NemID nede igen: Nyt, stort angreb i gang

11. april 2013 kl. 09:4535
NemID nede igen: Nyt, stort angreb i gang
Illustration: Nets.
OPDATERET: NemID blev torsdag morgen ramt af stort DDoS-angreb, der gjorde tjenesten ubrugelig i op mod tre timer. Der er stadig problemer torsdag formiddag.
Artiklen er ældre end 30 dage

Et nyt, stort angreb har torsdag morgen sendt NemID helt og aldeles til tælling.

Der er tale om endnu et DDoS-angreb (Distribueret Denial-of-Service, red.) i stil med dem, der ramte NemID to gange i marts, fortæller NemID-firmaet Nets DanID til Version2:

»Det startede i morges ved halv femtiden og kørte frem til ved halv ottetiden. Siden da har vi oplevet noget ustabilitet. Situationen lige nu (klokken halv ti, red.) er, at nogen vil kunne logge på med NemID, mens andre ikke kan,« siger kommunikationsmedarbejder i Nets DanID Ulrik Marschall til Version2.

I perioden mellem halv fem og halv otte har det været stort set umuligt at logge på netbanken eller offentlige hjemmesider med NemID. Angrebet har ikke resulteret i brud på sikkerheden omkring NemID.

Artiklen fortsætter efter annoncen

»Der har været så massivt mange forespørgsler, at det har været svært at komme igennem. Det er sådan, beskrivelsen lyder,« siger Ulrik Marschall.

Nets DanID har tidligere ikke villet bekræfte endeligt over for Version2, at der var tale om DDoS-angreb mod NemID 24. og 25. marts.

Men det bekræfter firmaet nu i en intern redegørelse til Digitaliseringsstyrelsen. Det kan du læse mere om senere torsdag på Version2.

I har tidligere fortalt, at I satte nogle tiltag i værk efter angrebene i marts for at dæmme op for nye. Har de virket godt nok, når det nu sker igen?

»Det havde nok set endnu værre ud, hvis ikke vi havde gjort noget,« siger Ulrik Marschall.

Det kunne tyde på, at I skal til at vænne jer til den slags angreb?

»Det tror jeg bestemt, at vi skal. Vi skal til at vænne os til en verden, hvor vi løbende skal holde øje med den slags,« siger Ulrik Marschall.

35 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
30
11. april 2013 kl. 17:19

Min formodning er at nemid bruger mainframe. Og så er det alt for dyrt at indsætte ekstra serverkapacitet.

31
11. april 2013 kl. 17:29

Så opfindsomme behøvede angrebene ikke engang at være. Det er kun frontenden, der p.t. er sat på prøve. SYN-floods mod den webserver, der hoster appletten, åbenbart. Mere skulle der ikke til at lægge hele danmarks auth-infrastruktur ned.

Men ellers har du sikkert ret. Når nogen finder på at "stressteste" mainframe-backenden, knækker den sikkert også. Jeg tænker en massiv mængde logon-forsøg. Det må give nogle rækker i en DB2/z-database for hver gang ... Hvis der ikke dør nogle connections, trækker det under alle omstændigheder så mange MIPS, at der skal ekstra luft i budgettet til regningen fra IBM.

Nå, nu må vi hellere lade være med at komme med gode ideer. :)

33
11. april 2013 kl. 19:21

@Martin Kofoed - Nu skriver Du DEN webserver, men jeg ville umiddelbart forvente DE webservere, der hoster appletten? Nuvel, under alle omstændigheder, så bør en SYN-floods angreb vel ikke håndteres af omtalte webservere, men af en firewall eller loadbalancer foran en sådan webservere? Disse bør vel først rammes når IP forbindelsen ER etableret?

29
11. april 2013 kl. 16:23

næppe - arbejdet er vel sat igang en time eller to efter 'man' er mødt på arbejde. sikkert iværksat ved 10 tiden(lokal) -- så måske vi skulle østover, fx indien, pakistan, kirgistan, uzbekistan. bare en tanke...

28
11. april 2013 kl. 16:17

Hvis I synes at sikkerheden for NemID ikke er helt i top, så vent til vi får Smart Grid.

23
11. april 2013 kl. 12:56

Da den ikke var centraliseret.

Vi ville stadig kunne signe vores emails, dokumenter osv. med vores signatur og ALLE kunne checke gyldigheden uden en central service - det eneste man IKKE kunne, var at checke for om en signatur var blevet tilbagetrukket, FØR dens normale udløbsdato.

Så er det jo så dejligt med det nye "brugervenlige" NemID - hvor DanID ejer vores private nøgler og vi intet kan gøre, uden at det går via dem..

arghhhh

Jeg vil have min standard OCES x509 certifikater tilbage..

24
11. april 2013 kl. 13:17

</p>
<p>Vi ville stadig kunne signe vores emails, dokumenter osv. med vores signatur og ALLE kunne checke gyldigheden uden en central service - det eneste man IKKE kunne, var at checke for om en signatur var blevet tilbagetrukket, FØR dens normale udløbsdato.

Og da en tilbagetræknings liste er en passivt serveret fil uden der er frit tilgængeligt og ikke et aktivt system med "cpu-tung" kryptografi kan du gøre tilbagetrækningslisten langt mere DDOS resistent for meget færre penge end du kan med en tung central server.

Det er her iøvrigt spøgsmålet om vi har af gøre med et "klassisk" DDOS andgreb hvor selve båndbreden maxes ud eller om vi taler om at de "kun" er nets regnekraft der er maxed ud.

22
11. april 2013 kl. 12:34

Fra 04.30 til 07.30? Altså hvis jeg skulle DDOS'e NemID, så det virkelig gjorde ondt, så ville jeg gøre det fra kl. 09.00.

Så enten er det nogle håbløse amatører, der står bag... eller også er det ikke DDOS.

/ Carsten

27
11. april 2013 kl. 15:50

Det er vel ikke mærkeligt at starte et angreb før folk møder på arbejde? Det svare lidt til, at vente med at begå bankrøveri til politiet er i nærheden.

Selvfølgelig er der overvågning hele døgnet, men mandskabet er mindre før kl. 9. Så hvis man venter til kl. 9, er der folk på arbejde til at tage sig af problemerne. Derfor giver det god mening, at de startede angrebet tidligt i morges.

21
11. april 2013 kl. 12:09

... over at en centraliseret struktur har denne svaghed. Nu er vi så kommet dertil at der er nogen som har opdaget at de kan stoppe en masse infrastruktur i Danmark ved at angribe de centrale servere.

26
11. april 2013 kl. 14:00

... over at en centraliseret struktur har denne svaghed.

Jeg tænkte det samme, da jeg hørte om det. Jeg mener, der var jo ingen der ikke så det komme - eller? :-/ -- DanID har desværre altid ret og vi andre er nogle inkompetente tåber der bare skal blande os uden om -- hvis det står til DanID. Til lykke med sejren. I har fejlet af helvede til.

20
11. april 2013 kl. 11:58

...vinder de mange. Det eneste forsvar mod distribuerede angreb på en service er distribution af servicen i mange autonome komponenter. Monolitternes tid er forbi og med dem følger den absolutte konsistens i distribuerede systemer.

17
11. april 2013 kl. 11:29

Kan det ikke være at det er SKAT som er årsagen til "DDOS" denne gang? De er i gang med at sende breve ud om at rette forskudsopgørelser, så der er sandsynligvist flere end normalt som bruger nemID.

Hvis de i forvejen kører på kanten af kapaciteten for hvad nemID kan klare, så er sådan en pukkel måske nok til at vælte læsset...

15
11. april 2013 kl. 11:21

Det er ikkeutænkeligt at et bufferoverflow exploit der normalt er upraktiske at udnytte bliver realistiske i en DDOS situation hvor systemerne er under press, apache har så vidt jeg husker haft et par af dem.

Med nemID's "No Disclosure" politik har vi så nogen sikkerhed for at vi bare taler om et rent DDOS andgreb og at der ikke er tale om at nogle har fundet på noget lidt mere avanceret?

14
11. april 2013 kl. 11:09

Vil du bringe Danmark i knæ? Lav DDoS på vores statslige authentication-monopol.

Det er nemt!

13
11. april 2013 kl. 11:07

Nem-id havde allerede problemer onsdag aften, hvor man ikke kunne logge på flere steder.

Det der bekymre mig mest, er at de har tænkt tanken, at et DDoS angreb kunne ske, også har valgt at indføre en sikkerheds procedure der lukker systemet ned. WTF? Det er jo netop det der er hele pointen med et DDos angreb, at tvinge et system offline. Så hvor klog er den sikkerheds procedure lige?? Det er godt nok inkompetent, at de ikke har et setup som kan afværge et sølle DDos angreb.

11
11. april 2013 kl. 11:03

Hvem er ansvarlig ??? Jeg er i tidligere fejlsituationer blevet sendt "rundt i manegen" da ansvaret er distribueret på så mange parter at ingen tager ansvar: NemId, Nem Adgang, Bank, Skat, e-Boks mm henviser til hinanden og kryds linker til hinanden, så man uforvarende møder meget vrede medarbejdere der siger "jeg har sagt til dig at det ikke er os".

18
11. april 2013 kl. 11:50

Hvem er ansvarlig ???
Jeg er i tidligere fejlsituationer blevet sendt "rundt i manegen" da ansvaret er distribueret på så mange parter at ingen tager ansvar: NemId, Nem Adgang, Bank, Skat, e-Boks mm henviser til hinanden og kryds linker til hinanden, så man uforvarende møder meget vrede medarbejdere der siger "jeg har sagt til dig at det ikke er os".

Det er en interessant model de kører. Jeg havde valgt et distribueret system, hvor en enhed som ville få ansvaret for at alle overholder systemet interfaces.

