Gerningsmænd bag angreb afslører: NemID sendt i sort for 10 dollar
De kalder sig DanishLulzTeam, men siger, at navnet bare er en joke opfundet til lejligheden for at få medieopmærksomhed.
Og medieopmærksomhed må man i den grad sige, at de to personer med dæknavnene s0x og d0wn har fået ved torsdag at lamme NemID, der er en helt central komponent i det offentlige Danmarks it-infrastruktur.
Version2 har interviewet s0x og d0wn via IRC. Det har ikke været muligt at få oplyst deres identitet, men omvendt peger adskillige indicier på, at det er dem, der står bag angrebet. Version2 har således fået bekræftet, at de har kontrol over twitterkontoen @DanishLulzTeam, der få minutter efter angrebet blev indledt tog ansvaret. De har også demonstreret undervejs i interviewet, at de er i stand at lægge et andet website ned for en kortvarig periode.
Hensigten med angrebet er ifølge DanishLulzTeam at udstille den inkompetence, Nets har udvist i forhold til sikkerhed i NemID-løsningen. At vise, man med en meget beskeden indsats kan lægge NemID ned i timevis.
Version2 bringer nedenfor en redigeret udgave af chatsamtalen over IRC.
»Grunden til angrebet er vel simpelt nok, at vise danmark hvor lidt der skal til... Hvor nemt det egentlig er at hive selv store sider ned, som f.eks. nemid,« skriver s0x til Version2
Altså "bare" et statement?
»Vi ville bare give Nets et lille prik på skulderen om at hey, det her skal i sku gøre noget ved (…)Nets burde få ansat nogle ordentlige medarbejdere, som har styr på hvad de laver :P« skriver s0x videre til Version2.
Af chatten fremgår det, hvor lidt der ifølge DanishLulzTeam skal til for at gennemføre et angreb med så store konsekvenser.
»<@s0x> problemet er, at enhver kan købe adgang til så lidt som 10$, og lukke hvilken som helst side de vil. Ingen grænser...Det koster INGENTING for at få den slagkraft som vi brugte idag.«
Vil I fortælle lidt mere detaljeret om, hvad I gjorde?
»<@s0x> Simpelt nok, vi fandt linket til nemid's java-applet (applet.danid.dk) og så testede vi hvor meget den server kunne holde til. Hvilket var overraskende lidt.«
Har du tal på det?
»<@s0x> Lad os bare sige at en såkaldt "booter" til 10$ kunne hive serveren ned. 10$!«
Du siger med andre ord, at Danmarks it-infrastruktur står og falder med en investering på godt en halvtredser?
»<@s0x> Ja.«
Hvad synes du om det?
»<@s0x> Systemet i danmark som burde være af højeste prioritet, burde ikke kunne ligges ned for 10$... Det synes jeg helt bestemt der skal gøres noget ved.«
Vil I sige noget som helst om, hvem eller hvor mange I er?
»<@s0x> Helst ikke hvem, det skal jo ikke være helt nemt for politiet at finde os ;)«
Var det også jer, der stod bag angrebet (mod NemID, red.) i marts?
<@s0x> Nej.
og kender I i øvrigt noget til angrebet i marts - hvem der stod bag osv?
»<@s0x> Jeg ved godt hvem det var ja.«
»må jeg spørge hvad pointen var med at gentage hans/deres bedrift?«
»<@s0x> Jeg kendte ikke noget til angrebet i marts før nu.«
Er I bange for at politiet finder jer?
»<@s0x> Nej, egentlig ikke. Det kommer ihvertfald til at kræve en del opkald rundt omkring i verden... ^«
TOR?
»<@s0x> Nej morten, egentlig bare "the fact" at det kræver at du henter 1 program til din pc, og så er du skjult...
Må jeg spørge hvilket program? Mine læsere er tech-fetichister
»<@s0x> Det er irrelevant, der findes tusinder af services, som skjuler dig.«
all right
»<@s0x> "Hotspot shield" er et godt eksempel.«
Herefter fremgår via spørgsmål fra en tredje deltager i chatten ved navn g4s, at DanishLulzTeam benyttede sig at et botnet til at lave et såkaldt SYN-flood attack mod NemID's applet-server. Hvor stort et botnet der rent faktisk skulle til, ved angriberne dog ikke:
»<@s0x> Det har jeg ikke lige styr på, jeg brugte en såkaldt "booter", for at øge sikkerheden for mit vedkommende ;)«
Endelig bekræfter s0x, at Nets relativt let kunne have sikret sig mod angrebet:
»<@s0x> g4s det kræver 1 firewall rule, og så havde vi ikke kunne gøre det vi har gjort.«
Så altså: SYN-flood attack, botnet med booter foran, 10 dollars - bang!
»<@s0x> præcis Morten.«
DanishLulzTeam har natten til fredag også lagt en meddelelse på hjemmesiden Pastebin.com, hvori gruppen pointerer, at formålet har været »at vise Nets hvor nemt det egentlig er for selv almindelige danskere at rykke deres service offline så let som ingenting.« I meddelelsen forsikrer de også, at angrebet ikke vil blive gentaget:
»Vi ville sende et budskab til Nets og resten af Danmark, og det er lykkedes.«
- Tre år efter: Nu falder der dom over NemID-DDoS’ere
- Chokerede it-ordførere: Hvorfor kommer DDoS-angreb bag på Nets?
- Intern rapport afslører hemmeligholdte DDoS-angreb mod NemID
- Oppositionens ramaskrig: Manglende NemID-nødløsning fuldstændig uacceptabelt
- Få overblikket: Sådan rystede simple drengestreger Danmarks digitale infrastruktur
- Sikkerhedsekspert: Så let kan enhver lægge NemID ned med en håndfuld Bitcoins og en Google-søgning
- Minister skal redegøre for NemID-sikkerhed efter DDoS-angreb
- NemID nede igen: Ny bagmand, ny metode bag angrebet
- It-ordfører: Alarmerende let at vælte NemID
- Nets om kollapset NemID-forsvar: DDoS-angreb var 'massivt'
- Denne artikel
- Gruppe tager ansvar for NemID-angreb: Vil forsøge at slå til igen
- NemID nede igen: Nyt, stort angreb i gang
- emailE-mail
- linkKopier link

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
Fortsæt din læsning
- Sortér efter chevron_right
- Trådet debat
OK, men kan man bevise det i påkommende tilfælde? Og uden at gå ned med flaget mens det står på?
