DDoS er nu hverdag for NemID: Nyt angreb trætter Nets

For femte gang på kort tid har NemID-appletten været udsat for DDoS-angreb. Tidskrævende at skulle håndtere nye angreb hele tiden, siger Nets DanID.

NemID blev onsdag aften ramt af endnu et DDoS-angreb, der gjorde det stort set umuligt for danskerne at logge på netbanken eller offentlige hjemmesider.

Det oplyser pressechef Søren Winge fra Nets:

»Vi oplevede et nyt angreb onsdag aften klokken cirka kvart i syv. Det er svært at sige præcist, hvornår det stoppede, men frem til klokken syv var der stor ustabilitet (på NemID-appletten, red.),« siger Søren Winge til Version2.

Som beskrevet på Version2 var der også problemer med ustabilitet onsdag eftermiddag, men da skyldtes det angiveligt de tekniske tiltag, som Nets DanID løbende arbejder på for at sikre NemID bedre mod DDoS-angrebene, der har hærget login-tjenesten den seneste uges tid.

Læs også: Nets: Nye NemID-problemer er sandsynligvis vores egen skyld

Gruppen Danish LulzTeam, der tidligere har hævdet at stå bag DDoS-angreb mod NemID, havde på forhånd varslet et nyt angreb, og i en besked på det sociale medie Twitter klokken 18.40 onsdag tager gruppen da også ansvaret for aftenens DDoS-angreb.

Kan Nets DanID sige med sikkerhed, at der har været tale om endnu et DDoS-angreb onsdag aften?

»Ja, det kan vi godt sige med sikkerhed,« siger Søren Winge til Version2.

Er I blevet klogere på, hvor angrebene stammer fra, og hvem der kan tænkes at stå bag?

»Nej, ikke andet end at vi kan se, at form og styrke på angrebene veksler. Det kan vi se på baggrund af den seneste uges hændelser. Vi bruger ikke så meget energi på at finde ud af, hvem der står bag, det overlader vi til politiet. Men vi har selvfølgelig også konstateret, at der har været noget kommunikation på Twitter,« siger Søren Winge til Version2.

Har I måttet optrappe bemandingen på grund af den seneste uges angreb?

»Ja, det er klart, at vi har flere processer i gang. Ud over den normale driftstyring er der forskellige gode folk i gang med de initiativer, vi arbejder med (for at dæmme op for nye angreb, red.). Men lige nu er det meget tidskrævende at håndtere de angreb, som kommer løbende.«

Så der er nogle medarbejdere, der har været længe på arbejde den seneste uges tid?

»Ja, det kan man godt sige.«

Søren Winge oplyser, at der også torsdag kan være problemer med at logge på hjemmesider med NemID. Ustabiliteten skyldes dog de sikkerhedstiltag, Nets DanID lige nu arbejder med. De fleste brugere vil opleve, at de kan logge på i andet forsøg, oplyser pressechefen.

Nets DanID har som tidligere beskrevet på Version2 meldt flere af DDoS-angrebene til politiet.

Læs også: NemID-angreb meldes til politiet

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (31)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Pedersen

Og ja det er problematisk når man skal bruge det...

Men der må sgu være nogle som ikke kan lide systemet, og så synes jeg det er fint de kommer ud med det. Politikerne gider ikke høre, DanID gider slet ikke høre og alle andre almene borgere er like "nååh ja hvad kommer det mig ved?" Så for alt det dårlige i det her, så er det mindst lige så godt at vi lige får vredet armen om på folkene bag en gang.
De må vel snart ud og betale staten kompensation eller hvad?

  • 23
  • 4
Claus Nørgaard Gravesen

Yup, der er ikke noget, der er så skidt, at det ikke er godt for noget.

Nets har haft siden det allerførste DoS-angreb til at få styr på stumperne. De burde have taget det som en kærlig varsel. Nu må de så bøde for ikke at tage gentagende henvendelser seriøst, og det må jo som sådan være rimeligt nok, eftersom de langt fra har gjort deres arbejde ordentligt, desværre.