De har åbenbart valgt et centralstyret og lukket system, men hvor ansvaret er distribueret, så ingen ved hvorfor det ikke virker.

7
11. april 2013 kl. 10:47

Det beviser jo endnu engang at konstruktionen er totalt misforstået.

10
11. april 2013 kl. 11:00

Enig. Dette kunne være dejligt om man kunne offentliggøre et officielt API, og så kunne andre udbydere stille NemID til rådighed.

6
11. april 2013 kl. 10:47

Endnu et eksempel på manglende information Hverken på min bank (Nordea) eller på NemId hjemmeside er situationen rapporteret.

For øvrigt reagerer Nordea ved at sænke sikkerheden så kunderne kan komme ind udenom NemId.

16
11. april 2013 kl. 11:23

Hverken på min bank (Nordea) eller på NemId hjemmeside er situationen rapporteret.

Det er nu ikke sandt. NemID's driftstatus har været opdateret længe.https://www.nemid.nu/dk-da/om_nemid/aktuelt/driftsstatus/

Nordea har halv ni lagt en nyhed på deres hjemmeside om det:http://newsroom.nordea.com/da/2013/04/11/nemid-er-ustabilt-netbanken-fungerer-stadig/

Og desuden opdaterede de status på Facebook. Twitter har de desværre ikke opdateret.

9
11. april 2013 kl. 10:54

Mon ikke de fisker lidt efter at nogen sænker sikkerheden, eller at serverne går så meget i knæ at de selv gør det? For hvad er ellers pointen, med mindre man bare synes det er et irriterende system?

12
11. april 2013 kl. 11:04

Mon ikke de fisker lidt efter at nogen sænker sikkerheden, eller at serverne går så meget i knæ at de selv gør det?

Der er formentlig simplere incitamenter bag; eksempelvis et tilbud om at stoppe hvis der dumper nogle stakater ind på en bestemt konto ... I nogle brancher er det sågar konkurrenterne der initierer angrebet fordi kunderne så havner i deres biks i stedet. Sådan er det jo ikke med NemID, men hvad der ligger bag af motiverende ting er svært at gætte for os udefra.

2
11. april 2013 kl. 10:21

Måske de hårdt skulle nedprioritere alle udenlandsk IP, hvis det er lovligt indenfor EU-reglerne :-)

De danske IP burde politiet kunne tage sig af.

8
11. april 2013 kl. 10:48

Det er ikke nødvendigt at nedprioritere udlandstrafikken. Man kunne i stedet route IP trafik til forskellige servere, sådan at dansk trafik går til en server og udenlandsk til en anden. Ved et angreb vil en del af trafikken komme fra udlandet og det vil så betyde, at danskere i udlandet vil blive ramt under angrebet.

Det kunne også være en mulighed, at fordele trafikken yderligere. Ved at dele den ud på internetudbydere, så TDC kunder går til en server, Telia og Telenor til en anden og resten til en tredje. (Blot en tilfældig deling, en analyse kan vise hvordan man bedst fordeler trafikken). På den måde vil man måske nemmere kunne overleve angrebet fra danske zombie-computere.

Dette vil fortsat gå ud over de danskere som er i udlandet. Men det vil ikke være så sjovt for dem som angriber, da de vil få sværere ved at genere flertallet af brugerne. Brugere i Danmark vil dog ikke gå helt fri, da det vil nedsætte svartiderne, men det vil højst tænkeligt fortsat være muligt at logge ind med NemID.

Derudover kunne jeg også forstille mig en skallering, hvor udvalgte tjenester har deres egen indgange/servere. Sådan at Borger.dk og Danske Bank ikke benytter samme server. Så hvis nogen har interesse i at ramme en bestemt part, så vil de andre fortsat være i live. Hermed ikke sagt at alle NemID kunder skal have deres egen adgang, men en del af de store kunne med fordel have deres egen.

Edit: Mht. at spoofe IP-numre, så kunne trafikken også komme direkte fra internetudbyderne/DIX'en.

5
11. april 2013 kl. 10:44

Måske de hårdt skulle nedprioritere alle udenlandsk IP

Så nøjes angriberne med at spoofe danske IP'er — og det er stadig umuligt at adskille godartet og ondartet trafik på basis af IP ... Afhængigt af angrebstypen er der ikke så meget andet at gøre end at få sig nogle bredere skuldre (enten ved selv at vokse eller at købe sig til den service).

Anyway, vi har alt for lidt dokumentation om hvad der egentlig foregår til at kloge os på hvad der bør gøres.

3
11. april 2013 kl. 10:30

Tror vi er et par udenlands-danskere der ville blive ret træt af den løsning :-)

1
11. april 2013 kl. 10:12

»Det tror jeg bestemt, at vi skal. Vi skal til at vænne os til en verden, hvor vi løbende skal holde øje med den slags,« siger Ulrik Marschall.

Så er det da heldigt at vi ikke er afhænginge af danid når vi skal bruge nemid. Eller hvordan er det nu det er...