NemID nede igen: Nyt, stort angreb i gang

Illustration: Virrage Images/Bigstock
OPDATERET: NemID blev torsdag morgen ramt af stort DDoS-angreb, der gjorde tjenesten ubrugelig i op mod tre timer. Der er stadig problemer torsdag formiddag.

Et nyt, stort angreb har torsdag morgen sendt NemID helt og aldeles til tælling.

Der er tale om endnu et DDoS-angreb (Distribueret Denial-of-Service, red.) i stil med dem, der ramte NemID to gange i marts, fortæller NemID-firmaet Nets DanID til Version2:

Læs også: Frygt for DDoS-angreb: NemID sendt til tælling i 2 timer

Læs også: Nyt NemID-nedbrud skærper mistanken om hackerangreb

»Det startede i morges ved halv femtiden og kørte frem til ved halv ottetiden. Siden da har vi oplevet noget ustabilitet. Situationen lige nu (klokken halv ti, red.) er, at nogen vil kunne logge på med NemID, mens andre ikke kan,« siger kommunikationsmedarbejder i Nets DanID Ulrik Marschall til Version2.

I perioden mellem halv fem og halv otte har det været stort set umuligt at logge på netbanken eller offentlige hjemmesider med NemID. Angrebet har ikke resulteret i brud på sikkerheden omkring NemID.

»Der har været så massivt mange forespørgsler, at det har været svært at komme igennem. Det er sådan, beskrivelsen lyder,« siger Ulrik Marschall.

Nets DanID har tidligere ikke villet bekræfte endeligt over for Version2, at der var tale om DDoS-angreb mod NemID 24. og 25. marts.

Men det bekræfter firmaet nu i en intern redegørelse til Digitaliseringsstyrelsen. Det kan du læse mere om senere torsdag på Version2.

I har tidligere fortalt, at I satte nogle tiltag i værk efter angrebene i marts for at dæmme op for nye. Har de virket godt nok, når det nu sker igen?

»Det havde nok set endnu værre ud, hvis ikke vi havde gjort noget,« siger Ulrik Marschall.

Det kunne tyde på, at I skal til at vænne jer til den slags angreb?

»Det tror jeg bestemt, at vi skal. Vi skal til at vænne os til en verden, hvor vi løbende skal holde øje med den slags,« siger Ulrik Marschall.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (35)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Marc Munk

»Det tror jeg bestemt, at vi skal. Vi skal til at vænne os til en verden, hvor vi løbende skal holde øje med den slags,« siger Ulrik Marschall.

Så er det da heldigt at vi ikke er afhænginge af danid når vi skal bruge nemid. Eller hvordan er det nu det er...

  • 22
  • 1
Casper Thomsen

Måske de hårdt skulle nedprioritere alle udenlandsk IP

Så nøjes angriberne med at spoofe danske IP'er — og det er stadig umuligt at adskille godartet og ondartet trafik på basis af IP ... Afhængigt af angrebstypen er der ikke så meget andet at gøre end at få sig nogle bredere skuldre (enten ved selv at vokse eller at købe sig til den service).

Anyway, vi har alt for lidt dokumentation om hvad der egentlig foregår til at kloge os på hvad der bør gøres.

  • 10
  • 1
Asbjørn Jensen

Endnu et eksempel på manglende information Hverken på min bank (Nordea) eller på NemId hjemmeside er situationen rapporteret.

For øvrigt reagerer Nordea ved at sænke sikkerheden så kunderne kan komme ind udenom NemId.

  • 8
  • 3
Martin Nielsen

Det er ikke nødvendigt at nedprioritere udlandstrafikken. Man kunne i stedet route IP trafik til forskellige servere, sådan at dansk trafik går til en server og udenlandsk til en anden. Ved et angreb vil en del af trafikken komme fra udlandet og det vil så betyde, at danskere i udlandet vil blive ramt under angrebet.

Det kunne også være en mulighed, at fordele trafikken yderligere. Ved at dele den ud på internetudbydere, så TDC kunder går til en server, Telia og Telenor til en anden og resten til en tredje. (Blot en tilfældig deling, en analyse kan vise hvordan man bedst fordeler trafikken). På den måde vil man måske nemmere kunne overleve angrebet fra danske zombie-computere.

Dette vil fortsat gå ud over de danskere som er i udlandet. Men det vil ikke være så sjovt for dem som angriber, da de vil få sværere ved at genere flertallet af brugerne. Brugere i Danmark vil dog ikke gå helt fri, da det vil nedsætte svartiderne, men det vil højst tænkeligt fortsat være muligt at logge ind med NemID.