  • 16
  • 3
Lars Smidt

Er det OK at det skal gå ud over hele Danmarks befolkning i en lang periode?

Det er en ulovlig handling (så vidt jeg har forstået) og der kan drages ansvar hvis de skyldige findes. Men det er så desværre kun Danid der kan få noget ud af det, alle os der ikke kan komme i netbanken og betaler regninger hvad med os?

Nu er der gjort opmærksom på problemstillingen, herfra begynder det at ligne chikane mod almindelige brugere når der aktivt bliver forsøgt at lægge nemid ned!

  • 15
  • 9
Anders Palm

Hvad der er lovligt eller ulovligt bestemmes af hvad samfundet moralsk vil acceptere.

At lægge nemid appleten ned med DDoS er helt klart ulovligt. OK.

Men moralsk? Tjah. Jeg har svært ved at se hvordan det er anderledes end f.eks. en arbejdsmæssig blokade som fagforeninger lovligt kan iværksætte over for virksomheder de ikke bryder sig om. Eller lockout af lærerne, der også går ud over en hel masse almindelige danskere.

Personligt synes jeg at det er mere end OK moralsk set. Når politikerne ikke kan råbes op, og dem der har vundet ordren nægter alt, så kan det eneste rigtige være at demonstrere problemet.

  • 26
  • 8
Sune Foldager

Så skulle I nok ha' bygget det ordentligt fra starten! Man ligger som man har redt.

Ja for det er nemlig nemt at bygge et site så det kan modstå vilkårlige DDOS-angreb, og det er da bestemt ikke angribernes skyld vel?

Folk kører fuldstændig på negativ automatpilot på version2, og redaktionen må vel vide det siden de i bedste EB-stil bruger hver anden artikel på at starte endnu en flame-tråd. Vi har fattet det; I kan ikke li' NemID. Måske kunne man nuancere sine kommentarer en smule, evt. være lidt konstruktiv.

  • 14
  • 21
Jan Phuklin

Min netbank kørte uden problemer fordi min bank bruger ikke NemID.
Alle har mulighed for en (backup) konto i en af de banker som ikke bruger NemID.
:)
Jeg spurgte DanID om jeg kan få individuel login til hver NemID aplikation. Det kan jeg ikke få. Derfor bruger jeg ikke NemID. Fælleslogin vil jeg ikke bruge.

  • 5
  • 1
Claus Nørgaard Gravesen

@Sune Foldager: Ja, det er netop langt fra svært at lave et setup fra start, der begrænser problemet så voldsomt, at det bliver nærmest ikke-eksisterende.

@Lars Smidt: Det var jo blot et spørgsmål om tid, før det alligevel var endt med at gå ud over befolkningen - og i langt værre grad formentlig.

Vi snakker 15-årige unger her. De kan desværre ikke ofte kende forskel på narrestregernes grad af alvor. Det er jo heller ikke lovligt at gå på æblerov, men det har mange nok alligevel prøvet som barn.

Ansvaret ligger hos Nets her, som skulle have haft det her i orden for lang, lang tid siden. Ja, fra start. Det var på ingen måde for meget forlangt - og så kunne "ungerne" slet ikke have forårsaget den her slags. Det skulle aldrig have været muligt.

Men det forstår vores politikere desværre ikke engang. De har simpelthen intet begreb om IT, når det kommer til stykket. Hvorfor man kun igen og igen kan opfordre til, at vi får os et internet-ministerium, helst før end senere.

  • 12
  • 1
Michael Hartvig

Det er i praksis ikke muligt at sikre sig mod DOS, hvis man stiller en service til rådighed på nettet. Og det har intet med et netsteds sikkerhed som sådan at gøre, hvis det bliver offer for et angreb.

