NemID nede igen: Ny bagmand, ny metode bag angrebet

16. april 2013 kl. 15:3728
For fjerde gang på kort tid er NemID under angreb. Angiveligt står ingen af de hidtidige angribere bag
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

NemID er nede. Igen.

Endnu en gang er det danske såkaldte hacktivister, der angiveligt forsøger at sætte fokus på den manglende sikkerhed i NemID-løsningen ved at udsætte tjenesten for et Distribueret Denial of Service-angreb, som også går under navnet DDoS.

Det fremgår af den chat-samtale, Version2 har ført med en person, der påstår at stå bag angrebet, der klokken 15.10 igen skulle være overstået:

»Jeg er simpelthen en simpel dansk statsborger som er meget bekymret over at der ikke skulle så meget til for at lukke dem ned,« skriver han til Version2.

Artiklen fortsætter efter annoncen

Men mon ikke Nets allerede ved det?

»Jo det gør de, men hvis ingen bliver ved med at pointere det ud i pap for dem så ændres der intet. Det er bevidst (bevist, red.) utallige steder at der skal drastige handlinger for at skubbe nogen form for regering igang. Sådan er det i alle lande,« lyder svaret.

O.k., de trænger til at blive holdt i ørerne?

»Netop det er præcist det de gør.«

Nets og politiet ser med stor alvor på angrebene. Hvad siger du til en strafferamme på seks år for sådan noget, som du har gang i nu?

»Hvis det hjælper danmark eller andre regeringer i at få fingeren ud af gaskammeret for at få noget bedre sikkerhed op at køre så fint.«

Der er mange der er enige med dig om sikkerheden. Omvendt er der også rimelig mange, der er pissed, fordi de ikke kan komme i kontakt med banken eller lægen. Hvad siger du til dem?

»Ja det er meget beklageligt at det også går udover den almindelige borger som gerne vil ind og se deres bank informationer, skat informatoiner osv.«

Kan du forklare, hvordan din metode er anderledes end s0x/d0wn (de to, som påtog sig ansvaret for at lægge NemID ned i sidste uge, *red.)?*

»Den er praktisk talt ens bortset fra at de gik på nettet på en side som mange mange kender, og som også bliver overvåget, men de brugte en booter, jeg bruger et botnet.«

28 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
25
17. april 2013 kl. 09:20

Der er mange der er enige med dig om sikkerheden. Omvendt er der også rimelig mange, der er pissed, fordi de ikke kan komme i kontakt med banken eller lægen. Hvad siger du til dem?

Mht. kritikken af NemID, så er det nok en misforståelse at tro at "mange er enige" med den fyr om sikkerheden. Kritikken af sikkerheden i NemID angår ikke om NemIDs servere kan holde til et DDoS angreb eller ej. Det har intet med sagen at gøre. Problemet ligger i den sidste del: At man er tvunget til at bruge et system man objektivt set ingen grund har til at stole på til både at gå i banken og gå til lægen. Det løses ikke ved at DanID bliver "holdt i ørene" ang. sikkerheden overfor DDoS angreb. Det er totalt at afspore diskussionen om de virkelige problemer ved NemID at demonstrere hvor nemt man kan lave DDoS imod den nuværende installation.

19
16. april 2013 kl. 21:53

Lige nu kører det ikke særligt stabilt. Appletten loader kun ca hver anden gang. Pænt frustrerende når man forsøger at gennemføre en stak betalinger og så den fejler hver gang man forsøger at godkende. Og om igen forfra..... Banken har fejlmeldt til Nemid - men ifølge Nemid.nu, driftsstatus er alt ok.

Det må siges at være mod bedre vidende. Nå - jeg prøver igen i morgen.

