Nets om kollapset NemID-forsvar: DDoS-angreb var 'massivt'

12. april 2013 kl. 10:0224
Nets om kollapset NemID-forsvar: DDoS-angreb var 'massivt'
Illustration: peepo/iStockphoto.
Nye sikkerhedsforanstaltninger efter DDoS-angreb i marts var utilstrækkelige til at stoppe torsdagens angreb mod NemID. Nets mørklægger sikkerheden.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Forsvarsværkerne omkring NemID-systemet viste sig at være utilstrækkelige, da anonyme personer torsdag morgen iværksatte et netværksangreb mod NemID's server. Nets DanID, som står for driften, havde ellers taget nye forsvarsmidler i brug efter lignende angreb i marts.

»Angrebet den 25. marts var ikke nær så massivt som det torsdag. Vi havde implementeret forskellige tiltag, men de var ikke robuste nok,« siger pressechef Søren Winge fra Nets DanID til Version2.

DDoS-angrebet, der torsdag lagde NemID-systemet ned i syv timer, forhindrede i praksis brugen af NemID til login på offentlige tjenester.

De personer, der over for Version2 hævder at stå bag, oplyser, at der var tale om et forholdsvis simpelt angreb i form af en såkaldt Syn flood af forespørgsler rettet mod den server, der leverer den Java-applet, som bruges til NemID-login.

Artiklen fortsætter efter annoncen

Ifølge de personer, Version2 har været i kontakt med, kunne angrebet have været forhindret med én enkelt regelændring i konfigurationen af firewallen, der beskytter NemID-serveren.

Nets DanID oplyser til Version2, at selskabet ikke ønsker at gå i detaljer med sikkerheden i systemet.

»Vi ønsker ikke at kommentere på, hvilke konkrete tiltag vi har taget i brug for at neutralisere fremtidige angreb. Det vil give for klart et billede af, hvad der foregår hos os,« siger Søren Winge.

Nets DanID står efter angreb i marts og med det seneste angreb torsdag i en situation, hvor sikkerheden i forhold til driftsstabiliteten og sårbarheden over for DDoS-angreb skal revurderes.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

»Der er i høj grad brug for at tage vores tiltag op til fornyet overvejelse. Allerede i går satte vi nogle nye tiltag i drift. Vi skal også have nogle langsigtede tiltag, for de nuværende er utilstrækkelige i lyset af gårsdagens angreb. Fremover skal det være vanskeligere at afbryde NemID,« siger Søren Winge.

Nets DanID er blandt andet i dialog med Center for Cybersikkerhed under Forsvarsministeriet omkring DDoS-angreb mod NemID-systemet.

Nets DanID har desuden anmeldt både angrebene i marts og angrebet torsdag til politiet.

Emner
24 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
23
Hans-Michael Varbæk
15. april 2013 kl. 05:55

Er en dyr, men effektiv løsning. Hvis der er nogen der ved noget om DDoS angreb og hvordan man stopper dem, så er det dem. I forbindelse med de her angreb, kunne de muligvis have haft mindre indflydelse på serverne hvis Nets brugte Amazon, da de har modstået selv meget store angreb fra Anonymous. (Angreb der får det her til at quarks i en kop vand.)

  • more_vert
    • insert_linkKopier link
24
Hans-Michael Varbæk
15. april 2013 kl. 06:32

Kunne man reelt set ikke bruge CloudFlare til at modstå sådan et angreb? De ville kunne de-route DDoS angrebet og udnytte en del båndbredde på at holde NemID oppe (<a href="https://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet">ht…;)

Nej, de sender trafikken direkte til serveren hvis angrebet bliver for stort. CloudFlare er ikke en gratis udbyder af DDoS afhjælpning.

  • more_vert
    • insert_linkKopier link
14
Michael Nielsen
12. april 2013 kl. 18:00

Før NemID blev lanceret var den kritiseret fra alle ender og kanter, havde man bare lyttet en lille smule var dette angreb umuligt..

  • more_vert
    • insert_linkKopier link
12
Kurt Christensen
12. april 2013 kl. 13:57

"Forsvarsværkerne omkring NemID-systemet viste sig at være utilstrækkelige"

Hvordan det, slap der nogen ind?

  • more_vert
    • insert_linkKopier link
13
Jørgen Larsen
12. april 2013 kl. 17:16

@Kurt Christensen - Nej, det var sådan set det, som var problemet ;-).

  • more_vert
    • insert_linkKopier link
16
Kurt Christensen
12. april 2013 kl. 19:33

Det var ironi, forsvaret var stærkt nok. Problemet er et andet end sikkerheden, det er driftsikkerheden det er galt med, men kan man sikre sig for DDoS-angreb?

  • more_vert
    • insert_linkKopier link
17
Jørgen Larsen
12. april 2013 kl. 21:28

@Kurt Christensen - Nej, tilgængelighed ER en del af sikkerheden (Confidentiality, Integrity, Availability). Jeg deler ikke helt den ubetinget NemID bashing, som er så populær i dette forum. Kritikkerne er da heller ikke indbyrdes enige. Der er næsten lige så mange løsningsforslag som læsere.

Når ovenstående er sagt, så ER der da meget i NemID løsningen som man med rette kan kritisere (please, undlad venligst at spamme debatten med kritikpunkter som allerede ER vendt adskillige gange). Jeg må indrømme, at Nets håndtering af dette DDOS angreb er ALT ANDET end overbevisende. Det er en problemstilling som man med rette KUNNE forvente Nets var bedre forberedt på.

Sikkerhed er altid en afvejning mellem forskellige faktorer som indsats, sikkerhed, brugervenlighed m.m. Fra politisk hold bør man seriøst overveje om den eksisterende NemID løsning er et fundament man bør bygge videre på. At en lang række kapaciteter har store forbehold overfor NemID løsningen bør mane til eftertanke. Alt andet er da toskedumt.

  • more_vert
    • insert_linkKopier link
18
Kurt Christensen
12. april 2013 kl. 22:35

Som Ubuntu-bruger kender jeg alt til besværlighederne med nem-id, så en bedre løsning er da velkommen, men er sådan et DDoS-angreb ikke at betragte som kraftig sidevind på Storebæltsbroen?

  • more_vert
    • insert_linkKopier link
22
Morten Jensen
15. april 2013 kl. 05:17

@kurt christensen

Som Ubuntu-bruger kender jeg alt til besværlighederne med nem-id

Har du nogle særlige problemer med NemID på Ubuntu, som du ikke oplever på andre platforme? Hos mig kører det ens på Windows og Linux

  • more_vert
    • insert_linkKopier link
11
Claus Winther
12. april 2013 kl. 13:34

"Vi vil ikke udtale os og se ekstremt dumme ud, men det var bestemt enormt massivt!"

Hvem sagde inkompetence af den mest formidable skuffe?!

  • more_vert
    • insert_linkKopier link
10
Kaare Kyndal
12. april 2013 kl. 12:21

Jeg dør lidt inden i hver gang der skal bruges flere penge på denne falitløsning!!

Know when to hold em, know when to fold em!! It is the time to fold em now!

Skrot det og lave en løsning der virker, det er super pinligt for Danmark det her!

  • more_vert
    • insert_linkKopier link
9
Flemming Larsen
12. april 2013 kl. 12:18

Som en TV reklame så fint siger det: Få det nu fikset!

Et system som vedrører mange danskere bør bare fungere uden større problemer. Nets... tag nu tyren ved hornene og få gjort noget ved problemerne - også selvom det koster flere penge!

  • more_vert
    • insert_linkKopier link
7
Peter Mærsk-Møller
12. april 2013 kl. 12:00

Hvis Nets Siger og rent faktisk mener, at angrebet på NemID var "massivt" og vi antager at påstanden om, at angrebet blev iværksat for 10 dollar, så har vi en virkelig en foruroligende situation. I så fald har vi en monopolleverandør af en kritisk vigtig infrastrukturkomponent til samfundet, der ikke alene har implementeret komponenten med en fatal lav evne til at modstå angreb, men også fejler fatalt i dels at indse, at de har fejlet og dels at fatte omfanget af problemet eller evner at fatte de univers de opererer i.

Ekendelse burde være første obligatoiriske skridt mod dels at genskabe troværdigheden, om ikke for Nets så for NemId, og dels mod rent faktisk at fixe problemet.

Dette burde være højprioriteret af ministeren.

  • more_vert
    • insert_linkKopier link
5
Kaare Kyndal
12. april 2013 kl. 11:47

Hvorfor har vi i Danmark et it-sikkerhedssystem som så gennemgående elendigt og pinligt!

  • more_vert
    • insert_linkKopier link
25
Hans-Michael Varbæk
15. april 2013 kl. 06:38

Hvorfor har vi i Danmark et it-sikkerhedssystem som så gennemgående elendigt og pinligt!

Fordi vi ikke er blevet udsat for nogle særligt store angreb endnu, og de angreb der har været, har firmaerne og regeringen bag ved ikke oplyst os om endnu, eller fundet ud af, er sket.

"Hvorfor bruge penge på IT-sikkerhed når vi bare er uinteressante for hackere, er et lille firma, osv.", der er masser af dårlige undskyldninger i Danmark for ikke at bruge penge på sikkerhed. Hvis man kigger mod f.eks. England er IT-sikkerhedsindustrien kæmpe, fordi de tager IT-sikkerhed seriøst. Det samme gør lande som USA, Australien, Canada, Kina, Rusland, osv. Men i Skandinavien hænger vi stadigvæk fast i et 80'er univers hvor firmaer ikke bliver hacket, kun hvis Kevin Mitnick synes det kunne være skægt, men der bor jo ikke nogen hackere i Danmark, eller for den sags skyld hackere som er interesserede i Danmark host som om host

Nu bor jeg dog ikke i DK for tiden, så generelt kunne jeg være ligeglad når mere af infrastrukturen (hos regeringen eller de firmaer med følsom data) bliver angrebet før eller siden. Det er kun et spørgsmål om tid.

  • more_vert
    • insert_linkKopier link
6
Thomas Myrup
12. april 2013 kl. 11:53

Its all about money :)

Den der kunne komme med den billigste løsning, fik lov til at levere det. Sådan fungere offentlig verden idag desværre.

  • more_vert
    • insert_linkKopier link
8
Dennis Thrysøe
12. april 2013 kl. 12:08

Billigste løsning? Heh.

Hvorfor kunne man ikke have brugt OpenID + en open source OCES implementation (puste støvet af OpenOCES?). Hvad kan NemID som man ikke kunne med en sådan løsning?

Selv central opbevaring af nøgler kunne tilbydes i markedet, såfremt efterspørgslen var der.

  • more_vert
    • insert_linkKopier link
4
Max Jakobsen
12. april 2013 kl. 11:34

Det må da være muligt at blokere en IP adresse der har forsøgt at logge på en gang så der skal gå 5 - 10 - 20 minutter før den får tilladelse igen. Det kunne indføres når der er pres på systemet og slås fra når der ikke er behov.

  • more_vert
    • insert_linkKopier link
3
Patrick LALA
12. april 2013 kl. 11:21

"Vi har ikke taget sikkerheden og truslen om at et DDoS angreb kunne forekomme seriøst. Samtidig har vi fejlet da vi byggede platformen til NemID, da vi valgte en centraliseret struktur. Vi starter nu forfra, og denne gang lytter vi til folk som ved noget om det"

  • more_vert
    • insert_linkKopier link
1
Niklas Hegnelt
12. april 2013 kl. 10:54

»Vi ønsker ikke at kommentere på, hvilke konkrete tiltag vi har taget i brug for at neutralisere fremtidige angreb. Det vil give for klart et billede af, hvad der foregår hos os,«

Nej, det tror da pokker.

  • more_vert
    • insert_linkKopier link
2
Kristian Lund
12. april 2013 kl. 11:04

»Vi ønsker ikke at kommentere på, hvilke konkrete tiltag vi har taget i brug for at neutralisere fremtidige angreb. Det vil give for klart et billede af, hvad der foregår hos os,«

Mao. Nets er dybt dedikeret til Security Through Obscurity, udover at være dybt overrasket over eksistensen af DoS angreb.

Et klassisk grine/græde dilemma...

  • more_vert
    • insert_linkKopier link