Chokerede it-ordførere: Hvorfor kommer DDoS-angreb bag på Nets?

Skuffende, chokerende, bekymrende. It-ordførere fra Venstre og Dansk Folkeparti er stærkt utilfredse med at Nets først i år begyndte arbejdet på et DDoS-værn.

Politikere på Christiansborg raser over, at NemID-infrastrukturen i over to år har været sårbar over for DDoS-angreb som dem, der har lagt tjenesten ned flere gange i januar, februar, marts og april 2013. Først da angrebene var en realitet, har leverandøren Nets oprustet mod denne type angreb.

Læs også: Gerningsmænd bag angreb afslører: NemID sendt i sort for 10 dollar

»Det er skuffende, at det først er to år efter, NemID sættes i drift, at man begynder på et værn mod DDoS,« siger Dennis Flydtkjær, it-ordfører i Danske Folkeparti, til Version2, og fortsætter:

»Nogle af it-ordførerne havde et møde med Nets for et par uger siden, og her virkede det ret tydeligt som om, man slet ikke havde overvejet den sikkerhedsrisiko før, ligesom Digitaliseringsstyrelsen ikke havde noget nødberedskab. DDoS er ikke en ny opfindelse, og derfor er jeg meget overrasket over, at man slet ikke rigtig har brugt tid på det før nu.«

Læs også: Oppositionens ramaskrig: Manglende NemID-nødløsning fuldstændig uacceptabelt

Ansvaret ligger hos Digitaliseringsstyrelsen, lyder kritikken fra Dennis Flydtkjær.

»Det mest kritisable er Digitaliseringsstyrelsen, der som tovholder har bestilt varen. De burde sætte nogle krav ind som forhindrede, at man ikke havde forberedt hverken et DDoS-værn eller et nødberedskab,« siger Dennis Flydtkjær til Version2.

Dermed ligger Dennis Flydtkjær på linje med Version2-blogger Poul-Henning Kamp, der kort efter Version2's afsløring af gerningsmændendes metode skrev:

»Skandalen med DOSangrebet på NemID er ikke at det kun koster $10 at lægge NemID ned. Skandalen er at ingen af de mange, der efter sigende har været ind over kvalitetskontrollen af NemID, havde fantasi til at bruge $10 på opgaven«.

Nu ved vi, at det tog flere år fra NemID blev lanceret, til Nets begyndte at tænke på at iværksætte et DDoS-værn. Derfor frygter Dennis Flydtkjær at der er andre områder, som heller ikke er helt gennemtænkte.

»Det er umuligt fra min stol at gennemskue, om Nets har styr på det eller ej, men det er alarmerende, at de ikke har haft styr på DDoS før nu. Det er bekymrende at en simpel, gammel ting som DDoS-angreb ikke har været tænkt igennem. Når det er tilfældet, hvad kan der så ikke være af områder, som slet ikke er tænkt på?« spørger Dennis Flydtkjær.

Venstre dybt chokeret

Også Venstres it-ordfører Michael Aastrup Jensen er oprørt over det manglende beredskab.

»Jeg synes det er dybt chokerende, at man er blevet så overrasket over DDoS-angrebene. Det understreger behovet for en alternativ løsning, som kan træde i kraft, når NemID er nede og man arbejder på at få NemID op igen.«

Michael Aastrup Jensen synes også, det er for dårligt, at befolkningen slet ikke får at vide, at der har været DDoS-angreb mod NemID, der med sin centrale placering i digitaliseringsstrategien er et alt for kritisk punkt.

»Jeg blev meget bekymret, da DDoS-angrebene foregik i marts, og den bekymring er blevet voldsomt meget større efter omtalen på Version2 af de tidligere angreb i januar og februar,« siger Michael Aastrup Jensen og fortsætter:

»Hvis offentligheden skal have tillid til NemID og måden, det fungerer på, er det nødvendigt, at der er fuld åbenhed. Derfor må Digitaliseringsstyrelsen oppe sig og sørge for at gøre det meget klart, at det, der er sket indtil nu er fuldstændigt uacceptabelt, og samtidig melde åbent ud om de angreb, NemID rammes af.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Kaare Kyndal

"Hvis offentligheden skal have tillid til NemID" skal de starte helt forfra.

