Nets DanID tager mundkurv på: Vil ikke bekræfte NemID-hacking

Illustration: Virrage Images/Bigstock
Det er fortsat ikke officielt bekræftet, at tre store NemID-nedbrud søndag og mandag skyldes DDoS-angreb. Nets DanID vil ikke give flere oplysninger, der potentielt kan misbruges.

NemID-firmaet Nets DanID spænder nu en midlertidig mundkurv på sig selv efter nedbruddene søndag og mandag, som meget tyder på er forårsaget af målrettede hackerangreb.

Pressechef Søren Winge, Nets DanID, oplyser tirsdag til Version2, at firmaet ikke har lyst til at give flere oplysninger om sagen lige nu.

Det skyldes, at Nets DanID ikke ønsker at videregive informationer, der potentielt set kan udnyttes af den eller de personer, der måtte stå bag angrebene.

Dermed er det altså stadig ikke officielt bekræftet, at der er tale om et DDoS-angreb, selvom indikationerne på det er stærke.

Som tidligere beskrevet på Version2 blev NemID søndag aften ramt at to store nedbrud, der hver varede omkring en time. Begge gange var det stort set umuligt for danskerne at gå på netbanken eller offentlige hjemmesider med NemID.

Læs også: Frygt for DDoS-angreb: NemID sendt til tælling i 2 timer

Læs også: Nyt NemID-nedbrud skærper mistanken om hackerangreb

Sikkerhedskonsulent: Alt peger på DDoS

Nets DanID holder stadig muligheden åben for, at nedbruddene skyldes et DDoS-angreb (Distribueret Denial-of-Service), men vil endnu ikke slå det fast med syvtommersøm i pressen.

Ifølge chef-sikkerhedskonsulent i FortConsult, Thomas Wong, peger alt dog i den retning:

»Det lyder som et et DDoS-angreb. Ud fra det, jeg har læst om sagen, lyder det rigtigt mærkeligt, hvis det skulle være andet,« siger han til Version2.

Han beskriver DDoS-angreb som en slags 'fattigmandshacking' - en usofistikeret måde at opnå opmærksomhed på ved at lægge store hjemmesider ned med enorme mængder trafik, som stammer fra botnet - typisk tusindvis af maskiner, der misbruges til oversvømmelsesangrebet.

Af samme grund vil det undre Thomas Wong, hvis Nets DanID stadig ikke er helt sikker på, at der er tale om et DDoS-angreb.

»Man må antage, at langt hovedparten af trafikken fra den legitime brug af NemID stammer fra danske IP-adresser. I modsætning til det vil et DDoS-angreb normalt betyde massive mængder af trafik fra noget andet end danske IP-adresser,« siger Thomas Wong til Version2.

Indtil videre er det svært at vurdere, om angrebet stammer fra en teenager i kælderværelset eller mere professionelle it-kriminelle.

»Vi ser typisk hos de mindre talentfulde personer, at de går alene efter hjemmesideadressen. Hvad det så er, de rammer bagved, går de ikke så højt op i.«

»Dem, der ved, hvad de laver, går meget mere målrettet efter at have lave noget rekognoscering for at finde den svageste komponent. Det kan være, at de af den ene eller anden grund ved, at load balanceren er af en ældre type,« forklarer Thomas Wong.

Nets DanID efterforsker fortsat sagen og arbejder videre på at sikre setuppet bag NemID mod flere angreb, fortæller Søren Winge. Der har ikke været flere driftsproblemer med NemID siden mandag eftermiddag, oplyser han videre.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (41)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Nobel

Betyder det på Net'sk afdækning af at de ikke er opgaven voksen?

Så misbruget undgås måske bedst ved ikke at tale om hvad der er galt - for security by obscurity er jo en god gennemprøvet sikkerhedsmodel!

Gud bevare Danmark (for Nets gør det i hvert fald ikke).

  • 23
  • 2
Erik Jensen

Det kunne jo også bare være, at man brugte ressourcerne på at løse problemerne i stedet for at tale med journalister hele tiden?
Eller at man ikke har forstået problemet til bunds endnu og ikke vil melde noget forkert ud?