Når nu spørgsmålet om straframme er kommet op mener jeg, at man ikke bør gå efter maksimumstraf i denne sag. For hvis ma gør det, hvor er vi så henne den dag et identitetstyveri finder sted? Skal DDoS og identitetstyveri straffes lige hårdt? Det er vel et spørgsmål om hvorvidt man betragter "overgreb mod staten" eller "overgreb mod borgeren" som værst. Desværre tror jeg, at jeg kender svaret - at borgeren i en sag om identitetstyveri kan få lov at stå med håret i postkassen og en latterlig lav straf til gerningsmanden.
Som jeg ser det, så er der tale om forstyrrelse af den offentlige orden, stort set at sidestille med når Greenpeace laver en aktion, eller en demonstration hvor HC Andersens Boulevard bliver spærret.
Prøv lige at få tingene i rette perspektiv - der er ikke blevet sjålet noget, der er ingen der har lidt fysisk overlast.
Ja det her har så bare ramt hele landet, men giver det så ikke så meget desto grund til en gang til at overveje om single-point-of-failure modellen er specielt smart.
Ikke at jeg dermed automatisk sanktionerer det skete, men det gør jeg heller ikke nødvendigvis ved GreenPeaces aktioner, men derfor er det stadig fuldstændig ude af proportioner at tale om drakoniske straffe - og som sagt, fokus bør ligge et helt andet sted.
@Christian
OK hvis NemID så var sikret efter alle kunstens regler, og var skruet sammen så størstedelen af v2.dk skaren er tilfredse, og der så alligevel sker et uventet angreb mod strukturen der lammer det i et døgn, så man ikke kan betale regninger til tiden, ordne tinglysning til handler, melde sig jobsøgende, skrive sig op til uddannelse osv.
Er det så stadig en OK handling eller kan vi så tale om et angreb der burde straffes?
Jeg forsvarer ikke NemID i denne sag, og jeg er enig i at der skal strammes gevaldigt op om det, og digitaliseringsstyrelsen har et gevaldigt forklaringsproblem og store udfordringer med at få NemID skruet sammen på en måde så det her ikke kan lade sig gøre fremadrettet (evt. lave hele NemID om så der ikke er et single point of failure). Ingen tvivl om det, og kritikken mod NemID og digitaliseringsstyrelsen er berettiget, og der burde rulle nogle hoveder både ved digitaliseringsstyrelsen og ved Nets, som ikke har levet op til deres ansvar. Men jeg er stadig overrasket over at så mange syntes at det er helt ok at lamme dele af dansk IT infrastrultur, uden at det skal have konsekvenser for dem der udøver handlingen (uanset hvor nemt det så måtte være).
Endnu engang lægger du folk ord i munden.Er det så stadig en OK handling eller kan vi så tale om et angreb der burde straffes?
Jeg (og som jeg kan læse det, flere andre) har ikke sagt det er OK - MEN det skal ikke bruges til en heksejagt, så fokus flyttes fra problemet, og det skal sidestilles med andre former for forstyrrelse af den offentlige orden.
Så lad mig stille et modspørgsmål - skal demonstranter i en større demonstration (uagtet hvad de så ellers demonstrerer mod) som spærrer Storebæltsbroen i 3 timer så også straffes med 6 års fængsel?
Michaels analogi med hoveddøren er egentlig meget god - for der har ikke været foretaget nogen indbrud.
Og jeg vil gerne pointere at jeg har intet med dette at gøre, men jeg mener afgjort at man skal bruge dette wake-up call til at se på at få lavet en fornuftig, ikke monolitisk, ikke overvågende, osv, osv, model - i stedet for at ævle om at man lige skal fortsætte symptombehandlingen ved at skrue på nogle firewall parametre, eller hvad ved jeg.
Endnu engang lægger du folk ord i munden.
Vel ikke mere end at du beder mig om at sammenligne hacker angrebet med en Greenpeace aktion eller en blokering af Storebælts broen. Du kunne lige så godt spørge mig om bødestraffen for fumlegængeri, det er sagen fuldstændig uvedkommen.
Mit oprindelige spørgsmål var: hvad er straframmen og er NemID så vital en del af vores infrastruktur at angrebet kunne prøves efter terrorlovgivningen. Det er et yderst relevant spørgsmål, og måske et hackerne skulle have stillet sig selv inden angrebet. Jeg stiller også spørgsmål ved om der kommer noget positivt ud af aktionen eller om vi ikke risikerer endnu mere overvågning.
Jeg er så efterfølgende blevet tillagt at jeg mener at straffen af hackerne er vigtigere end straffen af Nets/digitaliseringsstyrelsen, hvilket jeg ikke mener. Jeg mener helt og holdent at hackerne bliver nødt til at stå til ansvar for deres handlinger, og efterforskeren som har deltaget i debatten mener at det er §193 man vil gå efter hvor straframmen er op til 6 års fængsel. Jeg kan vel ikke tillægges længden af en potentiel straf?
Jeg mener også at Nets og Digitaliseringsstyrelsen skal stilles til ansvar for de har tydeligvis ikke gjort nok, og det er måske nødvendigt at lave hele arkitekturen om for NemID så det ikke er centraliseret. Jeg tror næppe at de har gjort noget kriminelt da de højest sandsyligt har op til flere ministeriers velsignelse til at designe systemet, som de nu en gang har - men har de gjort noget kriminelt så skal de da selvfølgelig også straffes. Vi kan dog i det mindste håbe at politikerne nu er blevet gjort opmærksomme på sårbarheden i NemID og dets arkitektur.
Så nej jeg lægger ikke ord i munden på folk, jeg har stillet et relevant spørgsmål, som jeg fik svar på fra efterforskeren - at svaret så ikke er populært kan jeg så desværre ikke gøre så meget ved. Dog står jeg ved at man er ansvarlig for sine handlinger, også selv om man er en hacker med en halvtredser på lommen.
Mit oprindelige spørgsmål var: hvad er straframmen og er NemID så vital en del af vores infrastruktur at angrebet kunne prøves efter terrorlovgivningen.
Det ville da virkelig understrege terrorlovgivningens absurditet, men når staten skal dække over sine fadæser er intet umuligt.
Du har sikkert ret i at de personer i Digitaliseringsstyrelsen og Finansministeriet, som er ansvarlige for at have skabt en single-point-of-failure konstruktion fordi det var et nødvendigt onde for at fremme deres planer om mere magt og centralisering, ikke kan straffes.
Men hvis vi skal forhindre fremtidige skandaler ala NemID, var det måske en ide at få lavet en paragraf om "uansvarligt design af kritisk offentlig infrastruktur" i straffeloven.
OK hvis NemID så var sikret efter alle kunstens regler, og var skruet sammen så størstedelen af v2.dk skaren er tilfredse, og der så alligevel sker et uventet angreb mod strukturen der lammer det i et døgn, så man ikke kan betale regninger til tiden, ordne tinglysning til handler, melde sig jobsøgende, skrive sig op til uddannelse osv.
Hvis NemID var implementeret som en rigtig digital signatur, og ikke dette misfoster af en centraliseret løsning, med en autoriseret man-in-the-middle feature, så ville du ikke kunne lægge hele digitale Danmark ned ved at blokere EN webserver.
Ved at blokere NemID, blokerer man jo ikke blot betaling af et par regninger, men også flere og flere funktioner, hvor NemID efterhånden vil være eneste kommunikationsmulighed med det offentlige. Derudover har flere kommuner valgt den tåbelige løsning, at benytte NemID logon til autorisation til egne systemer, og nogle steder skal man også benytte NemID til Forældreintra. Kort sagt, flere og flere funktioner, som man kan blokere ved at blokere EN central server.
Identitetstyveri er lidt en udefineret popbetegnelse. Der er ikke noget kriminelt i det hvis jeg opretter en twitter-konto der udgiver sig for at være Lars Skovlund, debattør på version2.dk. Når det begynder at blive kriminelt er der nok for det meste tale om godt gammeldags bedrageri (eller eventuelt databedrageri).For hvis ma gør det, hvor er vi så henne den dag et identitetstyveri finder sted? Skal DDoS og identitetstyveri straffes lige hårdt?
Strafferammen for simpelt bedrageri er halvandet års fængsel. Hvis bedrageriet er af "særligt grov beskaffenhed navnlig på grund af udførelsesmåden, eller fordi forbrydelsen er udført af flere i forening, eller som følge af omfanget af den opnåede eller tilsigtede vinding, eller når et større antal forbrydelser er begået" stiger strafferammen til 8 år.
I det store (rigtige?) identitetstyveri hvor jeg får ændret din folkeregisteraddresse, skaffet mig pas og kørekort i dit navn men med mit billede og endelig overført alle dine bankforretninger til en anden bank er der nok rimelig sikkert tale om særlig grov beskafenhed både i udførelsesmåde og omfanget af den tilsigtede vinding.
Så jeg mener at der er taget det ønskede hensyn.
og derfor er det på høje tid at det totalt nytænkes, al anonym færden skal fjernes, så der er nok at tage fat på.
og derfor er det på høje tid at det totalt nytænkes, al anonym færden skal fjernes, så der er nok at tage fat på.
Meget snedig metode til at få mere overvågning og mere centraliseret magt
Vi laver systemer som er dårligt designet og meget sårbare, men af stor betydning for samfundet (som NemID)
For at forhindre det åbenlyse misbrug af eller angreb på disse systemer, er vi nødt til at overvåge alle borgere 24/7. Når stort set alle kan lægge de sårbare systemer ned med et minimum af indsats, er vi alle potentielle terrorister og skal naturligvis overvåges.
Voila. De inkompetente bureaukrater, som har designet de dårlige systemer, bliver belønnet med mere magt.
Jeg håber sandelig du er ironisk.og derfor er det på høje tid at det totalt nytænkes, al anonym færden skal fjernes, så der er nok at tage fat på.
næste gang digital signatur skal i udbud, så bør digitaliseringsstyrelsen gå efter en udbyder der kan levere en distribueret løsning. F.eks. kunne folk have deres egne private nøgler og central distribuerer man blot revocationlister med udløbne og stjålne nøgler. Det tåbelige er at designe en central løsning på noget så distribueret som peer to peer authentificaton.
Det være dagt, så er det selvfølgeligt tåbeligt at angribe DanID bare for sjov. DanID har lavet et system, der som en honningkrukke vil lokke kriminelle til, der vil skyde systemet ned for egen vindings skyld. Forhåbentlig vil danID oppe sig så de er bedre rustet imod de misforståede drengestreger, men det giver ingen undskyldning for elendigheden i at designe et centralt system for noget der burde fungere distribueret og dermed være langt mindre sårbart for angreb.
Mit forsikringsselskab kræver at jeg har en godkendt lås på min cykel og min hoveddør. Hvis jeg vil have erstatning ved tyveri skal jeg også låse disse låse. Selvom det er ulovligt at gå ind af min åbne dør og tage mine ting, er det samtidigt ret dumt af mig hvis jeg lader døres stå åben. At det er ulovligt bør ikke være det eneste der sikrer vores værdier her i samfundet.
Da NemId erstattede den gamle digitale signatur var det et stor skridt fremad i brugervenlighed. Til gengæld gav man afkald på mange sunde sikkerhedsmæssige principper. Bland andet gav man afkald på en distribueret arkitektur der ikke var var følsom over for Dos angreb.