Derudover kunne jeg også forstille mig en skallering, hvor udvalgte tjenester har deres egen indgange/servere. Sådan at Borger.dk og Danske Bank ikke benytter samme server. Så hvis nogen har interesse i at ramme en bestemt part, så vil de andre fortsat være i live. Hermed ikke sagt at alle NemID kunder skal have deres egen adgang, men en del af de store kunne med fordel have deres egen.

Edit: Mht. at spoofe IP-numre, så kunne trafikken også komme direkte fra internetudbyderne/DIX'en.

  • 8
  • 0
Asbjørn Jensen

Hvem er ansvarlig ??? Jeg er i tidligere fejlsituationer blevet sendt "rundt i manegen" da ansvaret er distribueret på så mange parter at ingen tager ansvar: NemId, Nem Adgang, Bank, Skat, e-Boks mm henviser til hinanden og kryds linker til hinanden, så man uforvarende møder meget vrede medarbejdere der siger "jeg har sagt til dig at det ikke er os".

  • 8
  • 0
Casper Thomsen

Mon ikke de fisker lidt efter at nogen sænker sikkerheden, eller at serverne går så meget i knæ at de selv gør det?

Der er formentlig simplere incitamenter bag; eksempelvis et tilbud om at stoppe hvis der dumper nogle stakater ind på en bestemt konto ... I nogle brancher er det sågar konkurrenterne der initierer angrebet fordi kunderne så havner i deres biks i stedet. Sådan er det jo ikke med NemID, men hvad der ligger bag af motiverende ting er svært at gætte for os udefra.

  • 3
  • 0
Patrick LALA

Nem-id havde allerede problemer onsdag aften, hvor man ikke kunne logge på flere steder.

Det der bekymre mig mest, er at de har tænkt tanken, at et DDoS angreb kunne ske, også har valgt at indføre en sikkerheds procedure der lukker systemet ned. WTF? Det er jo netop det der er hele pointen med et DDos angreb, at tvinge et system offline. Så hvor klog er den sikkerheds procedure lige?? Det er godt nok inkompetent, at de ikke har et setup som kan afværge et sølle DDos angreb.

  • 14
  • 3
Daniel Udsen

Det er ikkeutænkeligt at et bufferoverflow exploit der normalt er upraktiske at udnytte bliver realistiske i en DDOS situation hvor systemerne er under press, apache har så vidt jeg husker haft et par af dem.

Med nemID's "No Disclosure" politik har vi så nogen sikkerhed for at vi bare taler om et rent DDOS andgreb og at der ikke er tale om at nogle har fundet på noget lidt mere avanceret?

  • 7
  • 1
Mads Bendixen

Hverken på min bank (Nordea) eller på NemId hjemmeside er situationen rapporteret.

Det er nu ikke sandt. NemID's driftstatus har været opdateret længe. https://www.nemid.nu/dk-da/om_nemid/aktuelt/driftsstatus/

Nordea har halv ni lagt en nyhed på deres hjemmeside om det: http://newsroom.nordea.com/da/2013/04/11/nemid-er-ustabilt-netbanken-fun...

Og desuden opdaterede de status på Facebook. Twitter har de desværre ikke opdateret.

  • 6
  • 1
Jens Pedersen

Kan det ikke være at det er SKAT som er årsagen til "DDOS" denne gang? De er i gang med at sende breve ud om at rette forskudsopgørelser, så der er sandsynligvist flere end normalt som bruger nemID.

Hvis de i forvejen kører på kanten af kapaciteten for hvad nemID kan klare, så er sådan en pukkel måske nok til at vælte læsset...

  • 0
  • 3
Joe Sørensen

Hvem er ansvarlig ??? Jeg er i tidligere fejlsituationer blevet sendt "rundt i manegen" da ansvaret er distribueret på så mange parter at ingen tager ansvar: NemId, Nem Adgang, Bank, Skat, e-Boks mm henviser til hinanden og kryds linker til hinanden, så man uforvarende møder meget vrede medarbejdere der siger "jeg har sagt til dig at det ikke er os".

Det er en interessant model de kører. Jeg havde valgt et distribueret system, hvor en enhed som ville få ansvaret for at alle overholder systemet interfaces.

De har åbenbart valgt et centralstyret og lukket system, men hvor ansvaret er distribueret, så ingen ved hvorfor det ikke virker.

  • 7
  • 0
Klavs Klavsen

Da den ikke var centraliseret.

Vi ville stadig kunne signe vores emails, dokumenter osv. med vores signatur og ALLE kunne checke gyldigheden uden en central service - det eneste man IKKE kunne, var at checke for om en signatur var blevet tilbagetrukket, FØR dens normale udløbsdato.

Så er det jo så dejligt med det nye "brugervenlige" NemID - hvor DanID ejer vores private nøgler og vi intet kan gøre, uden at det går via dem..

arghhhh

Jeg vil have min standard OCES x509 certifikater tilbage..

  • 11
  • 0
Daniel Udsen

Vi ville stadig kunne signe vores emails, dokumenter osv. med vores signatur og ALLE kunne checke gyldigheden uden en central service - det eneste man IKKE kunne, var at checke for om en signatur var blevet tilbagetrukket, FØR dens normale udløbsdato.

Og da en tilbagetræknings liste er en passivt serveret fil uden der er frit tilgængeligt og ikke et aktivt system med "cpu-tung" kryptografi kan du gøre tilbagetrækningslisten langt mere DDOS resistent for meget færre penge end du kan med en tung central server.

Det er her iøvrigt spøgsmålet om vi har af gøre med et "klassisk" DDOS andgreb hvor selve båndbreden maxes ud eller om vi taler om at de "kun" er nets regnekraft der er maxed ud.

  • 3
  • 0
Kenn Nielsen

Så enten er det nogle håbløse amatører, der står bag... eller også er det ikke DDOS.

Og så er det måske nu vi skal være opmærksomme.

Mange små udfald i NemID => stor gene og endnu større selvsving i pressen.

Snart er kimen lagt til at den IT-udfordrede standardvælger er blevet i stand til "at lære og forstå" at den eneste vej frem er at netneutraliteten fjernes.

/tinfoilhat

K

  • 0
  • 0
Jesper Poulsen

... over at en centraliseret struktur har denne svaghed.

Jeg tænkte det samme, da jeg hørte om det. Jeg mener, der var jo ingen der ikke så det komme - eller? :-/ -- DanID har desværre altid ret og vi andre er nogle inkompetente tåber der bare skal blande os uden om -- hvis det står til DanID. Til lykke med sejren. I har fejlet af helvede til.

  • 7
  • 0
Martin Nielsen

Det er vel ikke mærkeligt at starte et angreb før folk møder på arbejde? Det svare lidt til, at vente med at begå bankrøveri til politiet er i nærheden.

Selvfølgelig er der overvågning hele døgnet, men mandskabet er mindre før kl. 9. Så hvis man venter til kl. 9, er der folk på arbejde til at tage sig af problemerne. Derfor giver det god mening, at de startede angrebet tidligt i morges.

  • 0
  • 0
Martin Kofoed

Så opfindsomme behøvede angrebene ikke engang at være. Det er kun frontenden, der p.t. er sat på prøve. SYN-floods mod den webserver, der hoster appletten, åbenbart. Mere skulle der ikke til at lægge hele danmarks auth-infrastruktur ned.

Men ellers har du sikkert ret. Når nogen finder på at "stressteste" mainframe-backenden, knækker den sikkert også. Jeg tænker en massiv mængde logon-forsøg. Det må give nogle rækker i en DB2/z-database for hver gang ... Hvis der ikke dør nogle connections, trækker det under alle omstændigheder så mange MIPS, at der skal ekstra luft i budgettet til regningen fra IBM.

Nå, nu må vi hellere lade være med at komme med gode ideer. :)

  • 2
  • 0
Jørgen Larsen

@Martin Kofoed - Nu skriver Du DEN webserver, men jeg ville umiddelbart forvente DE webservere, der hoster appletten? Nuvel, under alle omstændigheder, så bør en SYN-floods angreb vel ikke håndteres af omtalte webservere, men af en firewall eller loadbalancer foran en sådan webservere? Disse bør vel først rammes når IP forbindelsen ER etableret?

  • 0
  • 0
Carsten Gehling

Det er vel ikke mærkeligt at starte et angreb før folk møder på arbejde? Det svare lidt til, at vente med at begå bankrøveri til politiet er i nærheden.

Det kommer an på formålet med angrebet. Hvis det "bare" er for at lægge hele Danmark ned, så giver det mest mening at lukke for vores fælles SPOF når vi skal bruge det - altså i arbejdstiden.

/ Carsten

  • 1
  • 0
Log ind eller Opret konto for at kommentere