Efter afdækning af MitID hack: Digitaliseringsstyrelsen laver ukendte ændringer
»Af sikkerhedsmæssige hensyn kan vi ikke gå i detaljer med de ændringer, der er blevet foretaget, men vi har blandt andet været inde og justere i forskellige grænseværdier i beskyttelsesmekanismerne.«
Sådan lyder det fra Digitaliseringsstyrelsen, der altså har justeret på MitID siden Version2's afdækning af en række designfejl i systemet.
Læs også: Uhyre simpelt hack kan gætte brugernavne og blokere adgangen til MitID
I de oprindelige interviews med Version2 fastholdt styrelsen ellers at sikekrheden i MitID er en balancegang, men at man havde lagt sig det rigtige sted og at der derfor ikke var behov for at lave ændringer selvom Version2 kunne hive 11.000 brugernavne ud af systemet på én nat.
Den første del af angrebet går ud på at gætte MitID-brugernavne i hobetal. Uden dem kan vi ikke udføre anden del af angrebet. Heldigvis for vores kodestump, der udfører angrebet, kræver MitID ingen kode, så vi skal kun gætte et brugernavn. Der tages heller ikke højde for store eller små bogstaver, og det gør det endnu nemmere at gætte løs.
Efter en kort test viste det sig, at man kan gætte forkert 200 gange i timen, før MitID lukker i. Et højt tal, ifølge flere eksperter. Derfor satte vi en kode op, der fra to forskellige IP-adresser systematisk afprøvede alle danske fornavne. Over en nat fandt den 10.000 brugernavne.
Dermed gik vi videre for at bevise, at brugerne kan lukkes ned i større skala. 17 frivillige indgik i forsøget og blev lukket ned af en anden lille kodestump, der konstant indtastede deres korrekte brugernavne. Så længe den gør det, kan de rigtige indehavere ikke logge ind, og deres MitID-app vil konstant vise dem en anmodning om at swipe. Hvis de swiper, lukker de angriberen ind.
Denne kodestump kørte samlet set mere end en uge uden at blive opdaget. I tre dage afholdt den ti brugere fra at logge på MitID ved at sende op mod 600 anmodninger i timen til MitID’s servere – uden at blive lukket ned. I en kortere periode på fem timer holdt den 17 brugere ude uden at blive lukket ned af MitID’s systemer. Der er med andre ord intet, der tyder på, at 100 eller flere forskellige IP-adresser, der kan fås gratis på nettet på forskellig vis, ikke kan udføre angrebet samtidig uden at blive lukket ned.
Ingen af vores algoritmer var optimerede i forhold til ydeevne.
I en mail til Version2 fastholder Digitaliseringsstyrelsen, at man ikke kan foretage et storskaalaangreb. Det på trods af at det er lykkes Version2 og et hold af forskere fra Aarhus Univeristet at gætte brugernavne i titusindvis og blokere et mindre antal brugere igennem længere tid.
Afkræves svar i folketinget
Venstres IT-ordfører, Christoffer Aagaard Melson (V), har bedt finansministeren kommentere de sikkerhedsudfordringer, Version2 afdækkede 'redegøre for, hvad ministeren vil gøre for at adressere de i artiklen omtalte it-udfordringer med MitID.'
Spørger man Digitaliseringsstyrelsen hvad de vil gøre, hvis ondsindede kræfter starter et større angreb lyder følgende fra styrelsen selv:
»De beskyttelsesmekanismer, som findes i MitID, forhindrer storskala-angreb. Et angreb mod samtlige brugere med kodevisere på én gang, vil derfor være meget vanskeligt at gennemføre i praksis. Ydermere har vi nu foretaget nogle sikkerhedsjusteringer, der har gjort det endnu mere vanskeligt at foretage denne slags angreb.«
Læs også: Sikkerhedseksperter forundrede: MitID står åbent for sabotage
»Vi monitorerer og vurderer selvfølgelig løbende trusselsbilledet, og er klar til at foretage yderligere tiltag, hvis der er noget, der udvikler sig.«
Meget tyder også på, at der er mindst én designfejl mere end dem, vi allerede har afdækket. Læs mere de kommende dage på Version2.dk.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