Hvis man er nok folk der stiller sig i køen, nede i netto, så forhindre man jo også reelle kunder i at handle. :-)
Og når "hackere", der ikke engang når "scriptkiddie" niveau, kan starte et DDoS angreb. Så vil enhver idiot, jo kunne lægge, selv store tjenester ned.

  • 2
  • 11
Michael Nielsen

@Sune Foldager

Ja for det er nemlig nemt at bygge et site så det kan modstå vilkårlige DDOS-angreb, og det er da bestemt ikke angribernes skyld vel?

Det er det rent faktisk, problemet med NemID er at man har bygget en centralistisk, monopol opbygning, som gør den netop såbar over for DDoS angreb, lige som den er ufattelig sårbar over for man-in-the-middle, og sådan set det ENESTE den beskytter i mod er replay attacks...

Hvis NemID var implementeret rigtigt, var det en OFFLINE service, derfor IMMUN over for DDoS angreb, og der ville være point-to-point security, med diverse nøgle løsninger.. Hvis man så ville ligge Danmark ned skulle man så DDoS samtlige offentlige server + banker..

Men pga NemID's store designflaws, skal man bare ramme en gruppe af server som DanID står over for...

NemID har intet behov for at skulle være en online service... i alt tilfald ikke teknisk grund.

NemID = An accident waiting to happen.

  • 20
  • 0
Andreas Bach Aaen

DDoS angrebene er klart ulovlige. Det sagt, så skyldes det at DanID har et centraliseret system, at deres forretningsmodel er at de vil tjene et antal øre pr. transaktion. I en fuldt distribueret model vil dette ukke kunne lade sig gøre. Der vil man kun kunne afregne pr. bruger.
Så den hest store fejl er at det offentlige har tilladt en privat aktør at benytte en forretningsmodel der strider imod et godt og angrebssikret design. At man fra det offentliges side har valgt dette er, at man så den store kundemasse, som netbankerne havde som en kickstart til tvangsdigitalisering. Den del er lykkedes. Tilbage står man med at bankerne (Nets) har trukket det lange strå og skal have en finger med i spillet i alle digitale transaktioner med det offentlige.
Det have været bedre hvis Nets havde holdt sig til at garantere identiteten af brugerne og var blev betalt pr. bruger og med en service level agreement, der sikrer at fejlregistreringer og identitesttyverier bliver taget alvorligt.

  • 18
  • 0
Thue Kristensen

Ja for det er nemlig nemt at bygge et site så det kan modstå vilkårlige DDOS-angreb, og det er da bestemt ikke angribernes skyld vel?

Ingen stiller vel krav om at NemID's forsvar skal være perfekt mod alt. Bare de gør et hæderligt kompetent forsøg.

Mit problem er at jeg får det indtryk af at de stort set ikke har forsøgt at forberede sig mod DoS angreb. Den første angriber påstod jo at en SYN-flood med spoofede pakker fra en enkelt maskine var nok til at lægge NemID ned - det er noget som NemID burde have været forberedt på.

Men det er svært at vide præcis hvad der foregår, for Nets er i jo meget lidt åbne om hvilke angreb de bliver udsat for.

  • 8
  • 0
Sune Foldager

Dit satiriske indlæg bygger på den antagelse at autentikeringen partout skal ske igennem et enkelt web-site.

Og den antagelse er, som mange gange påpeget (også inden NemID blev sat i drift), ikke korrekt.

Javist, men så vil det være gennem n sites; så kan man DDOSe de n sites, eller nogle af dem, og genere en del af befolkningen. Det vil stadig komme på forsiden her, og folk vil nok stadig være utilfredse.

Det er naturligvis et problem, men det er nok et andet sted der skal tages fat hvis man for alvor vil gøre noget ved det.

  • 1
  • 6
Jørgen Elgaard Larsen

@Jeppe Boelsmand og Sune Foldager

Michael Nielsen, kan du ikke prøve at forklare hvordan du vil lave det her offline? Jeg forstår ikke hvad du mener.

