsætter efter annoncen

Spørger man Digitaliseringsstyrelsen hvad de vil gøre, hvis ondsindede kræfter starter et større angreb lyder følgende fra styrelsen selv:

»De beskyttelsesmekanismer, som findes i MitID, forhindrer storskala-angreb. Et angreb mod samtlige brugere med kodevisere på én gang, vil derfor være meget vanskeligt at gennemføre i praksis. Ydermere har vi nu foretaget nogle sikkerhedsjusteringer, der har gjort det endnu mere vanskeligt at foretage denne slags angreb.«

Læs også: Sikkerhedseksperter forundrede: MitID står åbent for sabotage

»Vi monitorerer og vurderer selvfølgelig løbende trusselsbilledet, og er klar til at foretage yderligere tiltag, hvis der er noget, der udvikler sig.«  

Meget tyder også på, at der er mindst én designfejl mere end dem, vi allerede har afdækket. Læs mere de kommende dage på Version2.dk. 

 

2 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
5. oktober kl. 22:23

Jeg brugte MitId ca. 20.30, det fungerede på det tidspunkt. Måske har man skruet på de skruer, man skruede på i første omgang.

1
5. oktober kl. 18:39

Det er ikke en god idé, at pille i et produktionssystem, uden at man tester pilleriet ordentligt af.

På Twitter lige nu:

Digitaliseringsstyrelsen @DigstDK · 52 min (05-10-2022, 18:30) Der er i øjeblikket problemer med at logge på med MitID. Leverandøren arbejder på højtryk på at identificere problemet og stabilisere driften. Indtil MitID igen er stabiliseret, kan man med fordel benytte NemID i stedet. Vi melder ud igen, når der er nyt i sagen.

Mulige forklaringer / gæt: 1: Digitaliseringsstyrelsen har åbenbart ment, at de "egenskaber" Version2 har blotlagt i MitID var så graverende, at man var nødt til at skride til øjeblikkelig fejlretning - som åbenbart er gået galt.

2: "Egenskaberne" er så graverende, at de allerede er udnyttet af hackere - som har lagt MitID ned.

3: "Egenskaberne" er så graverende, at man har valgt at lukke for adgangen.

MitID er national kritisk infrastruktur, som må forventes at kunne køre redundant, og med en tilgængelighed på 99,999% eller bedre. Jeg håber virkelig at Digitaliseringsstyrelsen skruer bissen på overfor Nets - og jeg håber at der er mærkbare konsekvenser i driftskontrakten på MitID.

Hvad gør vi andre når vi ikke kan komme på vores bank, og opfylde vores betalingsforpligtelser. Betaler Digitaliseringsstyrelsen rykkergebyrerne?