Få overblikket: Sådan rystede simple drengestreger Danmarks digitale infrastruktur

19. april 2013 kl. 10:4411
Få overblikket: Sådan rystede simple drengestreger Danmarks digitale infrastruktur
Illustration: Privatfoto.
De angreb, der den seneste tid har sendt NemID i sort, lader til at have været skræmmende lette at gennemføre. Og en digital backupløsning eksisterer ikke.
person
Jakob Møllerhøj
journalist
person
person
person
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
Jakob Møllerhøj
journalist
person
person
person
person

NemID gør det ikke kun bekvemt at gå i netbanken eller kommunikere med stat og kommuner. Den offentlige login-løsning kan øjensynligt også lammes med et relativt simpelt angreb, der koster omkring 60 kroner at iværksætte.

I hvert fald stod det for en uge siden, torsdag 11. april, lysende klart at, NemID er sårbart over for Distribueret Denial of Service-angreb, også kaldet DDoS. Angrebet betød, at NemID var stort set utilgængelig i timevis.

I tirsdags var den så gal igen. Her kunne Version2 fortælle, at NemID tilsyneladende igen var udsat for et DDoS-angreb, der mindede om angrebet 11. april.

NemID var også utilgængeligt flere gange i marts. Efterfølgende har det Nets-ejede DanID, der står bag NemID, erkendt, at der også her var tale om DDoS-angreb.

Artiklen fortsætter efter annoncen

DDoS vil sige, at et it-system, i dette tilfælde NemID, oversvømmes med et så stort antal falske forespørgsler, at systemet giver op og ikke længere kan håndtere legitim trafik. I tilfældet med NemID er resultatet set fra den almindelige brugers synspunkt, at det er svært eller umuligt at logge ind på tjenester, der bruger NemID.

Lukker hele vejnettet

Også Kommunernes Landsforening (KL) og rejseportalen for kollektiv trafik, rejseplanen.dk, har den seneste tid været ramt af DDoS-angreb.

Men hvor DDoS-angreb mod KL og Rejseplanen lammer adgangen til de enkelte hjemmesider, så bevirker et DDoS-angreb mod NemID-tjenesten, at det er vanskeligt eller umuligt at logge ind med NemID på alle de hjemmesider, der anvender denne login-metode.

Forskellen på de to angrebscenarier svarer altså til forskellen på en vejafspærring, der gør en enkelt strækning ufremkommelig, og en afspærring, der gør hele vejnettet umuligt at bruge.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Selve angrebet mod NemID lader til at have været nærmest uhyggeligt enkelt at gennemføre. I hvert fald kunne Version2 dagen efter angrebet sidste torsdag bringe et chat-baseret interview med en gruppe, der kalder sig DanishLulzTeam, som hævder at stå bag angrebet mod NemID.

Af interviewet fremgår det blandt andet, at angrebet angiveligt kunne gennemføres ved at købe en online tjeneste for 10 dollars – altså omkring 60 kroner.

‘Problemet er, at enhver kan købe adgang for så lidt som 10 dollars og lukke hvilken som helst side, de vil. Ingen grænser ... Det koster ingenting at få den slagkraft, vi brugte i dag’, skrev et medlem af DanishLulzTeam, der kalder sig s0x, til Version2.

Flere medlemmer af Version2’s panel af it-kyndige bloggere er faret i blækhuset efter angrebene mod NemID. Blandt andet skriver systemudvikler Poul-Henning Kamp under overskriften ‘Offentlige IT-slagskibe’ følgende:

‘Skandalen med DOS-angrebet på NemID er ikke, at det kun koster 10 dollars at lægge NemID ned. Skandalen er, at ingen af de mange, der efter sigende har været inde over kvalitetskontrollen af NemID, havde fantasi til at bruge 10 dollars på opgaven’, lyder det fra Poul-Henning Kamp:

‘Hvis det var lavet rigtigt, ville danskerne ikke være tvunget til at køre det tredje mest buggy stykke software på nettet for at melde deres børn i dagpleje’, fortsætter han med henvisning til den Java-platform, som NemID baserer sig på, og som den senere tid har været plaget af flere sikkerhedshuller, der i sig selv kan gøre det muligt for hackere at få adgang til danskernes computere.

Der er ingen plan B

I forbindelse med angrebet mod NemID blev det også klart, at der ikke findes nogen digital fallback-løsning, som borgerne kan anvende som alternativ, såfremt NemID fejler.

I kølvandet på angrebet mod NemID kunne Version2 således bringe en historie under overskriften ‘Her er Danmarks NemID-nødberedskab: Gå ned på rådhuset’.

Artiklen fortsætter efter annoncen

»I princippet er det sådan, at hvis du ikke kan bruge NemID, så kan du henvende dig til den pågældende myndighed,« forklarer Charlotte Jacoby, souschef i Digitaliseringsstyrelsens kontor med ansvar for digital signatur, til Version2:

»Vi har ikke en alternativ infrastruktur. Det er af økonomiske årsager ikke muligt.«

Men det er der andre, der har. Bag NemID står selskabet DanID, som igen er ejet af bankerne. Og flere banker kan tilbyde deres kunder netop en alternativ login-løsning til deres netbanker. Men for NemID-systemet som sådan findes der altså ikke en backup.

Oppositionen på mærkerne

Angrebene mod NemID har fået flere politikere uden for regeringspartierne op på mærkerne. Dansk Folkepartis it-ordfører Dennis Flydtkjær, der er uddannet datamatiker, har således over for Version2 kaldt situationen ‘alarmerende’:

»NemID bliver jo et mere og mere kritisk knudepunkt for Danmark. Ud over bankerne bliver der jo flere og flere offentlige hjemmesider, hvor det er nødvendigt at bruge NemID.«

Han nævner som eksempel det kommende lovforslag, der vil gøre digital selvbetjening til eneste mulighed på 20 nye områder, blandt andet i forbindelse med begravelser.

Også fra den anden side af folketingssalen bliver NemID-løsningen kritiseret for ikke at have været i stand til at modstå den seneste tids angreb.

»Når det er et krav fra det offentliges side, at man skal bruge NemID for eksempel til digital post, må man også som minimum forvente, at finansministeren og Digitaliseringsstyrelsen stiller nogle meget skrappe krav til de løsninger, man tvinger alle til at bruge,« siger Stine Brix, it-ordfører for Enhedslisten, til Version2, der også har kunnet fortælle, at Venstres it-ordfører Michael Aastrup Jensen nu kræver svar fra finansminister Bjarne Corydon (S) omkring NemID-situationen, og hvad der kan gøres for at forbedre sikkerheden. Finansministeren er politisk ansvarlig for Digitaliseringsstyrelsen og NemID.

Måske politikerne får svar på nogle af deres spørgsmål i dag. DanID vil nemlig på et lukket NemID-seminar på Christiansborg orientere politikerne om infrastrukturen bag NemID. Version2 følger op med reaktioner efter mødet.

Fokus
Emner
11 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
10
Lars Skovlund
19. april 2013 kl. 22:27

Det kan godt være at det specifikke scenarie ikke har været omtalt, men en hurtig google-søgning giver da nogle hits:

https://www.google.com/search?q=%22denial+of+service%22+nemid&safe=off&client=iceweasel-a&rls=org.mozilla%3Aen-US%3Aunofficial&sa=X&ei=yJ5xUf3sHurd4QTXhYD4Bw&ved=0CCAQpwUoBg&source=lnt&tbs=cdr%3A1%2Ccd_min%3A01%2F01%2F2007%2Ccd_max%3A03%2F01%2F2013&tbm=

inkl. en debat som du selv deltager i. Jeg ser flere scenarier på den liste. Både et som fandt sted næsten i begyndelsen, og så et som DanID vedgår som en risiko. Det er ret morsomt, at du på den baggrund kalder det efterrationalisering. Man kunne givetvis finde mere hvis man brugte tiden på det - men den megen omtale af DDoS skygger for evt. søgeresultater fra tidligere. Desværre.

Jeg kan i parentes bemærket også godt lide ham den australske forsker, der lader NemID stå for "Nemesis in Danish". :-)

  • more_vert
    • insert_linkKopier link
11
Anders Poulsen
21. april 2013 kl. 23:00

I alle de debatter jeg kan mindes at have deltaget i med kolleger på arbejdspladsen eller have læst på nettet, har kritikken af infrastrukturen altså gået på, at det er mærkeligt at ens private nøgle skal opbevares af en central myndighed, som enten bliver et meget attraktivt mål for hackere, der vil stjæle nøglen, eller bliver en mastodont, som man er tvunget til at stole på håndteret ens nøgle korrekt, uanset om man synes de er til at stole på eller ej. Jeg giver Jørgen ret i at problemet med DOS angreb mod applet-serveren højst har været nævnt overfladisk inden man hastede videre til disse andre langt mere "interessante" problemer, som man kan få meget mere tid til at gå med at diskutere.

  • more_vert
    • insert_linkKopier link
8
Lars Skovlund
19. april 2013 kl. 21:23

Efterrationalisering? Hvordan dælen kommer du frem til det? Som det har været nævnt efterhånden mange gange begyndte kritikken lige så snart arkitekturen i NemID blev offentligt kendt.

  • more_vert
    • insert_linkKopier link
9
Jørgen Larsen
19. april 2013 kl. 21:30

@Lars Skovlund - Efterrationalisering i forhold til DDOS aspektet. Kan Du give mig en reference til en større debattråd om DDOS og NemID, som ikke er af nyere dato? Der HAR været kritik af den centraliserede løsning. Men den kritik har altså ikke gået på tilgængelighed. Så ja, der er tale om en vis efterrationalisering. Jeg tror Du må indrømme, at DDOS har fyldt meget lidt i debatten.

  • more_vert
    • insert_linkKopier link
4
Ole Wolf
19. april 2013 kl. 14:11

Det hedder vel NemID, fordi det er så nemt at ødelægge? :)

  • more_vert
    • insert_linkKopier link
6
Jens Peter Jensen
19. april 2013 kl. 16:44

He he, det er godt nok god værkstedshumor :-)

  • more_vert
    • insert_linkKopier link
3
Lars Sørensen
19. april 2013 kl. 13:51

Det var den nuværende opposition, som da var regering der lovgav omkring NemID. Sjovt nok sagde de ikke noget op til vedtagelsen da der var mange tekniske debatter her.

  • more_vert
    • insert_linkKopier link
2
Niels Werner Mortensen
19. april 2013 kl. 13:23

  1. Nogle "hackere" (de er aldrig helte) har udført et DDOS angreb på NETS NemID servere. NETS har efterfølgende meddelt, at de har indført/vil indføre bedre beskyttelse mod nye angreb. Det burde hjælpe.

  2. NemID er JAVA baseret og JAVA har bestemt haft problemer. For et stykke tid siden skulle jeg logge på min egen netbank også fik jeg at vide, at min JAVA version var for gammel til at logge på netbanken. Fed service, så hvorfor ikke indføre det hos alle banker og andre, der bruger NemID? Oracle har i øvrigt lige frigivet en ny JAVA v7,21

  3. Hvis politikere har lyst til at blande sig, kunne de f.eks. sørge for, at de offentlige systemer for mulighed for at indføre backup løsninger måske med noget automatisk failover.

  • more_vert
    • insert_linkKopier link
7
Jørgen Larsen
19. april 2013 kl. 20:54

@Niels Werner Mortensen - Nu vrimler det med Version2 læsere, som næsten i kor råber, hvad sagde jeg. Underforstået de havde alle sammen forudset, at NemID var sårbar overfor DDOS.

Det er muligt, at denne DDOS risiko har været nævnt. Men sandheden er, at langt det meste af kritikken har drejet sig om mange andre aspekter af NemID. Kort sagt: Der er tale om en betydelig grad af efterrationalisering, kommerciel og politisk plat. Underholdende, men egentlig ikke særlig smukt. Man kan da i sandhedens interesse også undre sig over, at Nets IKKE har været bedre forberedt. Man har tilsyneladende glemt, at tilgængelighed OGSÅ er en del af sikkerheden.

Som det fremgår af den efterhånden omfattende NemID debat, så ER der en lang række problematiske aspekter ved NemID løsningen. Det vil da selvfølgelig være torskedumt, hvis man ikke stopper op og spørger sig selv om man er på rette vej. Det er et politisk ansvar man bør tage alvorligt.

Det paradoksale er i virkeligheden, at den største politiske trussel mod NemID ikke er de kritikpunkter, som er fremført med utrættelig energi fra en række Version2 debattører. Den største trussel er i virkeligheden Nets manglende evne til, at håndtere en trussel, som står på side 1 i lærebogen om sikkerhed - tankevækkende.

  • more_vert
    • insert_linkKopier link
5
Tom Arleth
19. april 2013 kl. 14:38

Nogle "hackere" (de er aldrig helte) har udført ...

Nu er en helt vel egentligt en person der uden hensyn til egen sikkerhed reder andre, og som sådan kan de vel med en hvis ret kaldes helte :-) (Hvis man altså køber præmissen om at de åbner øjnene hos tilstrækkeligt mange mennesker om hvor idiotisk NemId er)

  • more_vert
    • insert_linkKopier link
1
Kaare Kyndal
19. april 2013 kl. 12:02

Det var da også på tide at nogen af politikerne får øjnene op for denne usikre fallitløsning!

De unge hackere er helte for at vise hvor nemt det var, tænk hvis nogen havde lavet et rigtigt hacker angreb, hele Danmarks digital sikkerhedsstruktur er jo totalt åben!

  • more_vert
    • insert_linkKopier link