Nu er jeg ikke Michael, men jeg skal gerne forklare det for dem, der ikke er med:

NemID bygger officelt på PKI. Det vil sige, at der udstedes et elektronisk certifikat til alle borgere i Danmark. Certifikatet indeholder oplysninger om navn, CPR-nummer etc. og er underskrevet af en af statens kontrollører, i dette tilfælde DanID (udbyderen af NemID - ejet af bankerne via Nets). De står inde for, at oplysningerne i certifikatet er korrekte.

Til certifikatet hører en hemmelig privat nøgle. Certifikatet er konstueret således, at hvis man har den private nøgle, kan man bevise, at man er den person, som certifikatet er udstedt til. I rigtig PKI opbevares den private nøgle derfor hemmeligt af den person, certifikatet er udstedt til.

Med rigtig PKI ville man derfor overhovedet ikke skulle involvere NemID's servere. Hvis man vil snakke med netbanken, bruger man blot sit certifikat og sin private nøgle.

Men som Andreas skriver, så ville det jo også betyde, at DanID ikke ville kunne tælle, hvor mange gange, man brugte sit certifikat - og dermed ikke heller ikke kunne kræve penge for det. Endnu værre: Hvis jeg ville lave NemID-login på min hjemmeside, kunne jeg bare gøre det uden at betale DanID for det.

Derfor har DanID valgt en anden løsning: I stedet for, at du selv opbevarer din private nøgle, ligger den på DanID's servere. Hver gang, du skal bruge dit certifikat (fx. for at logge på netbanken), skal DanID blandes ind i det via deres applet: Du giver dit password og papkortkode til DanID, som så bruger din private nøgle overfor netbanken.

Det har den fordel for dig, at du ikke behøver at spekulere på, om du opbevarer din private nøgle sikkert. Det har til gengæld den ulempe, at du er afhængig af, at DanID's servere er oppe og ikke bliver DoS'et.

Mange af Version2's læsere mener, at det burde være muligt at vælge selv at opbevare sin private nøgle og dermed være uafhængig af DanID's servere. Og ikke mindst for at have fuld kontrol over nøglen i stedet for at skulle stole på DanID.

  • 18
  • 0
s_ mejlhede

"Vi oplevede et nyt angreb onsdag aften klokken cirka kvart i syv. Det er svært at sige præcist, hvornår det stoppede,"

http://www.version2.dk/artikel/nets-nye-nemid-problemer-er-sandsynligvis...

Kan i ikke finde svaret her på Version2 eller Twitter ?
Ja svaret er her faktisk, i kommentar til link/tråd.

@Anders Kvist
"Re: Håber ikke det er her i finder jeres status.
Det er direkte pinligt - vi andre der er afhængige af at de virker kan godt selv finde ud af at lave noget overvågning så vi er klar over om de er nede, men det kan de åbenbart ikke selv :) Kan da se at i aftes fra 18.30 til 19.05 var det ikke muligt for min overvågning at hente appletten...tsk tsk!"

Men hvordan forsvare i jer mod noget som i ikke ved hvad er, lukker for trafikken og venter på at man ringer om problemmere i åbnings tiden => Ja ingen dos angreb ?
Hvordan kan man drive en tjeneste når man ikke selv kan svare på om den er oppe eller nede, eller hvad for noget trafik der kommer til den ?
I har åbent ingen EDB tekniker ansat da Anders Kvist script vel nemt og hurtigt kunne være gentaget, men når i ingen EDB tekniker har, så har i vel heller ingen hjemmearbejdspladser.
Håber ikke i har givet jeres konsulenter/ansatte for mange penge. Jeg bruger ordet givet, for tjent dem har i ikke. Eller fortjent.

  • 6
  • 0
per olsen

Nu er der jo forskellige muligheder for at komme DDOS angreb til livs.
Spamhouse angrebet er det største hidtil med en peak på 300Gbps.
og de klarede sig vist nogenlunde.