Selvfølgeligt er det ulovligt, og selvfølgeligt er det strafbart og jeg har intet at gøre med det. Et Dos angreb krænker dog ikke NemId's data integritet, men har 'bare' gjort det utilgængeligt i et stykke tid. Jeg håber man tager det kontruktivt og prøver at gøre det mindre sårbart i fremtiden. Desværre tror jeg det er sådanne ting som dette der skal til for at åbne politikernes øjne for de problemer fagfolk længe har påpeget.
Forkert analogi, den rigtige må være: Hoveddøren var låst, der var bare så mange som stillede sig op foran døren, så dem som havde en nøgle ikke kunne komme til at låse op - der var ingen som kunne komme ind.
https://arstechnica.com/security/2013/04/a-beginners-guide-to-building-botnets-with-little-assembly-required/IMHO er man idag nød til at sikre sig mod (D)DOS, specielt ved kritisk infrastruktur. Hvordan skal man finde problemer med digitale systemer hvis man ikke må prøve at ødelægge dem? (feks også e-valg) De problemer der er nu er kun mulige på grund af nemIDs opbygning. Inden nemID blev taget i brug var det netop én af de mange ting der blev fremhævet som problematisk. Hvis ikke det virker at advare om problemerne inden ibrugtagelse af systemet, hvad gør man så for at gøre opmærksom på problemer? Det der sker nu er forholdsvist harmløst, nemID har mere eller mindre været offline i 24 timer. Dette resulterer forhåbentlig i at man får rettet de problemer man kan og planlægger at flytte til en bedre struktur og/eller failsafes (noget bankerne har klaret - de ved jo godt at nemID kan være offline). Alternativet er at der en dag er nogen med flere ressourcer der bestemmer sig for at tage nemID offline. Hvad gør vi hvis nemID pludselig er utilgængelig i 1 uge, 1 måned etc. ? Hvis man skal straffe dem der har "købt" DDOS'et synes jeg ikke man kan undgå at placere et ansvar hos den udbyder der ikke har forsvaret sig tilstrækkeligt, specielt hvis angrebet er så billigt/simpelt som de hævder. Målet må jo være at Danmark har holdbar it-infrastruktur.
de og andre hackere skulle smides mindst 10 år i spjældet for den slaks
jeg fodrer trolden....de og andre hackere skulle smides mindst 10 år i spjældet for den slaks</p>
<p>
Hævn løser alt! Derudover mangler du vist en ordbog.
Anycast og TCP er ikke en helt triviel kombo og har nogle lidt tricky fejlsituationer. Jeg tror der var en række andre værktøjer jeg ville tage i brug først.En løsning DaniID også kan bruge er anycast. Det gør det muligt at fordele belastning til flere servere, evt. placeret forskellige steder i landet (med forskellige isp'er måske?).
internettet er ikke lavet til alle de ting vi bruger det til i dag se denne her fra TEDhttps://www.ted.com/talks/danny_hillis_the_internet_could_crash_we_need_a_plan_b.html
We need a Plan B
jo stadig digitaliseringsstyrelsen der er ansvarlig, selv om de har outsourcet leverancen af en offentlig digital signatur. Så er det stadig dem der sidder med ansvaret.
// Jesper
Hvad har de opnået? At hele debatten herfra drejer sig om relativt trivielle sikkerhedsting ang. NemIDs oppetid og ingen interesseret sig for de egentlige designmæssige problemer i NemID?
Ja, og om hvordan man nu kan straffe bagmændene i fald man finder dem.At hele debatten herfra drejer sig om relativt trivielle sikkerhedsting ang. NemIDs oppetid og ingen interesseret sig for de egentlige designmæssige problemer i NemID?
I stedet for at man betragtede det som et wake-up call, for det er helt sikkert, at på et eller andet tidspunkt, så er der nogen i langtbortistan der kaster deres kærlighed over NemID, og så kommer det til at gøre ondt.
Men hvad sker der så her - jo der diskuteres firewall regler, og hvordan man kan sætte det Kafkaske jagtapparat i gang.
Men ingen diskussion om det fundamentalt forkerte i at have alle æg i en kurv, have en applikation der er skruet så håbløst sammen, den utidige blanding af stat og bank, den manglende rigtig digitale signatur osv, osv.
Rigtig, rigtig suk.
Ja, og om hvordan man nu kan straffe bagmændene i fald man finder dem.</p>
<p>I stedet for at man betragtede det som et wake-up call, for det er helt sikkert, at på et eller andet tidspunkt, så er der nogen i langtbortistan der kaster deres kærlighed over NemID, og så kommer det til at gøre ondt.
Så en bankrøver tester bare sikkerheden i banken når han/hun begår bankrøveri?
Jeg mener da at det er fuldstændig relevant at snakke om konsekvenserne for et angreb af denne art - det er potentielt rigtig mange der kan blive generet voldsomt af sådan et angreb, og så er det fuldstændig ligegyldigt om NemID har en svag struktur eller en brist i opbygningen - det retfærdigøre slet ikke handlingen.
Bare fordi en ulovlig handling er nem at udføre er da ikke ensbetydende med at det er helt ok at udføre den.
Jeg mener da at det er fuldstændig relevant at snakke om konsekvenserne for et angreb af denne art - det er potentielt rigtig mange der kan blive generet voldsomt af sådan et angreb, og så er det fuldstændig ligegyldigt om NemID har en svag struktur eller en brist i opbygningen - det retfærdigøre slet ikke handlingen.</p>
<p>Bare fordi en ulovlig handling er nem at udføre er da ikke ensbetydende med at det er helt ok at udføre den.
Det vigtigste for Danmark og danskerne er ikke at disse folk bliver fanget og straffet, det vigtigste er at DanID får styr på sikkerheden så systemet ikke kan lægges ned i en dag for 60 Kr.
At fange gerningsmændene er som sådan ligegyldigt da "enhver" vil kunne gøre dem kunsten efter så længe systemet er så svagt og der findes nok folk som kunne finde det morsomt at lægge NemID ned med denne metode.
Når sikkerheden er så ringe så svarer det jo lidt til at en tyveknægt stjæler din bil fordi nøglerne sidder i tændingen.
JA, han er en biltyv og JA han skal måske fanges og straffes men DU kan også blive straffet fordi du har pligt til at gøre dit til at tyven ikke render med din bil.
Det du og andre agiterer for er at det vigtigste er at fange tyven og at det med at lade være med at lade nøglerne sidde i bilen er sekundært når det mest effektive fremadrettet netop ville være at tage nøglen ud af bilen når man forlader den.
Det du og andre agiterer for er at det vigtigste er at fange tyven og at det med at lade være med at lade nøglerne sidde i bilen er sekundært når det mest effektive fremadrettet netop ville være at tage nøglen ud af bilen når man forlader den.
Jeg mener at opklaringen er mindst lige så vigtig, som at Nets/Digitaliseringsstyrelsen laver strukturen om så denne slags angreb ikke er så nemme at gennemføre mod vital it infrastruktur. Jeg tror du (og andre) har misforstået min mening om det - jeg syntes ikke at opklaringen er mere vigtig end at sikre strukturen, men jeg ser absolut ikke hackerne som helte.
Jeg tror slet ikke de hackere der har lavet dette angreb har tænkt over de konsekvenser deres handling har. De står altså til 6 års fængsel, hvilket er en ret hård straf i Danmark. Lad os antage at denne handling kræver lidt mere snilde end at betale $10 for adgang til en booter og efterfølgende adgang til et botnet, så er det da spild af IT talent at have siddende i fængsel - måske talenterne ville være bedre brugt på at tilbyde konsulent virksomhed omkring sikkerhed?
Mit oprindelige spørgsmål om straframmen antyder intet om at jeg ser straffen som det vigtigste i denne sag, det var blot nysgerrighed over hvilken straf man ville stå til skulle man blive fanget - og det er da yderst relevant vil jeg mene. Faktisk forsvarer jeg slet ikke Nets i mine svar i denne debat - tværtimod mener jeg at det i den grad også skal have konsekvenser for dem.
Så bare fordi jeg snakker om straf så er det ikke ensbetydende med at jeg holder med Nets, men Hackerne skal være klar over risikoen for deres handlinger, og det kan man have sin tvivl om.
Lad os antage at denne handling kræver lidt mere snilde end at betale $10 for adgang til en booter og efterfølgende adgang til et botnet, så er det da spild af IT talent at have siddende i fængsel - måske talenterne ville være bedre brugt på at tilbyde konsulent virksomhed omkring sikkerhed?
Meget muligt men det ville jo i så fald ikke være DanID som købte deres ydelser.
Ja for det har sågud da ikke skortet på advarsler fra sikkerhedskonsulenter, eksperter og så videre dengang man var igang med at udvikle NemID.
Hvis DanID dengang havde været lydhøre overfor alle de advarsler der blev sendt i deres retning så havde de jo overhovedet ikke haft de problemer de har idag.
Men allright, hvis opgaven var bunden (Lav en centraliseret løsning som giver staten håndsret over alle borgernes digitale signatur og med indbygget statstrojaner så PET/FET har en bagdør ind i "alle" danskeres computer) så er det jo også svært at lave løsningen meget anderledes.
I min optik er NemID fejlkonstrueret helt fra starten af og det hele minder mere og mere om DSB/Amanda/Polsag og lignende sager hvor man har tonset derudaf og overhovedet ikke villet lytte til fornuft.
Jeg mener da at det er fuldstændig relevant at snakke om konsekvenserne for et angreb af denne art - det er potentielt rigtig mange der kan blive generet voldsomt af sådan et angreb, og så er det fuldstændig ligegyldigt om NemID har en svag struktur eller en brist i opbygningen - det retfærdigøre slet ikke handlingen.
Øh? At der er nogen som har overtrådt loven, ændrer ikke på at denne sag bør betragtes som et wake-up call. Jeg havde ikke forventet at DanID var fuldstændig usårlig, men jeg havde forventet at det ville kræve en "lidt" større indsats end beskrevet i denne artikel, og ikke mindst lidt flere ressourcer end 10$.
Der er tale om et firma som administrerer alle borgeres digitale identitet ("signatur"), og alle borgere er tvunget til at være "kunder" i dette firma. Der er i aller højeste grad behov for en uafhængig undersøgelse af sikkerheden hos DanID.
Hvis det er korrekt at en simpel firewall indstilling kunne have forhindret angrebet, bør det få konsekvenser for DanID.
Ingen af os kan vælge en anden leverandør, hvis vi mister tilliden til DanID.
Lad være med at lægge nogen ord i munden.Bare fordi en ulovlig handling er nem at udføre er da ikke ensbetydende med at det er helt ok at udføre den.
Der er ingen der siger det er acceptabelt, men det er er altså naivt, tangerende til dumt, ikke at ville indrømme at systemet har nogle gevaldige problemer der bør adresseres.
Hvis vi skal holde os til din bankanalogi, så svarer det til at bare fordi der står 100 demonstranter klumpet sammen foran hoveddøren, så er hele banken lagt ned, og de ansatte låst inde (og omverdenen ude).
Og som jeg siger, hvis vi nu skifter fokus fra at finde årsagen til sygdommen, og bare forfalder til symptombehandling, så har vi en stor risiko for at det bliver meget, meget værre næste gang.
Og hvis vi bliver ved med at designe systemer ligeså tåbeligt, og aldrig vil lære noget, hvad så når landet bliver sovset ind i smart-grid og hvad ved jeg?
@Christian.
Jeg er enig i at NemID ikke er designet på en optimal måde, og ja det her viser at systemet er svagt, og ja det bør give anledning til revidering af hvordan et "stats single sigon" system bør/skal skrues sammen, så sikkerhed og brugevenlighed passer sammen.
Dog mener jeg at det er uhyre vigtigt at personerne bag findes og straffes når det er et angreb på central infrastruktur - Simpelthen fordi NemID nu en gang er det system der er valgt som adgangen til bankerne og det offentlige. Handlingen kunne ramme, tinglysning, arbejdsløses jobsøgninger, adgang til sundhedsoplysninger osv. Det er altså mennesker det går ud over, og angreb på det bør og skal straffes.
Jeg mener du prioriterer forkert.Dog mener jeg at det er uhyre vigtigt at personerne bag findes og straffes når det er et angreb på central infrastruktur - Simpelthen fordi NemID nu en gang er det system der er valgt som adgangen til bankerne og det offentlige. Handlingen kunne ramme, tinglysning, arbejdsløses jobsøgninger, adgang til sundhedsoplysninger osv. Det er altså mennesker det går ud over, og angreb på det bør og skal straffes.
Selvfølgelig er det de har gjort ulovligt, og sådan er det - MEN jeg mener at det tangerer det kriminelle at Nets har lavet et system for hele landet som er så sårbart - og sagen er at de åbenbart kunne bruge et 10$ værktøj.
Og hvad nu hvis det rygtes i den store verden, at dumme lille Danmark kan lægges ned for 10$ - hvor mange ressourcer skal Interpol så bruge for at slukke den brand.
Så du mener også at hvis 100 mennesker havde klumpet sig sammen, så man ikke kunne komme ind ad døren til Nationalbanken, så skulle de straffes til ind i helvede?
Måske man heller burde indse at hele konstruktionen er piv hamrende gal, og dette var et statement - hvad nu når grimme fyre fra Albunien ofrer 100$ på sagen.
Vi skal se at få fokus på at få løst det problem at vi har en central gatekeeper, som det åbenbart med uhyggeligt enkle midler er muligt at lægge ned - og så kan og skal politiet selvfølgelig godt forsætte deres efterforskning, men det skal nødigt ende op i noget pladebranche lignende med at "nogen skal straffes".
Det ville nok hjælpe på forståelsen, hvis der bruges de rigtige ord. Noget er kriminelt i kraft af en lovgivning. Overtræder man loven er man kriminel - udfører kriminalitet.Selvfølgelig er det de har gjort ulovligt, og sådan er det - MEN jeg mener at det tangerer det kriminelle at Nets har lavet et system for hele landet som er så sårbart - og sagen er at de åbenbart kunne bruge et 10$ værktøj.
Det er mig bekendt ikke ulovligt at være inkompetent. Men det er klart ulovligt at lægge NEMId ned. I et civiliseret samfund forfølger man kriminelle og søger at få dem straffet. I et civiliseret samfund har man imidlertid mængder af inkompetente personer, som har afgørende indflydelse på vores dagligdag.
Jeg går også ind for, at der skal sættes kompetente folk til at lave en intelligent afløser for NemId. Og hvem er det nu liiige der bestemmer sådan noget?
Så du mener også at hvis 100 mennesker havde klumpet sig sammen, så man ikke kunne komme ind ad døren til Nationalbanken, så skulle de straffes til ind i helvede?
Måske ikke ind i helvede, men ja hvis det er en ulovlig (magt-)demonstration, så skal det da selvfølgelig straffes hvis anklagemyndighederne finder det strafbart (og domstolen er enig).
Men det ændre ikke på, at jeg har virkelig svært ved at se at man kan forsvare et angreb mod NemID uanset hvordan NemID så måtte være skruet sammen - hvis det kan straffes med op til 6 års fængsel, så er vi altså lidt ud over drengestreger.
Men straffen skal selvfølgelig ikke stå alene - Nets og digitaliseringsstyrelsen bør være forpligtet til at træffe de tekniske foranstaltninger for at NemID ikke så nemt kan lammes som det har været tilfældet, og ja det kan være at man ender med et total redesign af systemet.
Hvad har de opnået?
At hele debatten herfra drejer sig om relativt trivielle sikkerhedsting ang. NemIDs oppetid og ingen interesseret sig for de egentlige designmæssige problemer i NemID?
Jeg er ikke tilhænger af DDoS som aktionsmetode, men det de har opnået er at vi nu har tilføjet endnu flere punkter til listen over #fail i NemID systemet. Der er mange søm i ligkisten til NemID og indsats har så vidt jeg kan se disse følger.
Enhver snak om at man skal bruge X*1000kr for at lægge NemID ned er nu underbygget med praksis. Det er endda underbygget at selvom det havde været angreb for nyligt så har NemID systemet ikke modtaget kærlighed nok til at modstå et nyt angreb.
Så 1) NemID ER sårbart 2) ALLE services ER reelt nede 3) Budget for angreb er i den lave ende, om det er $10, $100 eller $1000 er for så vidt ligegyldigt. 4) NemID er angrebet i Marts og nu igen - det betyder at de pt. ikke har kontrollen, hvilket i sig selv er en anelse skræmmende - hvad sker der om 14 dage? nyt angreb? hvilke konsekvenser har et angreb omkring den 1. i en måned.
Der er yderligere nogle afledte følger: Fra @divinegod på twitter "@version2dk @kramse nordea's nødløsning er langt mere brugbar og virker uden problemer på alle platforme."https://twitter.com/kramse/status/322385462960480256 - NemID kan ikke fejle ret meget mere, det er så broken et system at politikerne snart må tage det op!
Min ønskeseddel er at NemID viser at de gør noget konkret for at sikre fremadrettet og at politikerne stiller krav til at dette system ikke blot hænger på en lokation, et netværk osv. Reg cloudflare blogs så har de 14 datacentre og NemID burde nok beefe deres system op - hvilket yderligere besværliggøres af at der er noget special hardware som har MINE nøgler osv. osv. #fail * 1000
PS Jeg skal forøvrigt understrege at jeg intet har at gøre med angrebet ej kender disse persone - just for the record. Jeg ønsker heller ikke at vide hvem det er, og mht. at holde foredrag eller hjælpe NemID gør jeg gerne dette, men så bliver det med fortrolighed og derved ville jeg afskære mig fra at udtale mig ret meget mere om det ... så nej tak.
»<@s0x> Lad os bare sige at en såkaldt "booter" til 10$ kunne hive serveren ned. 10$!«
Ifølge https://krebsonsecurity.com/2012/08/booter-shells-turn-web-sites-into-weapons/ så er en booter bare en enkelt maskine?
På den anden side så skriver DanishLulzTeam lidt vagt nedenfor nedenfor at han ikke forstår præcis hvad han har gjort:
Hvor stort et botnet der rent faktisk skulle til, ved angriberne dog ikke:</p>
<p>»<@s0x> Det har jeg ikke lige styr på, jeg brugte en såkaldt "booter", for at øge sikkerheden for mit vedkommende ;)«
Så som jeg læser det, så bestod angrebet bare af en enkelt afsender-maskine? Som selvfølgelig sendte SYN-pakkerne med spoofede afsenderadresser, som en SYN-flood jo består af.
Så betyder "øge sikkerheden for mit vedkommende" at han kunne have sendt SYN-pakkerne direkte fra hans hjemme-maskine, i stedet for fra en enkelt overtaget maskine som han købte adgang til?
Jeg føler mig på ingen måde lammet eller sendt i sort. Mine indkøb kører fint, og selv netbank knalder derudaf, og har gjort uden problemer. Er det endnu en af disse "katastrofen lurer, måske er der en skjult vulkan under DIT hus!" artikler?
Ved ikke helt om du snakker NU eller i går? da, dette er sket i går morgen.
Du skal ikke komme og sige, at du kunne bruge NEMID hele morgen i går uden problemer... med mindre du definere morgen som efter kl 12 :/
NemID var helt nede i par timer, og så var der 2-3 timer, hvor det kørte ustabilt, hvor vise banker var gået over til en anden login system (så som nordea)
Jeg føler mig på ingen måde lammet eller sendt i sort.
Mine indkøb kører fint, og selv netbank knalder derudaf
Det er jo fint for dig. Der er folk derude, der tabte penge i går. Nogle endda mange penge.
At du (og andre) ikke er i stand til at se ud over din egen lille bitte dagligdagssituation, er årsagen til, at vi ender op med løsninger som NemID til at begynde med.
https://quantumbooter.net//login.php?view=monthly#monthly
Er bare en af de services, jeg har fundet, der "stress-tester" en service, som i dette tilfælde jo så ikke er ens egen...
Hvilken straf kunne disse "hackere" risikere at få bliver de fanget?
Er NemID det man kan kalde for vital infrastruktur (uanset holdninger til Nets, DanID papkort osv.), og er det så at sidestille det med et terrorangreb, hvorved "hackeren" kan risikere en betydelig hårdere straf end han måske lige forventer?
Jeg ser ikke denne slags angreb som nogen hjælp for frihed på internettet - tværtimod ser jeg det her som en oplagt mulighed for myndighederne til at stramme op om de friheder vi tager for givet i dag. Tror DanishLulzTeam at dette vil resulterer i mindre overvågning på nettet?
Denne slags tåbeligheder skader langt mere end de gavner, og resultatet bliver det stik modsatte af hvad "hackerne" bag kl.dk og NemID håber at opnå, og dermed opnår de intet positivt. Jeg tager afstand til deres handlinger.
Jeg vil mene at NemID er et så samfundskritisk informationssystem at Straffelovens §193 finder andvendelse:Hvilken straf kunne disse "hackere" risikere at få bliver de fanget?
§ 193. Den, der på retsstridig måde fremkalder omfattende forstyrrelse i driften af almindelige samfærdselsmidler, offentlig postbesørgelse, telegraf- eller telefonanlæg, radio- eller fjernsynsanlæg, informationssystemer eller anlæg, der tjener til almindelig forsyning med vand, gas, elektrisk strøm eller varme, straffes med bøde eller fængsel indtil 6 år.
Et forsvar kunne måske spille på at DanID er så inkompetente at de ikke lever op til almindelig praksis for beskyttelse af samfundskritiske systemer. I så fald kunne man måske forhandle sig ned til "grov uagtsomhed" som kun har en strafferamme på 6 måneder.
Overtrædelse af §193 er en af de handlinger der jævnfør §114 kan "opgraderes" til terrorisme med en strafferamme på livstid. For §193 kræver det dog at handlinger bringer menneskeliv i fare eller forårsager betyderlige økonomiske tab. Hvis gruppen stopper nu tror jeg ikke at dette krav er opfyldt, ved et langvarigt angreb kan man dog begynde at overveje det økonomiske perspektiv.
Hvorvidt en handling kan betegnes som terrorisme beror på en motivanalyse. Hvis motivet simpelthen bare er at fremkalde forstyrleser ("fordi vi kan!") er det ikke terror. Jeg tror at det er sådan motivet vil blive fremlagt både af anklager og forsvarer.
Generelt tror jeg ikke at et angreb isoleret mod NemID med mindre at angriberen truer med gentagelser med mindre Staten opfylder en række krav som falder ind under betingelserne i §114.
Hej Derude,
Jeg er efterforsker og har sigtet folk for DoS angreb.
Lad mig slå fast, det er dommeren der dømmer og der er ikke så megen retspraksis på området endnu.
Det to paragraffer i straffeloven, som kan komme på tale med hensyn til Dos/DDoS angreb:
§293, stk. 2. I princippet kan enhver der fx ved DoS/DDoS angreb hindre dig eller mig i at råde over en computer sigtes for dette. Strafferamme 1 år.
Strafferammen er dog 2 år, hvis det er af systematisk eller organiseret karakter.
Hvis fx. en gruppe står bag, vil de ganske givet blive sigtet jf. systematisk og organiseret.
Den næste paragraf er §193, det er at fremkalde omfattende forstyrrelse i driften af almindelig informationssystemer. Strafferamme 6 år. Man kan læse om baggrunden:
De anførte udtryk ”omfattende forstyrelse af driften” og ”almenskadelig karakter” angiver, at der må anlægges en kvantitativ vurdering af angrebets omfang. Man må formentlig herved lægge afgørende vægt på størrelsen af den personkreds, der berøres af angrebet. Forbrydelsen får denne almen-skadelige karakter f.eks. hvis et af storbankernes centrale dataanlæg helt sættes ud af funktion, eller hvis f.eks. en tilsvarende lammelse af stats-skattedirektoratets centrale dataanlæg fremkaldes. Derimod vil en lammelse eller betydelig driftsforstyrrelse af en bankfilials eller et skattekontors dataterminal ikke være omfattet af straffelovens § 193, da virkningerne af driftsforstyrrelsen i disse tilfælde ikke antager den almenskadelige karakter, som bestemmelsen forudsætter
Jeg fik forevist en dom fra 2002 i går, hvor en blev dømt for DoS angreb jf. §193. Juristen der viste mig den er her ikke nu. Men han blev dømt for noget mindre (i mine subjektive øjne) en Nem-ID, staffen er en betinget tidsubestemt straf.
Personen/personerne bag Nem-ID angrebene ville ganske givet blive sigtet for §193.
Det er sådant, politiet sigter folk. Når sagen så er færdig efterforsket fremsendes den til juristerne, som beslutter om der skal rejses tiltale og for hvad (det er ikke nødvendigvis det som politiet har sigtet for). Men i sidste ende er det dommerne der dømmer og derfor er det svært at sige hvad slut resultatet vil blive.
Hvis jeg stod med gerningsmændene ville sigtelsen lyde på §193. Jeg skønner jf. beskrivelse, tidligere dom at Nem-ID er et meget vigtigt samfunds informationssystem, hvor en tilstrækkelig stor personkreds har været berørt at angrebet.
Årsagen til at jeg skriver her er ikke at jeg ellers vil blande mig. Men har ofte følt, at der er behov for at melde ud, at på anmeldelsestidspunktet tages dette meget alvorligt og det er alvorlige sigtelser, som gerningsmænd vil blive præsenteret for. Så må den videre behandling af sagen godtgøre om det var det rigtige udgangspunkt.
Nu gik de 10$ til bots, og ikke VPN. Hvis du kan betale en 3ede part 10$, give dem en ip, og lade dem gå amok... så er det sku skidt
Uden at jeg er den store firewall-ekspert, så vil jeg nok starte med at kigge på ovenstående DNS-adresse.
Hvad med en række tilfældige subdomæner i stedet for applet.danid.dk. Når NemID-siden downloades, så skal der dynamisk styres, så der peges på et blandt mange subdomæner. Når NemID er under angreb, så kan nye subdomæner tages i brug. Måske er det endda nemmere at bruge ip-adresser for at undgå konfiguration og overhead vedr. DNS.
Nu er der jo ikke DNSSEC på danid.dk, så det ville næsten være lettere hvis bare ISP'erne fiflede lidt med DNS så applet.danid.dk pegede på en lokal cache. SSL siger I? No problem, om ikke andet så faker vi bare også en TLSA record...eller anycast
Det overrasker mig mest, hvor lidt Nets havde gjort for at stoppe det. At der skulle gå flere timer inden de kunne "stoppe" angreb. Og en del server har efterhånd fundet ud af, at DDoS er den letteste måde at få server til at gå ned på... og derfor har fået en del selvforsvars mekanismer i sig, for at reager på ting som disse. At Nets ikke har det... er bare tåbelig. Man skulle tro at deres server køre på en windows 98 maskine...
Hvis det er på grund af inkompetence, skal denne nede tid vel også tælles med i statistikker og opgørelse af en evn. bod.
Men omvendt kan man sige, hvis oplysningerne er rigtigt, at hvis de have sat det rigtige flag i FW, så have vi ikke hørt om angrebet, men så have der gået et stykke tid, og en anden type af angreb ville have lagt Nemid ned. Og hvis oplysninger er rigtigt, kan men 10 double angrebet for 60 dollars.
Men omvendt kan man sige, hvis oplysningerne er rigtigt, at hvis de have sat det rigtige flag i FW, så have vi ikke hørt om angrebet, men så have der gået et stykke tid, og en anden type af angreb ville have lagt Nemid ned.
Og hvis oplysninger er rigtigt, kan men 10 double angrebet for 60 dollars.
Hvad skulle disse såkaldte selvforsvarsmekanismer dog være, sådan helt konkret?
Hvad skulle disse såkaldte selvforsvarsmekanismer dog være, sådan helt konkret?
Denne her artikel er god: https://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_9-4/syn_flooding_attacks.html
Jeg er ikke ekspert, men min forståelse baseret på den artikel er her:
Som jeg forstår det, så er løsningen at konfigurere NemID-serveren til at bruge SYN-cookies når den modtager for mange SYN-pakker. Det er bare et enkelt flag på en Linux-server som man slår til. Det betyder at NemID-serveren ikke skal opbevare nogen state, så dens state-tabel bliver ikke overbelastet (hvilket er hvad en SYN-flod gør). SYN-cookies slår nogle HTTP-optimeringer fra, men er jo bedre end ingen forbindelse :).
Et alternativer er at have en dedikeret firewall foran, som er lavet til at sende ACKs, og som kun sender forbindelsen videre til den faktiske server hvis forbindelsen faktisk bliver oprettet. Men det er jo dedikeret hardware, og ikke bare en "sat det rigtige flag i FW".
Et andet alternativ er at beskytte sig mod IP spoofing ved at lave ingress filtering, men det er vist kun noget man kan hvis man er en stor ISP.
Hive netværkskablet ud, lader det til...:)
Hive netværkskablet ud, lader det til...:)
Haha ja det var en mulighed. Jeg tænkte, at selvforsvar kunne var en form for modangreb ;)
Min pointe er, at angrebene ikke behøver at sigte efter åbne services i firewallen, for at opnå denial of service.
Firewallen, eller din Internet transit er jo også potentiel flaskehals, og så er det jo nemt at kalde dem tåbelige fordi de ikke har 1000 gange overkapacitet.
Nogen hos NETS burde vist hyre Henrik Kramshøj til et lille foredrag om netværkssikkerhed.
Nogen hos NETS burde vist HAVE HAFT hyret Henrik Kramshøj til et lille foredrag om netværkssikkerhed - for LÆNGE siden! Træt. Så træt.