  • 3
  • 22
Kenn Nielsen

Så når dit hus er solgt til en Rumæner for 75000, er du velkommen til at klage.
Svaret vil være fri improvisation over følgende:

NemID er jo sikker, hvorfor tror du ellers regeringen har valgt den.
Alle bruger NemID - det ville de jo ikke hvis dette kunne ske.
Du har jo ikke længere fast ejendom, så vi opsiger dine lån omgående.

K

  • 14
  • 3
Lars Skovlund

I modsætning til at man før den digitale tinglysning bare skulle forfalske en underskrift? Uha, ja jeg er bange for at miste mit hus. Kan overhoved ikke sove om natten efter du har fortalt den rædselshistorie.

Med den tidligere løsning var der dog en vis bevidsthed både blandt embedsmænd og borgere at det var muligt at forfalske en underskrift. Derfor var der krav om (to) vitterlighedsvidner for hver part, som ikke måtte tilhøre nogen af parternes nærmeste familie (har selv handlet ejendom på den måde... for nylig). I løsningen med NemID er vitterlighedsvidner formelt afskaffet, som jeg forstår det. De facto er DanID A/S vitterlighedsvidne for begge parter. Det kunne være interessant at få en jurists bud på hvad det havde haft af konsekvenser tidligere hvis begge parter "tilfældigvis" valgte samme vitterlighedsvidner!

  • 18
  • 0
Erik Jensen

Min anke går nok mere på, at nogen mener, at fordi der er svindlet med NemID skulle man være dårlige stillet juridisk end hvis der er svindlet analogt. Det tror jeg ikke en meter på. Der har jo været en del eksempler på, at NemId er blevet misbrugt - lige som en analog underskift. På sin vis er man jo egenligt bedre stillet med en tjeneste, som der beviseligt kan svindles med end en top sikker løsning :-)

Men jeg kan ikke på nogen som helst måde se, hvad dette har med den aktuelle situation at gøre. Hvorfor er det "security by obscurity" at vente et par dage med at offentliggøre, om et driftnedbrud skyldes et Dos-angreb eller en overophedet router?

  • 2
  • 10
Lars Skovlund

Du overser behændigt, at NemID er delt i to med (så vidt vides) helt forskellig juridisk rygdækning - nemlig til bank og til "resten". Den eneste statistik jeg kender om NemID-indbrud skelner kun mellem indbrud med og uden tab - på bankdelen. Ejerkredsen bag DanID - bankerne - har ingen interesse i at indbrud i OCES-delen bliver afdækket eller opgjort (det er ikke dem, der skal erstatte evt. tab på den). Hvad med den form for misbrug af OCES-NemID hvis konsekvenser ikke kan gøres op i penge (for eksempel at få en sigtelse for dokumentfalsk eller det der er værre rettet mod sig)?

Link til dækning i V2

Og du forholdt dig slet ikke til min pointe om vitterlighedsvidner. Det er i mine øjne en væsentlig forringelse af sikkerheden i tinglysning.

  • 11
  • 1
Carsten Jørgensen

Er der nogle af jer der ville fortælle hvad i gør for at forhindre et angreb mens det sker???

Ejerkredsen bag DanID - bankerne - har ingen interesse i at indbrud i OCES-delen bliver afdækket eller opgjort

Siger du, med straight face her på Version2, at Digitaliseringsstyrelsen skjuler noget for os?

Problemet med nemID er så blot, at det er umuligt at bevise, hvorvidt der har fundet svindel sted eller ej! Hvorledes afgør man mellem to CD'er, hvilken der er originalen, og hvilken der er kopien?

Det hedder computer forensics. Man kan se på tidsstemplerne på cd'erne hvilken der er ældst, helt som når man undersøger it-kriminalitet på en PC.

I (den digitale tinglysning) løsningen med NemID er vitterlighedsvidner formelt afskaffet,

Du mener, at det et problem i NemID hvordan en tjenesteudbyder vælger at bruge løsningen?

  • 1
  • 7
Lars Skovlund

Siger du, med straight face her på Version2, at Digitaliseringsstyrelsen skjuler noget for os?

Nej, jeg siger det er uheldigt, at ejerkredsen bag DanID er bankerne (hvis produkt udgør den ene - og kun den ene - use case for NemID). Jeg har ikke nævnt DigSt en eneste gang.

  • 5
  • 1
Lars Skovlund

Jeg må lige svare på den anden del også.

Du mener, at det et problem i NemID hvordan en tjenesteudbyder vælger at bruge løsningen?

Hvor har jeg sagt at det er et problem med NemID? Erik Jensen sagde han ikke var bange for at miste sit hus. Jeg gav et argument for at der kunne være grund til at være det.

Mere generelt synes jeg der er et problem hvis man ikke må kritisere tjenesteudbyderne i forbindelse med artikler om NemID. Du har jo i praksis ikke noget valg mht hvad du kan bruge din NemID til. Eller for at parafrasere et gammelt slogan for EkstraBladet: Få dig en NemID - og få adgang til hvad som helst.

  • 5
  • 1
Carsten Jørgensen

Få dig en NemID - og få adgang til hvad som helst.

OCES er ejet af Digitaliseringsstyrelsen, jeg tror det er en målsætning, at kunne bruge sin digitale signatur alle steder.
https://www.nemid.nu/dk-da/digital_signatur

Men man kan godt vedtage, at danske borgere altid skal møde op fysisk når man henvender sig til en offentlig myndighed, der er da noget sikkerhed inkluderet hvis vi vælger ikke at bruge it i Danmark.

Og som jeg skrev i den anden tråd giver det også noget sikkerhed at opdele netbankdelen og OCES i to løsninger igen - når man ikke kan huske koden til OCES er det selvfølgelig også svært for en angriber at misbruge den.

Det er jo et valg.

  • 1
  • 6
Lars Skovlund

Jeg tænker mere at man laver en slags "juridisk clustering" og holder ting adskilt, hvis de juridiske konsekvenser af et misbrug er vidt forskellige. Således netbank og OCES. Der er vist ingen der har sagt, at vi ikke ønsker at fremme brugen IT i forvaltningen - det må dog ikke øge afstanden mellem forvaltning og borger.

Det skal selvfølgelig være sådan at dem der absolut vil have ét login til alt, kan få det - mens vi der ønsker et mere restriktivt login / flere adskilte logins kan få det. Du skriver, at det er et valg. Delvist korrekt - det er mere præcist et designvalg, og ikke et valg der tilkommer borgeren. Bør det ikke være det sidste - når det nu er borgeren, der skal rede trådene ud efter misbrug?

  • 2
  • 0
Carsten Jørgensen

Jeg tænker mere at man laver en slags "juridisk clustering" og holder ting adskilt, hvis de juridiske konsekvenser af et misbrug er vidt forskellige. Således netbank og OCES.

Ja, det er to forskellige løsninger med hver sin "kontrakt".
Digitaliseringsstyrelsen ejer OCES med OCES certifikatpolitikkerne https://www.nemid.nu/dk-da/digital_signatur/oces-standarden/oces-certifi...

Og man har en anden aftale med sin bank, hvor man jo bruger kortidscertifikaterne fra NemID.
Man kan vælge at have netbank uden OCES, eller OCES uden netbank. Det er stadig to forskellige ting.

  • 1
  • 5
Christian Nobel

Man kan vælge at have netbank uden OCES, eller OCES uden netbank. Det er stadig to forskellige ting.

Det løser bare stadig ikke nogle af de helt basale fejl ved "NemID" konstruktionen:

Man er ikke herre over egen nøgle.

Man kan ikke lave afledte nøgler.

Der kan ikke opereres med forskellige sikkerhedsniveauer.

Der kan ikke laves fuldmagter.

Der kan ikke laves vitterlighedssignering.

Hvis vi omsatte det til noget fysisk, så havde piben nok fået en anden lyd, og folk ville vågne op:

Du må ikke selv eje nogle nøgler, der findes kun en nøgle til alt, det være sig dit hus, din bil, din cykel, bankboksen, haveskuret - alt.
Du må ikke selv opbevare din "egen" nøgle, den skal ligge ovre på posthuset, så hver gang du skal have åbnet hoveddøren, eller haveskuret, så skal du after afsigelse af det magiske "Sesam luk dig op" have en postmedarbejder til at foretage selve oplåsningen, for det er kun ham der må have nøglen i hånden.

Så hvad gør du hvis din nabo gerne vil låne din plæneklipper, der står i skuret, mens du er på ferie?

  • 7
  • 1
Lars Skovlund

Det er da stadig det samme papkort og de samme koder der benyttes? Herved muliggøres jo, at en angriber via man-in-the-middle får lokket en kode ud af brugeren (ved at vise ham netbanken) og bagefter bruger den i OCES. At man laver en masse administrativt fikumdik er irrelevant i denne sammenhæng. Det sikrer bare at ingen anden end borgeren kan lastes for noget som helst after the fact. I øvrigt var opdelingen mellem OCES og netbank kun et eksempel jeg brugte. I praksis vil en mere finkornet opdeling være at foretrække (var det ikke omkring 200 services der var tænkt ind i digitaliseringsstrategien / adgang via OCES? Kan du overskue misbrugspotentialet af disse - enkeltvis eller i sammenhæng?)

  • 5
  • 1
Henrik Madsen

Så burde det være muligt at møde op i banken / på kommunen og få OCES delen spærret.

Som det er idag kan jeg lade være med at aktivere OCES delen men hvis jeg har forstået det rigtigt så er det eneste der skal til for at aktivere den en PapID kode.

Ergo kan MiTM hackeren blot tage min franarrede PapID kode og bruge denne til at aktivere min OCES signatur og så er der fri adgang til skattemappe, sygehusjournal og så videre.

Indtil videre har MiTM folkene blot skyndt sig at bruge koden til at overføre penge fra folks konto til deres egen i Rusland men på sigt kan det være de finder ud af at det er mere værdifuldt at stjæle din identitet.

  • 6
  • 1
Brian Jensen

Hvis det er DDoS relateret nedbrud - så sig det. Når der ikke meldes klart ud skaber mere bekymring, om det kan være noget mere alvorligt.
Alle seriøst webtjenester rammes fra tid til anden af Denial of Service angreb.
I den forbindelse vil jeg da godt takke de danske politikkere for at indføre et tvunget system, som gør det muligt at tage Danmarks økonomiske it-struktur mfl. ud af drift ved at angribe få servere.
TAK FOR DET.
Det kan de jo putte på listen med andre ting, der er usikkert ved systemet.

  • 3
  • 1
Carsten Jørgensen

Det løser bare stadig ikke nogle af de helt basale fejl ved "NemID" konstruktionen:

Man er ikke herre over egen nøgle.
Man kan ikke lave afledte nøgler.
(...)
Du må ikke selv opbevare din "egen" nøgle, den skal ligge ovre på posthuset

Tja, i NemID's tilfælde er billedet:
Man ved der er mange indbrud i husene, så nøglen ligger i et pengeskab på posthuset. Du er den eneste der har adgang til pengeskabet, du er den eneste der kan åbne pengeskabet.
(Dvs den private nøgle opbevares altid krypteret, nøglen dekrypteres kun inde i en HSM (Hardware Security Module), det sker via SRP-protokollen (Secure Remote Password protocol). Dvs der etableres en "VPN-tunnel" fra apletten ind in HSM-modulet baseret på password og engangsnøglen. Ingen i posthuset har på noget tidspunkt adgang til nøglen eller pengeskabet, det er derfor man ikke kan resette passwordet.
Det er sagt mange gange.

DanID ved hvad afledte nøgler er, men i et EU udbud kan de jo ikke bare lave en løsning hvis de får lyst til det.
Hvis i crankede retorikke ned til volume 10 kunne man f.eks. diskuterer hvorfor afledte nøgler er en god ide. Så kan det være Digitaliseringsstyrelsen tager det med i næste løsning.

Jeg forstår ikke hvilken løsning i gerne vil have i de andre indlæg.
Men lad os sige, at alle danskere får en OCES, der ikke kan bruges til netbank, og at vi - på en eller anden smart teknisk måde - alligevel kan huske passwordet.

Hvis angriberne mener det er mere værdifuldt at stjæle identiteter end penge fra bankerne, hvad stopper dem så fra at angribe en national stand-alone OCES??? Bliver det "sikkert" at ikke at være knyttet til bankernes sikkerhedsarbejde?

Jeg gentager:

Men man kan godt vedtage, at danske borgere altid skal møde op fysisk når man henvender sig til en offentlig myndighed, der er da noget sikkerhed inkluderet hvis vi vælger ikke at bruge it i Danmark.

Og som jeg skrev i den anden tråd giver det også noget sikkerhed at opdele netbankdelen og OCES i to løsninger igen - når man ikke kan huske koden til OCES er det selvfølgelig også svært for en angriber at misbruge den.

Det er jo et valg.

  • 3
  • 6
Brian Jensen

Fint indlæg ovenfor. (jeg er ironisk)
Meget detaljeret, men systemet er stadig sårbart overfor Man in the middle angreb på trods af dit indlæg om-> Posthus, Pengeskab, VPN-tunnel mm.
Personligt synes jeg systemet er lort med lort på. Java der er fuld af huller osv osv. På trods af massiv kritik op til og ved gennemtvangen og efterfølgende af nemid fra it-folk. Digitalisering af Danmark "Ju-hu".
Personlig er jeg holdt op med at benytte digitale tjenester der kræver nemid, bortset fra min netbank og skat.
Jeg stoler nærmest ikke engang på et nemid-login ved danske spil.
Folk vil sige at jeg fravælger biblioteket er overkill. Men hey better safe than sorry (hvis ordet safe ikke er et overkill her i sig selv).

  • 5
  • 2
Christian Nobel

Man ved der er mange indbrud i husene, så nøglen ligger i et pengeskab på posthuset. Du er den eneste der har adgang til pengeskabet, du er den eneste der kan åbne pengeskabet.

Wrong, wrong, wrong.

Man tror at der er mange indbrud i nogen huse, derfor må jeg ikke selv have nøgle til mit hus - FAIL.

Jeg har ikke nøglen, det eneste jeg har er det magiske "Sesam luk dig op" jeg kan bruge til en anden drejer nøglen for mig - FAIL.

Det er samme nøgle til huset og pengeskabet - FAIL.

DanID ved hvad afledte nøgler er, men i et EU udbud kan de jo ikke bare lave en løsning hvis de får lyst til det.

Hvilket er ligegyldigt, og snakken uden om - sagen er at jeg kan ikke lave afledte nøgler - FAIL.

Jeg forstår ikke hvilken løsning i gerne vil have i de andre indlæg.

Dit problem - ikke "vores".

Bliver det "sikkert" at ikke at være knyttet til bankernes sikkerhedsarbejde?

Det bliver i hvert fald mere sikkert, når nøgle og certifikat ikke opbevares samme sted (som loven i øvrigt påkræver, uden der er nogen der kerer sig om det, for vi kan jo bare fluekneppe om ordet avanceret!).

  • 5
  • 3
Kenn Nielsen

Det er da stadig det samme papkort og de samme koder der benyttes? Herved muliggøres jo, at en angriber via man-in-the-middle får lokket en kode ud af brugeren (ved at vise ham netbanken) og bagefter bruger den i OCES. At man laver en masse administrativt fikumdik er irrelevant i denne sammenhæng. Det sikrer bare at ingen anden end borgeren kan lastes for noget som helst after the fact.

Nemlig !

Nu er borgeren eneste ansvarlige, - og hun (m/k) må håbe på stor velvillighed fra nets & Co. så hun enten kan få lov til at se loggen, eller at nemID melder ud at der har været et successfuldt angreb.

Kan man så stole på at man får hele loggen med tilhørende viden til fortolkning ?
Ville man kunne stole på nets' egen fortolkning af loggen ?
Véd man i det hele taget at der har været et angreb når nets klapper i ?

K

  • 7
  • 0
Gert Madsen
  • 2
  • 0
Log ind eller Opret konto for at kommentere