It-ordfører: Alarmerende let at vælte NemID

12. april 2013 kl. 10:4423
It-ordfører: Alarmerende let at vælte NemID
Illustration: Folketinget.
Torsdagens DDoS-angreb, som lammede NemID i timevis, kostede 10 dollars at gennemføre. Politikere vil nu have strammet sikkerheden.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Det var ikke en stor, international organisation, som stod bag DDoS-angrebet mod den nationale login-tjeneste NemID torsdag, men to unge fyre, der blot ville demonstrere, hvor lidt der skulle til for at skabe digital ravage i timevis.

Og den afsløring finder Dansk Folkepartis it-ordfører, Dennis Flydtkjær, der er uddannet datamatiker, ’alarmerende’.

»Det er alarmerende, at det er så nemt at gennemføre sådan et angreb. NemID bliver jo et mere og mere kritisk knudepunkt for Danmark. Ud over bankerne bliver der jo flere og flere offentlige hjemmesider, hvor det er nødvendigt at bruge NemID,« siger han til Version2.

Han nævner som eksempel det kommende lovforslag, der vil gøre digital selvbetjening til eneste mulighed på 20 nye områder, blandt andet i forbindelse med begravelser.

Artiklen fortsætter efter annoncen

Også fra den anden ende af Folketingssalen bliver NemID-løsningen kritiseret for ikke at kunne modstå et angreb af den omtalte kaliber.

»Når det er et krav fra det offentlige side, at man skal bruge NemID for eksempel til Digital Post, må man også som minimum forvente, at finansministeren og Digitaliseringsstyrelsen stiller nogle meget skrappe krav til de løsninger, man tvinger alle til at bruge,« siger Stine Brix, it-ordfører for Enhedslisten, til Version2.

Hun har flere gange tidligere stillet kritiske spørgsmål om NemID til finansminister Bjarne Corydon (S), som er politisk ansvarlig for projektet. Men uden meget held.

»Det er bestemt ikke første gang, at der har været sikkerhedsproblemer med NemID, men eneste reaktion fra ministeren har været, at han gang på gang afviser, at der skulle være nogen problemer. Hvis det skal blive bedre, kræver det jo, at finansministeren og Digitaliseringsstyrelsen erkender, at der er brug for højere sikkerhed for NemID,« siger hun.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Alle folketingets it-ordførere har næste fredag et møde med Nets DanID, der driver NemID. Her vil firmaet fortælle om løsningen, mens it-ordførerne har en stak kritiske spørgsmål med. For eksempel ønsker Dennis Flydtkjær nu overblik over, hvor godt rustet Nets DanID er mod DDoS-angreb.

»Det er værd at få undersøgt nærmere, om der er brug for mere kapacitet eller højere sikkerhed. Det kan også være, at det er svært at gøre noget ved DDoS-angreb,« siger han.

De DDoS-angreb, der har været mod NemID på det seneste, drev over eller blev ’nedkæmpet’ på et par timer. Men omvendt har det tilsyneladende også været meget begrænsede ressourcer, der skulle til for at få skabt ballade. Et mere seriøst angreb kunne derfor se anderledes ud.

»En stor, fremmed magt - for eksempel Kina - kunne jo nok lægge NemID ned i dagevis,« siger Dennis Flydtkjær.

Version2 har prøvet at få en kommentar fra finansminister Bjarne Corydon, men hans pressechef henviser til embedsmændene i Digitaliseringsstyrelsen.

Fokus
Emner
23 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
23
Lars Skovlund
13. april 2013 kl. 20:13

Problemet er vel, at man har tre aspekter der griber ind i hinanden: Sikkerhedsniveau, brugervenlighed og (politisk) ambitionsniveau. Det er min klare opfattelse, at det vi er vidne til er en variation af ingeniørens trekant (good, cheap, fast - pick any two). Man har politisk valgt at sætte ambitionsniveauet højt, så må forventningerne til en af de andre parametre nødvendigvis slækkes. Hvad vil vi helst slække på? - jeg stemmer for at sænke ambitionsniveauet til fordel for resten.

  • more_vert
    • insert_linkKopier link
22
Robert Voje
13. april 2013 kl. 20:05

Jeg savner alternativer her, alle har en negativ vinkel imod NemID, men har I noget at komme med som er bedre (og sikkert)?

  • more_vert
    • insert_linkKopier link
24
Torsten Hagemann
14. april 2013 kl. 00:49

Robert, det emne har været diskuteret mange gange og ganske indgående på Version2, se fx https://www.version2.dk/blog/problemet-med-nemids-generelle-sikkerhed-43480 for en del information, bl.a. også om alternativer. Der er flere andre gode artikler og ikke mindst debatter om emnet. Og PHK besvarer tildels dit spørgsmål på forkant her https://www.version2.dk/blog/nemid-i-langsom-gengivelse-15893 (ok, det er nogle år siden, men han forudså ret pænt hvad du tænkte på).

  • more_vert
    • insert_linkKopier link
21
Markus Hens
13. april 2013 kl. 09:34

Bortset fra sårbarheden mod DDoS, kører NemId ikke stadigvæk uden DNSSEC, på en TLS-version der er både sårbart overfor BEAST, CRIME og den seneste angreb på RC4 og hvornår får vi hele kodebasen til peer-review?

  • more_vert
    • insert_linkKopier link
18
Michael Nielsen
12. april 2013 kl. 17:58

Havde de lytte til kritikken der startede FØR NemID blev gennemtvunget, var dette angreb ikke muligt.

Men vi har nogle politikere som er mere interesseret i at skabe privat monopoler, og bruge mange penge på at genopfinde det firkantede hjul.

  • more_vert
    • insert_linkKopier link
14
Benjamin Balder
12. april 2013 kl. 15:45

Dette står i pressemeddelsen fra DanishLulzTeam:

Vi vil gerne pointere over for jer at vi IKKE er 12-årige "script kiddies" som har købt adgang til et simpelt værktøj på nettet til 10$

Så nu har de BÅDE udstillet, at det står RIGTIG skidt til inden for den danske journalist-stand, OG at NemID er noget lort :)

Historien er self. gået alle medier rundt, selvom der står helt eksplicit, at de ikke har brugt $10 (eller 50 kr).

  • more_vert
    • insert_linkKopier link
16
Lars Bengtsson
12. april 2013 kl. 16:25

Historien er self. gået alle medier rundt, selvom der står helt eksplicit, at de ikke har brugt $10 (eller 50 kr).

Ja, ja, der står $10. Men det var til et værktøj. Et værktøj og en booter er ikke det samme. Så det er ikke i modstrid med artiklen her på v2, det står på pastebin.

En booter er vist en inficeret webserver, og webservere har som regel bedre netværkshardware end en normal PC.

Så selv "høns og fjer".

  • more_vert
    • insert_linkKopier link
17
Benjamin Balder
12. april 2013 kl. 16:36

Ah yes, "IKKE" skal henvise til "værktøj". Men på trods af fejlen, har de godt nok medie-tække mht. at gøre historien tilgængelig. Jeg kan bedst li' JPs version, hvor dollarkursen er korrekt udregnet... "NemID lagt ned for 57 kr." :D

  • more_vert
    • insert_linkKopier link
10
Slettet bruger
12. april 2013 kl. 13:50

Enig, men vil foreslå, at Dennis Flydtkjær benytter et Pippi Langstrømpe eksempel til at forklare de respektive IT - ordførere sagens alvor ;-D

  • more_vert
    • insert_linkKopier link
12
Peter Mærsk-Møller
12. april 2013 kl. 14:17

Enig, men vil foreslå, at Dennis Flydtkjær benytter et Pippi Langstrømpe eksempel til at forklare de respektive IT

Helst ikke. Rigtig mange på Borgen mener at følgende Pippi Langstrømpecitat er ganske vidunderligt.

Det har jeg ikke prøvet før, så det kan jeg godt

Gæt selv hvilke fraktioner, der foretrækker at bruge Pippi Langstrømpe til at retfærdiggøre deres synspunkter.

Visse beslutningstageres fascination af citatet kan være en medvirkende årsag til resultatet så som Polsag, Amanda og IC4 men også igangsættelseskatastrofen af den digitale Tinglysning.

  • more_vert
    • insert_linkKopier link
9
Claus Winther
12. april 2013 kl. 13:38

"Alarmerende let" og "massivt" harmonerer bare godt...

  • more_vert
    • insert_linkKopier link
8
Slettet bruger
12. april 2013 kl. 12:59

Jeg kunne da ikke komme på hele dagen - altså mere end bare "et par timer". Simpelthen for dårlig sikkerhed. ;o( Per

  • more_vert
    • insert_linkKopier link
6
Sune Foldager
12. april 2013 kl. 12:43

Som angiveligt kostede $10 at gennemføre. Det er altså hear-say direkte fra en af parterne (igen angiveligt).

  • more_vert
    • insert_linkKopier link
7
Jens Schumacher
12. april 2013 kl. 12:58

Siden artiklen som postulerede 10 dollars kom har jeg tjekket priser på diverse booters (mest fordi jeg overvejede at lave et angreb på mig selv). Prisen på 10 dollars ser faktisk ikke urealistisk ud.

  • more_vert
    • insert_linkKopier link
11
Sune Foldager
12. april 2013 kl. 14:09

Siden artiklen som postulerede 10 dollars kom har jeg tjekket priser på diverse booters (mest fordi jeg overvejede at lave et angreb på mig selv).
Prisen på 10 dollars ser faktisk ikke urealistisk ud.

Javist, men $10 for hvad? Hvad får du adgang til der? En maskine er jo næppe nok til det her. Man får jo nok ikke adgang til et helt botnet for $10.

Edit: Tak til downvoters for at poste en 100% faktuel kommentar om kildekritik :).

  • more_vert
    • insert_linkKopier link
5
Jørgen Elgaard Larsen
12. april 2013 kl. 12:31

Som datamatiker burde det ikke være en alarmerende afsløring for Dennis Flydtkjær, at et single point of failure er sårbart overfor DoS-angreb.

Men det kan måske være svært for ham at forklare det til regeringens IT-ordførere...

  • more_vert
    • insert_linkKopier link
4
Jan Ulrich Jensen
12. april 2013 kl. 12:23

Det er for usikkert at tvinge både banker, A-kasser og diverse offentlige myndigheder til at bruge det samme system. Det er alt for nemt og billigt at lægge "det digitale Danmark" ned. Fagfolk har påpeget det fra starten, men politikerne har stort set ingen IT-kundskaber. Borgerne bør have ret til at aflevere oplysninger til fx Skat og A-kasse i papirform, så længe den digitale løsning er så dilettantisk. Det er OGSÅ en slags VELFÆRD. Bankerne burde konkurrere indbyrdes om den bedste digitale løsning til netbank mv. - som de gjorde før NemID. Små nye online-børshandelsfirmaer som Nordnet og Saxo Privatbank har begge bedre og sikrere systemer end NemID.

  • more_vert
    • insert_linkKopier link
2
Kaare Kyndal
12. april 2013 kl. 11:57

"Politikere vil nu have strammet sikkerheden."

Hvad med at skrotte denne falitløsning og lave noget ordenligt!!

Noget som ikke er direkte pinligt for Danmark!

  • more_vert
    • insert_linkKopier link
20
Finn Christensen
13. april 2013 kl. 06:15

For eksempel ønsker Dennis Flydtkjær nu overblik over, hvor godt rustet Nets DanID er mod DDoS-angreb.

Dennis, hvis du fik noget ud af uddannelsen som Datamatiker, ved du sikkert at det ikke nytter at spørge/lappe/rette hvis grundproblemet er et andet eller konstruktionen født forkert

Der skal en anden løsning til, da den centrale tanke er et misfoster.

Brug hellere spørgetiden til at kræve tidshorisont for anden ny løsning lavet fra bunden af for den offentlige del af systemet - (bankernes del.. glem dem, de kan lege i deres verden som de vil).

Kræv en tidsplan for denne nyudvikling og etablering etc. og se blot, at en anden løsning er alt for mange år frem i tiden, før den er gennemført!

Her er det problematiske og det spørgsmål, som er vigtigt, og ikke Nets forsikringer om nuværende lappescenarie. Vi kan altså ikke 'lige' magte eller 'ordne' det her nye problem, ej heller de næste som kommer, da de alle er bundet til en og samme grundliggende fejl - en eneste flaskehals, et eneste angrebsmål = den centrale nøgle.

Hvad med at skrotte denne falitløsning og lave noget ordenligt!!

@Kaare Kyndal Ja da, og hurtigst muligt. Men det kræver jo nogle mennesker på tinge, der ikke lader sig købe eller besnakke. It og politik er som fjerntliggende galakser - fagområder der faktisk intet som helst har fælles, så enhver med lidt politik i maven kan man trække rundt ved næsen.

...og de få på tinge, der har en fornemmelse af problemet, har nok ikke hår på brystet.

  • more_vert
    • insert_linkKopier link
3
Allan S. Hansen
12. april 2013 kl. 12:22

Hvad med at skrotte denne falitløsning og lave noget ordenligt!!

Der er desværre for meget politisk prestige i den nuværende løsning at jeg tvivler på mange af de besluttende politikere har interesse i at vende rundt nu.

Mange af de argumenter der blev brugt for NemID da det skulle udvikles og indføres var allerede problematiske og misvisende. Java-sårbarheden som en af de største, hvor argumentet var at i modsætning til DigitalSignatur så betød det ikke noget hvis brugerens computer blev kompromitteret hvis der blev benyttet NemID.

Vi er fanget i NemID i mange år endnu, og på et senere tidspunkt vil det være for sent fordi for meget er bundet op på NemID. Bare se på hvor afhængige vi er af CPR registeret.

  • more_vert
    • insert_linkKopier link