Med udtaelser som "Det er svært at sige præcist, hvornår det stoppede.." og "Vi bruger ikke så meget energi på at finde ud af, hvem der står bag.."
- virker det ikke som NemID tager angrebene særligt seriøst?

  • 6
  • 0
Michael Nielsen

Michael Nielsen, kan du ikke prøve at forklare hvordan du vil lave det her offline? Jeg forstår ikke hvad du mener.

Jeg vil gætte på du ikke kender noget til teorien bag X.509 Certificates, Mutual Authentication, Central Authorities, Derived Keys m.v.

Basalt set, det ENESTE NemID skal gøre er at EN GANG (af og til, feks hver 5. år), skal udstede et certifikat der passer til brugerens private nøgle - som feks kan bo på et hardware token).

Nu kan jeg kommunikere med andre og vide at personen jeg taler med er kendt af DanID, og kryptografisk, kan jeg sørge for at KUN modparten kan forstå hvad jeg siger. Dette er en del af public-private key kryptography, og NETOP har den fordel at CA'en er ikke involveret i transaktioner mellem partnerne. Derved er det ikke et krav at CA'en er online, men bare at de kommer online og giver folk blacklists for stjålne/kompromiterede nøgler.

Så når jeg taler med banken, sender jeg mit certifikat som er lavet af DanID (eller anden aktør), hvis banken stoler på DanID, bruger de informationen i dette certifikat til at stille et spørgsmål (krytografisk), som de ved at jeg KUN kan svare på hvis jeg har den nøgle som certifikatet tilhører.. Når jeg har gjort dette, gør jeg det samme til banken... (algorithen kan du finde på nette, for alle detailjerne), nu stoler banken og jeg på hinanden, og vi kan tale transaktioner..

NemID/DanID har kun været involveret til signering af mit og bankens certifikat, mellem 0 - 5 år siden.

Altså kan du DDoS DanId, og det har ingen effekt på min transaktion mellem banken og mig.

Dette er teknologi der er ca 40 år gammel, som DanID valgte at ignorere, og opfinde en løsning som var smidt væk over 30 år siden, da private-public key krytografi blev populært.

@Jørgen Elgaard Larsen
Missede din forklaring og du har ret i forhold til DanID og tjene penge, men der er et andet aspekt, som har været brugt, at man kan injecte spyware på brugernes maskiner som man ønsker - DanID har gjordt det ved at gemme kode i .gif billeder...

  • 14
  • 0
Finn Christensen

Men som Andreas skriver, så ville det jo også betyde, at DanID ikke ville kunne tælle, hvor mange gange, man brugte sit certifikat - og dermed ikke heller ikke kunne kræve penge for det

Nu ikke den e n e s t e årsag til valget, men som pengetransportør er bankers tolderi og grådigheden velkendt. Der er også et par andre problemer, set fra banken, der igen er deres tolderi - papkortet.

Det er meget billigt af og til at sende et papkort, i stedet for at lave en sikker hardware (HW) løsning a la en USB-nøgle. En HW NemID kan enhver bruge derhjemme med sin private nøgle og dermed også ægte digital ID, i stedet for denne centrale fup løsning + papkort + bøvl med adgang - en bevidst designfejl, som V2 har omtalt utallige gange gennem en del år.

Bankernes valg af løsning (central NemID):
- staten betalte del af regningen til bankernes egne behov for ny fælles løsning
- staten lykkelig, da enhver minister/regeringen fik nogen til at tage skraldet (som f.eks. DSB, Dong etc)
- Nets/Bankerne får en sikker indtægtskilde og statsanerkendt monopol
- Nets 100% cental kontrol over et perfekt toldsystem - stk i stedet for en renteberegning
- Nets kan minimer samtlige omkostninger + løsninger til billigst muligt

  • 3
  • 0
Bo Thomsen

Hmm det er faktisk slet ikke så svært, hvis de er smarte så betaler de folkene hos CloudFlare for at bruge deres DNS/Load Balancing løsning, den håndtere DDos angreb ret så godt og det burde de da have råd til, nu når de har brugt så lang tid på at lave en java applet så ikke virker særlig godt.