15
16. april 2013 kl. 21:13

Det største problem synes jeg nu er at identitetstyverier øjensynlig slet ikke er på politikernes radar. Netop fordi sider med vidt forskelligt misbrugspotentiale, som du siger, nu partout skal dele login. Det er i grunden bare at sætte sig ned med de forskellige lovforslag om tvangsdigitalisering, og se hvilke services der kan bruges - evt. i kombination. Derefter MitM.

Det kan godt være at staten lider lidt under NemIDs utilgængelighed. Hvis en borger bliver fanget i et identitetstyveri vil jeg påstå at det er så meget desto værre for vedkommende. Held og lykke med at få omgjort evt. registreringer som en sådan tyv kan have lavet i dit sted.

11
16. april 2013 kl. 19:36

Det ville klæde DanID at sætte skub på udviklingen og udrulningen af NemID på hardware, så vi hver især får vores private nøgle og personcertifikat i hånden. Det muliggør en distribueret løsning, hvor de enkelte tjeneste-udbydere kan bekræfte login uden behov for, at DanID centrale systemer er online. Derved bliver de it-kriminelle nødt til at udvælge de enkelte sites, som de ønsker at angibe frem for at lægge hele IT-Danmark ned på en gang. Det er netop en af de smukke ting ved PKI.

DanID har faktisk (med stor forsinkelse) introduceret NemID på hardware. Desværre er det ikke alle sites som understøtter løsningen. Løsningen er tilsyneladende heller ikke helt moden. Jeg har fx forsøgt at aktivere min token siden 29. marts uden held, idet jeg efter 30 sek. får en generisk fejlmeddelse. Det betyder også, at supporten ikke har ret meget at gå efter, hvorfor min sag nu er sendt til udviklerne. Jeg venter spændt på de finder en løsning, så jeg kan bedømme brugeroplevelsen.

Jeg tænker en stor del af dem, som har købt "NemID på HW" er at finde blandt V2's læsere. Er der nogen som har haft held til at aktivere deres NemID-HW indenfor de sidste uger? - Og er løsningen ok?

8
16. april 2013 kl. 18:31

Et eller andet geni må lave en side, hvor kan se: A) Om NemID er nede, gerne med link til artikel hvori nogen tager ansvaret. B) Samlet nedetid pga. angreb. C) Samlet pris disse angreb har kostet angriberne.

B og C ville se fine ud som en graf...

18
16. april 2013 kl. 21:28

Så skal vi alle sammen bare køre sådan en service. Så går de sikkert ned af "enormt DDoS" hehe...

20
16. april 2013 kl. 22:13

Mindre opdatering på mit "forsøg", status'en på nemid bliver skrevet til http://188.228.31.189/NemID/<år>/<måned>/ hvert minut, hver dag 00:15 bliver oppetiden regnet ud og gemt i bla/NemID/<år>/<måned>/daily.uptime .

Tallet efter "NemID is: Up" og " Up" er hvor mange forsøg det tog for at komme igennem, dog max 5 forsøg..

Så nu er punkt B også delvist færdigt :)

22
16. april 2013 kl. 22:53

Curl leverer et ret godt check af NemID (til Munin grafer):

  1. curl -s -w "time_namelookup.value %{time_namelookup}\r\ntime_connect.value %{time_connect}\r\ntime_appconnect.value %{time_appconnect}\r\ntime_pretransfer.value %{time_pretransfer}\r\ntime_redirect.value %{time_redirect}\r\ntime_starttransfer.value %{time_starttransfer}\r\ntime_total.value %{time_total}\n" <a href="https://applet.danid.dk/bootapplet/1365670758744">https://applet.danid.dk/bootapplet/1365670758744</a> -o /dev/null

17
16. april 2013 kl. 21:28

Pas nu på at du ikke laver et nyt DDoS angreb på DanID.
Deres servere virker ret skrøbelige :-)

Haha også min første tanke.

Gad vide hvad DanID ville gøre hvis vi var X-tusinde som lavede et lignende job og satte den igang.

De kan jo dårligt kalde det et DDoS hvis det bare er 10000 individer der checker om NemID er oppe eller nede.

Uanset hvad så viser dette jo blot igen igen at den der med at centralisere hele lortet så en gut med en beskeden pyt penge kan lægge én service ned (applet.danid.dk) og vupti så er hele Danmark forkrøblet sådan rent elektronisk. Ingen kan gøre noget af det, det elektroniske Danmark gerne vil så længe det står på.

Man skal vist ikke være en ret stor konspirationsteoretiker før man tænker om fremmede magter kunne tænkes at have en plan for hvordan man nedlægger et andet land elektronisk og i Danmark har vi gjort det nemt for ALLE at lægge landet ned, det er bare at jamme én server(park) så er helt lortet gået i stå.

Gad vide hvorfor militæret normalt sørger for at deres bygninger ikke alle ligger på samme matrikel.....Kunne det tænkes at det ville være ALT for let for fjenden hvis han kun skulle smide én bombe.

12
16. april 2013 kl. 20:24

det har da ikke været nede :)

JO, min bank er gået over til nød logon, med SMS. Login andet sted, afvis første gang, langsomt anden gang. Men status på Nemid, alt OK :-(

De skal da lave angrebet den 23/4, så når landmændene ikke at få ansøgt om EU tilskud.

7
16. april 2013 kl. 18:19

Det er bare ikke i orden, at vi nu skriver kl. 18:15, og at den (https://www.nemid.nu/dk-da/om_nemid/aktuelt/driftsstatus/) stadig ikke givet et retvisende billed af, at der har været problemer.

Det undre mig også stadig at der INGEN driftstatestik er for 2013.

Der er tale om en service der er købt for vores skattekroner, og som vi ikke har et alternativ til. Derfor bør der også være fuld åbenhed om hvorvidt staten faktisk får, hvad de betaler for!

6
16. april 2013 kl. 18:09

Det link kan jeg nu ikke have tillid til - da jeg ikke kunne logge ind med mit nøglekort til bl.a. min bank. Dette skete i går - d. 15/4 2013 mellem kl. ca. 18:00 til 22:00

2
16. april 2013 kl. 16:15

Og de forventes, at have styr på min adgang til bank, skat, kommune m.m.m.

  • Dét fandme IKK godt nok!!!!!! :-(
13
16. april 2013 kl. 20:26

Fuck hvor er det skræmmende at der ikke skal mere end en enkelt amatør (no pun intended - keep e´m coming, så "idioterne" bliver opmærksomme på problemet!!) til at nedlægge login til størstedelen af netbanker; samtlige offentlige sider, og en hulens masse "jeg vil også kun have nemid-login"-sider.

Det største problem for Danmark, med denne løsning, er at alt lige fra simpel selvbetjening i netbanken, er blandet sammen med login til AL selvbetjening i det offentlige, og dertil er det dét samme login på "117" mere eller mindre tilfældige og ligegyldige hjemmesider...

1
16. april 2013 kl. 16:07

DDoS ser for mig ud som om det efterhånden har nået en modenhed så selv hr og fru Danmark kan være med, - og det for blot 50 kroner til en booter.

3
16. april 2013 kl. 16:20

DDoS ser for mig ud som om det efterhånden har nået en modenhed så selv hr og fru Danmark kan være med, - og det for blot 50 kroner til en booter.

Den nye folkesport måske?

Nets bliver nødt til at gøre noget ved sikkerheden. Ingen forventer at de kan modstå alt, men et succesfuldt angreb skulle gerne koste lidt flere ressourcer end en udgift på 50 kr.

PayPal blev temmelig upopulær efter deres boybott af Wikileaks for et par år siden, og de blev udsat for det helt store DDoS show. Så vidt jeg husker lykkedes det alene angriberne at lægge PayPal's hjemmeside ned, mens det stadig var muligt at gennemføre betalinger.

5
16. april 2013 kl. 16:55

Kan godt være de er nemme at lægge ned, men vi er nogle der prøver at betale vores regninger, så måske I lige kan lade det fungere et par timer ? På forhånd tak :)

9
16. april 2013 kl. 18:32

måske I lige kan lade det fungere et par timer ?

Du er taget som gidsel i en konflikt, der omhandler en essentiel del af Danmarks IT-infrastruktur.

Smiley eller ej, så tror jeg ligesom hele ideen er at du ikke skal kunne gå i din netbank.

Måske skulle du istedet henvende dig til IT-ordføreren for dit foretrukne parti, og forklare at omtrent de samme IT-eksperter, der påpegede de fundamentale svagheder ved eValg, også har påpeget en række fundamentale (inklusive juridiske) problemer med NemID, og at hele projektet bør tages op til fornyet overvejelse.

Det kan jo ikke være rigtigt at det skal blive ved med at være en vittighed, når Danmark omtales som IT-foregangsland.

24
17. april 2013 kl. 07:45

Måske skulle du istedet henvende dig til IT-ordføreren for dit foretrukne parti, og forklare at omtrent de samme IT-eksperter, der påpegede de fundamentale svagheder ved eValg, også har påpeget en række fundamentale (inklusive juridiske) problemer med NemID, og at hele projektet bør tages op til fornyet overvejelse.

  1. Jeg har ikke noget foretrukkent parti, de er mere eller mindre allesammen temmelig uduelige.
  2. Partiernes IT-ordførerer har generelt mere forstand på kaffe end IT.
  3. Der sker ikke en skid fra eller til om jeg henvender mig eller ej - det er politik det her og handler om magt.
  4. Det var mest ment som et humoristisk indslag, men jeg tror faktisk man kommer længere med en kommentar og en smiley her (ophavsmændene bag dette stunt følger formentlig med i alle nyhederne omkring det og svælger i deres 15 min of fame) end ved at henvende mig til en random kaffe-drikkende politiker :-)
27
17. april 2013 kl. 15:07

3) Der sker ikke en skid fra eller til om jeg henvender mig eller ej - det er politik det her og handler om magt.

Der sker muligvis ikke så meget, hvis du er den eneste, der henvender sig. Men det har faktisk stor betydning, hvis der er mange, der henvender sig.

Sagen om eValg er jo netop et eksempel på, at massiv interesse for sagen og mange henvendelser, har haft en betydning.

Hvis der blot er et par enkelte organisationer, der henvender sig med advarsler, og et par leverandører, der siger, at det nok skal gå - så kan politikerne påstå, at det var uklart, hvem der havde ret.

Men hvis mange henvender sig, så er det svært for dem at bortforklare, at der var bred enighed blandt eksperterne om, at noget var galt.

Vi gør et stort arbejde i IT-Politisk Forening for at oplyse politikerne om bl.a. problemerne ved NemID. Men det er først når der er mange vælgere, der har fokus på sagen, at de skrider til handling.

Simple "me too" mails kan have en stor virkning, hvis der er mange nok.

28
18. april 2013 kl. 05:30

3) Der sker ikke en skid fra eller til om jeg henvender mig eller ej - det er politik det her og handler om magt.

Der sker muligvis ikke så meget, hvis du er den eneste, der henvender sig. Men det har faktisk stor betydning, hvis der er mange, der henvender sig.

Selv om tusinder henvender sig, hvorfor skulle det give et resultat ? Samtlige på tinge er jo valgt og kan fortsætte uanset antal henvendelser.. derfor er henvendelser overvurderet samt nær værdiløs.

Men hvis de berørte personer bliver fortalt, at der her koster stemmer og at det er en åbenlys konsekvens, så vil de fleste tage sig sammen og beregne konsekvensen (måske se på sagen).

Husk en politikers fag udelukkende er: 1) at blive valgt 2) at fortsætte på taburetten eller i partiet. NemId og andet skrammel i vores verden er ikke en politikers interesseområde.