Starte med at ud udbyde opgaven igen da Nets har vist at de ikke har magtet opgaven andet end at den var "billig" ja det passer så heller ikke mere !

Første mål, kunne jo være at det skal være en digital signatur!

Andet mål, at systemet har et gram af sikkerhed!

Jamen så er vi allerede langt fremme i forhold til den stenalderløsning vi har i dag.

  • 12
  • 1
#3 Frithiof Andreas Jensen

Det er deprimerende så meget politikerne snakker om DDOS angreb.

Det lyder for det første som en lille unge der lige har lært et nyt, frækt, ord, for det andet signalerer det at DDOS er det eneste problem med NemID som man omsider har fattet eksistensen af og derfor har tænkt sig at "løse".

  • eller snarere:

En "stay the message", "NemID er en god og sikker løsning", spin-cycle starter op: Man indrømmer det mindre problem, forgiver at løse det under højlydte anstrengelser, alt imens butikken kører som altid bag en mur af propaganda, støtter af en forbedret "offentlighedslov" som sikrer at man aldrig kommer til bunds i inkompetencen og får lavet noget ordentligt!

  • 16
  • 0
#4 Jesper Frimann

@Michael Rasmussen

Jup, det er jo netop det, der er kerne problemet. Man er meget obs på at man får leveret det man har specificeret fra offentlig side, problemet er bare når det man har specificeret er noget crap. Jeg har personlig brugt alt alt for mange timer på f.eks. at overbevise folk fra Statens IT, at man måske skulle give køb på, at man havde specificeret en museumsgenstand i en specifikation, og så bruge noget nutidigt Jern, der var bedre, hurtigere, billigere men som krævede 10% flere timer at sætte op. Men stadig en besparelse i million klassen.

// Jesper

  • 5
  • 0
#6 Peter Mogensen

"Hvis offentligheden skal have tillid til NemID og måden, det fungerer på, er det nødvendigt, at der er fuld åbenhed. Derfor må Digitaliseringsstyrelsen oppe sig og sørge for at gøre det meget klart, at det, der er sket indtil nu er fuldstændigt uacceptabelt, og samtidig melde åbent ud om de angreb, NemID rammes af."

Det forstår jeg ikke. Systemet er noget hø. Det er selvfølgelig prisværdigt at vi kan tale åbent om det, men hvordan bliver det lige præcis et bedre system af det?

Det tog med at have tillid til NemID og i særdeleshed måden det fungerer på er kørt for lang tid siden.

  • 9
  • 0
#7 Kim Rasmussen

Nu sætter jeg også kigge på Cross-site scripting. Og når jeg så læser denne "nyhed", og tænker på NemID. Så stiller spørgsmålet sig. Er NemID løsningen sikret imod XSS(Cross-site scripting), når det nu ikke er sikret med DDOS angreb. Ved DDOS ligger man servicen ned, som jeg ser det og forstår det. Men med XSS kan man lave langt "farligere" ting.

Vil jeg blive anset som hacker, hvis jeg prøvet lidt simplet XSS af imod NemID?

  • 3
  • 2
#9 Ulrik Nyman

Hvordan får man gjort disse problemer interessante for den almindelige offentlighed? Hvordan forklarer man at den nuværende løsning svarer til at man ikke personligt kan underskrive et dokument og give det til en anden person, men at alt skal igennem en offentlig instans. Vi har for fremtiden virkeligt brug for et distribueret system med personlig digital signatur.

  • 7
  • 0
#10 Peter Mogensen

Jo - men man får ikke tillid til et system, blot ved at få indblik i at det er noget hø. Det får man kun, hvis det faktisk laves om, så det ikke er noget hø.

Pointen er at hvis ikke politikerne har modet og viljen til at skære igennem og kræve et ordentligt system fra A-Z, så er deres snak om hvordan de ønsker offentligheden skal have tillid til NemID kun floskler ... som så ofte i politik.

  • 1
  • 0
#11 Jesper Frimann

@Ulrik Nyman

Problemet med mangel på faglighed i de ting, som centraladministrationen (hvad vi tit kalder det offentlige) foretager sig, er jo ikke noget, der er isoleret til NemID eller digitaliseringstyrelsen.

Efter min mening er det nogle dybere liggende problemer der skal adresseres, ellers vil der bare poppe nye fiaskoer op igen og igen. Vi skal have fagligheden tilbage.

// Jesper

  • 3
  • 0
#12 Thue Kristensen

Er NemID løsningen sikret imod XSS(Cross-site scripting)

Jeg kan ikke se hvorfor NemID's egen kode skulle være sårbar over for XSS. Der er jo ikke noget JavaScript som kommunikerer med omverdenen, eller noget input til JavaScript, så ingen mulighed for XSS i NemID.

Hvis der er XSS-huller i sider som NemID ikke kontrollerer, så kan man selvfølgelig lave en falsk NemID-dialog, og det er åbenlyst et enormt potentiale for huller. Det behøver ikke engang at være sider med en NemID-dialog, men bare sider hvor almindelige mennesker kunne tænke sig en NemID-dialog.

Så der er uden tvivl rigtig mange XSS-huller åbne lige nu, som kan bruges til at angribe NemID. Hver gang du har en side som en bruger stoler på, med et XSS-hul, så kan den bruges til at tømme din bankkonto via NemID.

På en måde er det jo ikke NemID's problem at der er et XSS-hul på herlevbibliotek.dk, som blev brugt til at lave en falsk NemID-dialog, som blev brugt til at tømme din bankkonto. Men dette er jo kun et problem fordi Nets ikke har designet systemet så de kan sige til kunderne "indtast kun dit password på https://nemid.nu". Så man kan fint sige at det er NemID's problem.

  • 7
  • 0
#14 Kenn Nielsen

Jeg frygter at politikere har signaleret til DanID at 'lige nu' ville være et godt tidspunkt at bekende på , og at de kunne garantere buissness as usual uanset hvad der måtte blive sagt i medierne.

Fordelen for politikerne er dobbelt og åbenlys: De får lov til at profilere sig, ved at virke 'rystede'. Samtidigt 'binder' de den fagkundskab til kritik af NemID som ellers ville have haft mere energi til at tale mod offentlighedsloven.

K

  • 4
  • 0
#15 steen jensen
  • Enig, i at systemet som sådan, er forældet, umoderne og åbenbart for nemt at phishe, hacke, og DDoS'se - Så tænk på nogle af de andre forældede "Statsprojekter" der er oppe i tiden - hvis de ansvarlige på noget så samfunds-vigtigt som NemID-infrastrukturen ikke er optimalt opmærksomme på sikkerheden, hvad så med eks. Rejsekortet.. "PIP.. du er ikke tjekket ind" og der er sikkert også andre sager.
  • 1
  • 0
#16 Finn Christensen

Hvordan får man gjort disse problemer interessante for den almindelige offentlighed?

Var allerede sket, hvis der kendes en nem og anvendelig løsning Ulrik.

Næsten samtlige i folketinget samt ministre mangler viden eller forudsætninger for at fatte situationen, og ligeledes gider medier/journalister med samme mangler ikke famle sig gennem en ukendt verden.

Nets + NemID er simpelthen ikke nemt at sælge, før 'barnet' - som man siger - er kørt ned, og så er det for sent.

Vi så kun lidt interesse for sikkerheden ifm. franarrede koder, hvor der blev hævet beløb og nu senest her DDoS, hvor brugerne konstaterede driftsproblem. Det hele bliver desværre glemt igen i løbet af et par uger.

Men hvad hvis der sker et usynligt misbrug af NemID, f.eks. at der stjæles følsomme oplysninger fra offentlige registre, så opdager borgerne det overhovedet ikke - og tyvene kunne jo aldrig drømme om at fortælle det!

(Oplysninger fra skat, helbredsoplysninger og de utallige andre oplysninger hos stat og kommune, der er adgang til via brug af NemID).

Når man stjæler en kopi af tekst, så det er helt usynligt da intet mangler, og den type tyveri kan jo fortsætte over mange år indtil nogen tilfældigvis opdager det.

  • 4
  • 0
Log ind eller Opret konto for at kommentere