  • 0
  • 0
Jeppe Boelsmand

Tak, Jørgen. Sikke et nedladende svar, Michael. Jeg vidste ikke at der var PKI i nemid. Jeg syntes måske at offline er et lidt sjovt udtryk. Dem der skal bestemme om dit request er validt eller ej skal vel snakke med certifikatudstederen for at få fat i din offentlige nøgle.

Hvis de kan sende os papkortet med posten kan de vel også sende vores private nøgle hvis vi skulle miste den.

  • 0
  • 0
Jesper Lund

Hvis de kan sende os papkortet med posten kan de vel også sende vores private nøgle hvis vi skulle miste den.

Nej, der må ikke være kopier af din private nøgle hos andre. Hvis man bruger en token løsning som NemID på hardware (der desværre kun kan bruges hos det offentlige), skal du passe godt på "dimsen" (token) med din private nøgle. Hvis du mister den, kan du dog altid starte forfra og få en ny digital signatur.

  • 0
  • 0
Michael Nielsen

Tak, Jørgen. Sikke et nedladende svar, Michael. Jeg vidste ikke at der var PKI i nemid. Jeg syntes måske at offline er et lidt sjovt udtryk. Dem der skal bestemme om dit request er validt eller ej skal vel snakke med certifikatudstederen for at få fat i din offentlige nøgle.

Hvis de kan sende os papkortet med posten kan de vel også sende vores private nøgle hvis vi skulle miste den.

Da det var tydeligt at du ikke forstå hvordan public-private key fungere, blev jeg nød til at tage den pædagogiske laveste fællesnævner for at hurtigt forklare det. Jeg har kun skrevet beskrivelsen her inde på version2, omtrent 20-30 gange... (måske skulle jeg bare lave en hjemme side og refere til den)..

Du skriver så "Dem der skal bestemme om dit request er validt eller ej skal vel snakke med certifikatudstederen for at få fat i din offentlige nøgle." Som tydeligt viser du at du end ikke har slået op de referencer jeg har forslået dig.

Pointen er at når man laver mutualauthentication så er CA'en ikke involveret 100% ikke involveret.. Den's public nøgler er.

Prøv at læse lidt på det i stedet for at blive fornærmet..

Ideen er at Begge parter kender CA'ens public nøgle..

Begge parter har et certifikat der er lavet af CA'en (på et tidligere tidspunkt).

Certfikatet indeholder din identifikation, OG DIN PUBLIC nøgle, altså når jeg giver dig mit certifikat, kan du via CA'ens validere at det certifikat er valid, og derved ved du at public nøglen tilhører den identitet der er angivet i certifikatet.

Public nøglen tillader dig at kryptere en besked, du kan sende til den anden part, du ved at den anden part kan KUN læse den hvis de har privat nøglen (den anden del af krypto nøglen).. Du kan også gøre det den anden vej rundt, send en plaintext challenge til klienten, som de underskriver og sender tilbage (underskriften kan valideres via certifikatet).

Altså involvere mutual authentication kun de 2 parter, og en public nøgle fra en CA.

Der er ingen krav om at være online med en 3. part OVERHOVEDET..

Men periodisk henter man blacklists fra CA'en i tilfælde af kompromiteret nøgler.

Du skriver ydermere

"Hvis de kan sende os papkortet med posten kan de vel også sende vores private nøgle hvis vi skulle miste den."

Hvis de kan dette kan de også underskrive i dit navn, og logge ind som dig, digital signatur og mutualauthentication systems premis er at kun DU kan logge ind som dig.. Ellers er det pointless, og kan ikke bruges i nogen juridisk sammehæng.

  • 3
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize