NemID nede igen: Ny bagmand, ny metode bag angrebet

For fjerde gang på kort tid er NemID under angreb. Angiveligt står ingen af de hidtidige angribere bag

NemID er nede. Igen.

Endnu en gang er det danske såkaldte hacktivister, der angiveligt forsøger at sætte fokus på den manglende sikkerhed i NemID-løsningen ved at udsætte tjenesten for et Distribueret Denial of Service-angreb, som også går under navnet DDoS.

Læs også: Gerningsmænd bag angreb afslører: NemID sendt i sort for 10 dollar

Det fremgår af den chat-samtale, Version2 har ført med en person, der påstår at stå bag angrebet, der klokken 15.10 igen skulle være overstået:

»Jeg er simpelthen en simpel dansk statsborger som er meget bekymret over at der ikke skulle så meget til for at lukke dem ned,« skriver han til Version2.

Men mon ikke Nets allerede ved det?

»Jo det gør de, men hvis ingen bliver ved med at pointere det ud i pap for dem så ændres der intet. Det er bevidst (bevist, red.) utallige steder at der skal drastige handlinger for at skubbe nogen form for regering igang. Sådan er det i alle lande,« lyder svaret.

O.k., de trænger til at blive holdt i ørerne?

»Netop det er præcist det de gør.«

Nets og politiet ser med stor alvor på angrebene. Hvad siger du til en strafferamme på seks år for sådan noget, som du har gang i nu?

»Hvis det hjælper danmark eller andre regeringer i at få fingeren ud af gaskammeret for at få noget bedre sikkerhed op at køre så fint.«

Der er mange der er enige med dig om sikkerheden. Omvendt er der også rimelig mange, der er pissed, fordi de ikke kan komme i kontakt med banken eller lægen. Hvad siger du til dem?

»Ja det er meget beklageligt at det også går udover den almindelige borger som gerne vil ind og se deres bank informationer, skat informatoiner osv.«

Kan du forklare, hvordan din metode er anderledes end s0x/d0wn (de to, som påtog sig ansvaret for at lægge NemID ned i sidste uge, *red.)?*

»Den er praktisk talt ens bortset fra at de gik på nettet på en side som mange mange kender, og som også bliver overvåget, men de brugte en booter, jeg bruger et botnet.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (28)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Lund

DDoS ser for mig ud som om det efterhånden har nået en modenhed så selv hr og fru Danmark kan være med, - og det for blot 50 kroner til en booter.

Den nye folkesport måske?

Nets bliver nødt til at gøre noget ved sikkerheden. Ingen forventer at de kan modstå alt, men et succesfuldt angreb skulle gerne koste lidt flere ressourcer end en udgift på 50 kr.

PayPal blev temmelig upopulær efter deres boybott af Wikileaks for et par år siden, og de blev udsat for det helt store DDoS show. Så vidt jeg husker lykkedes det alene angriberne at lægge PayPal's hjemmeside ned, mens det stadig var muligt at gennemføre betalinger.

  • 11
  • 0
Jens Hojgaard

Det er bare ikke i orden, at vi nu skriver kl. 18:15, og at den (https://www.nemid.nu/dk-da/om_nemid/aktuelt/driftsstatus/) stadig ikke givet et retvisende billed af, at der har været problemer.

Det undre mig også stadig at der INGEN driftstatestik er for 2013.

Der er tale om en service der er købt for vores skattekroner, og som vi ikke har et alternativ til. Derfor bør der også være fuld åbenhed om hvorvidt staten faktisk får, hvad de betaler for!

  • 12
  • 0
Kristian Lund

Et eller andet geni må lave en side, hvor kan se:
A) Om NemID er nede, gerne med link til artikel hvori nogen tager ansvaret.
B) Samlet nedetid pga. angreb.
C) Samlet pris disse angreb har kostet angriberne.

B og C ville se fine ud som en graf...

  • 7
  • 1
Lars Lundin

måske I lige kan lade det fungere et par timer ?

Du er taget som gidsel i en konflikt, der omhandler en essentiel del af Danmarks IT-infrastruktur.

Smiley eller ej, så tror jeg ligesom hele ideen er at du ikke skal kunne gå i din netbank.

Måske skulle du istedet henvende dig til IT-ordføreren for dit foretrukne parti, og forklare at omtrent de samme IT-eksperter, der påpegede de fundamentale svagheder ved eValg, også har påpeget en række fundamentale (inklusive juridiske) problemer med NemID, og at hele projektet bør tages op til fornyet overvejelse.

Det kan jo ikke være rigtigt at det skal blive ved med at være en vittighed, når Danmark omtales som IT-foregangsland.

  • 15
  • 0
Klaus Johansen

Det ville klæde DanID at sætte skub på udviklingen og udrulningen af NemID på hardware, så vi hver især får vores private nøgle og personcertifikat i hånden. Det muliggør en distribueret løsning, hvor de enkelte tjeneste-udbydere kan bekræfte login uden behov for, at DanID centrale systemer er online. Derved bliver de it-kriminelle nødt til at udvælge de enkelte sites, som de ønsker at angibe frem for at lægge hele IT-Danmark ned på en gang. Det er netop en af de smukke ting ved PKI.

DanID har faktisk (med stor forsinkelse) introduceret NemID på hardware. Desværre er det ikke alle sites som understøtter løsningen. Løsningen er tilsyneladende heller ikke helt moden. Jeg har fx forsøgt at aktivere min token siden 29. marts uden held, idet jeg efter 30 sek. får en generisk fejlmeddelse. Det betyder også, at supporten ikke har ret meget at gå efter, hvorfor min sag nu er sendt til udviklerne. Jeg venter spændt på de finder en løsning, så jeg kan bedømme brugeroplevelsen.

Jeg tænker en stor del af dem, som har købt "NemID på HW" er at finde blandt V2's læsere. Er der nogen som har haft held til at aktivere deres NemID-HW indenfor de sidste uger? - Og er løsningen ok?

  • 2
  • 1
Michael Olesen

Fuck hvor er det skræmmende at der ikke skal mere end en enkelt amatør (no pun intended - keep e´m coming, så "idioterne" bliver opmærksomme på problemet!!) til at nedlægge login til størstedelen af netbanker; samtlige offentlige sider, og en hulens masse "jeg vil også kun have nemid-login"-sider.

Det største problem for Danmark, med denne løsning, er at alt lige fra simpel selvbetjening i netbanken, er blandet sammen med login til AL selvbetjening i det offentlige, og dertil er det dét samme login på "117" mere eller mindre tilfældige og ligegyldige hjemmesider...

  • 9
  • 0
Kristian Klausen
  • 5
  • 0
Lars Skovlund

Det største problem synes jeg nu er at identitetstyverier øjensynlig slet ikke er på politikernes radar. Netop fordi sider med vidt forskelligt misbrugspotentiale, som du siger, nu partout skal dele login. Det er i grunden bare at sætte sig ned med de forskellige lovforslag om tvangsdigitalisering, og se hvilke services der kan bruges - evt. i kombination. Derefter MitM.

Det kan godt være at staten lider lidt under NemIDs utilgængelighed. Hvis en borger bliver fanget i et identitetstyveri vil jeg påstå at det er så meget desto værre for vedkommende. Held og lykke med at få omgjort evt. registreringer som en sådan tyv kan have lavet i dit sted.

  • 5
  • 0
Henrik Madsen

Pas nu på at du ikke laver et nyt DDoS angreb på DanID.
Deres servere virker ret skrøbelige :-)

Haha også min første tanke.

Gad vide hvad DanID ville gøre hvis vi var X-tusinde som lavede et lignende job og satte den igang.

De kan jo dårligt kalde det et DDoS hvis det bare er 10000 individer der checker om NemID er oppe eller nede.

Uanset hvad så viser dette jo blot igen igen at den der med at centralisere hele lortet så en gut med en beskeden pyt penge kan lægge én service ned (applet.danid.dk) og vupti så er hele Danmark forkrøblet sådan rent elektronisk. Ingen kan gøre noget af det, det elektroniske Danmark gerne vil så længe det står på.

Man skal vist ikke være en ret stor konspirationsteoretiker før man tænker om fremmede magter kunne tænkes at have en plan for hvordan man nedlægger et andet land elektronisk og i Danmark har vi gjort det nemt for ALLE at lægge landet ned, det er bare at jamme én server(park) så er helt lortet gået i stå.

Gad vide hvorfor militæret normalt sørger for at deres bygninger ikke alle ligger på samme matrikel.....Kunne det tænkes at det ville være ALT for let for fjenden hvis han kun skulle smide én bombe.

  • 3
  • 0
Palle Madsen

Lige nu kører det ikke særligt stabilt.
Appletten loader kun ca hver anden gang.
Pænt frustrerende når man forsøger at gennemføre en stak betalinger og så den fejler hver gang man forsøger at godkende. Og om igen forfra.....
Banken har fejlmeldt til Nemid - men ifølge Nemid.nu, driftsstatus er alt ok.

Det må siges at være mod bedre vidende.
Nå - jeg prøver igen i morgen.

  • 3
  • 0
Kristian Klausen

Mindre opdatering på mit "forsøg", status'en på nemid bliver skrevet til http://188.228.31.189/NemID/<år>/<måned>/<dag&gt; hvert minut, hver dag 00:15 bliver oppetiden regnet ud og gemt i bla/NemID/<år>/<måned>/daily.uptime .

Tallet efter "NemID is: Up" og "<timestamp> Up" er hvor mange forsøg det tog for at komme igennem, dog max 5 forsøg..

Så nu er punkt B også delvist færdigt :)

  • 2
  • 0
Anders Kvist

Curl leverer et ret godt check af NemID (til Munin grafer):

curl -s -w "time_namelookup.value %{time_namelookup}\r\ntime_connect.value %{time_connect}\r\ntime_appconnect.value %{time_appconnect}\r\ntime_pretransfer.value %{time_pretransfer}\r\ntime_redirect.value %{time_redirect}\r\ntime_starttransfer.value %{time_starttransfer}\r\ntime_total.value %{time_total}\n" https://applet.danid.dk/bootapplet/1365670758744 -o /dev/null
  • 1
  • 0
Pelle Söderling

Måske skulle du istedet henvende dig til IT-ordføreren for dit foretrukne parti, og forklare at omtrent de samme IT-eksperter, der påpegede de fundamentale svagheder ved eValg, også har påpeget en række fundamentale (inklusive juridiske) problemer med NemID, og at hele projektet bør tages op til fornyet overvejelse.

1) Jeg har ikke noget foretrukkent parti, de er mere eller mindre allesammen temmelig uduelige.
2) Partiernes IT-ordførerer har generelt mere forstand på kaffe end IT.
3) Der sker ikke en skid fra eller til om jeg henvender mig eller ej - det er politik det her og handler om magt.
4) Det var mest ment som et humoristisk indslag, men jeg tror faktisk man kommer længere med en kommentar og en smiley her (ophavsmændene bag dette stunt følger formentlig med i alle nyhederne omkring det og svælger i deres 15 min of fame) end ved at henvende mig til en random kaffe-drikkende politiker :-)

  • 2
  • 1
Peter Mogensen

Der er mange der er enige med dig om sikkerheden. Omvendt er der også rimelig mange, der er pissed, fordi de ikke kan komme i kontakt med banken eller lægen. Hvad siger du til dem?

Mht. kritikken af NemID, så er det nok en misforståelse at tro at "mange er enige" med den fyr om sikkerheden.
Kritikken af sikkerheden i NemID angår ikke om NemIDs servere kan holde til et DDoS angreb eller ej. Det har intet med sagen at gøre.
Problemet ligger i den sidste del: At man er tvunget til at bruge et system man objektivt set ingen grund har til at stole på til både at gå i banken og gå til lægen.
Det løses ikke ved at DanID bliver "holdt i ørene" ang. sikkerheden overfor DDoS angreb. Det er totalt at afspore diskussionen om de virkelige problemer ved NemID at demonstrere hvor nemt man kan lave DDoS imod den nuværende installation.

  • 1
  • 0
Jørgen Elgaard Larsen

3) Der sker ikke en skid fra eller til om jeg henvender mig eller ej - det er politik det her og handler om magt.


Der sker muligvis ikke så meget, hvis du er den eneste, der henvender sig. Men det har faktisk stor betydning, hvis der er mange, der henvender sig.

Sagen om eValg er jo netop et eksempel på, at massiv interesse for sagen og mange henvendelser, har haft en betydning.

Hvis der blot er et par enkelte organisationer, der henvender sig med advarsler, og et par leverandører, der siger, at det nok skal gå - så kan politikerne påstå, at det var uklart, hvem der havde ret.

Men hvis mange henvender sig, så er det svært for dem at bortforklare, at der var bred enighed blandt eksperterne om, at noget var galt.

Vi gør et stort arbejde i IT-Politisk Forening for at oplyse politikerne om bl.a. problemerne ved NemID. Men det er først når der er mange vælgere, der har fokus på sagen, at de skrider til handling.

Simple "me too" mails kan have en stor virkning, hvis der er mange nok.

  • 0
  • 0
Finn Christensen

3) Der sker ikke en skid fra eller til om jeg henvender mig eller ej - det er politik det her og handler om magt.

Der sker muligvis ikke så meget, hvis du er den eneste, der henvender sig. Men det har faktisk stor betydning, hvis der er mange, der henvender sig.

Selv om tusinder henvender sig, hvorfor skulle det give et resultat ? Samtlige på tinge er jo valgt og kan fortsætte uanset antal henvendelser.. derfor er henvendelser overvurderet samt nær værdiløs.

Men hvis de berørte personer bliver fortalt, at der her koster stemmer og at det er en åbenlys konsekvens, så vil de fleste tage sig sammen og beregne konsekvensen (måske se på sagen).

Husk en politikers fag udelukkende er: 1) at blive valgt 2) at fortsætte på taburetten eller i partiet. NemId og andet skrammel i vores verden er ikke en politikers interesseområde.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize