Nets om kollapset NemID-forsvar: DDoS-angreb var 'massivt'

24 kommentarer.  Hop til debatten
Nets om kollapset NemID-forsvar: DDoS-angreb var 'massivt'
Illustration: peepo/iStockphoto.
Nye sikkerhedsforanstaltninger efter DDoS-angreb i marts var utilstrækkelige til at stoppe torsdagens angreb mod NemID. Nets mørklægger sikkerheden.
12. april 2013 kl. 10:02
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Forsvarsværkerne omkring NemID-systemet viste sig at være utilstrækkelige, da anonyme personer torsdag morgen iværksatte et netværksangreb mod NemID's server. Nets DanID, som står for driften, havde ellers taget nye forsvarsmidler i brug efter lignende angreb i marts.

»Angrebet den 25. marts var ikke nær så massivt som det torsdag. Vi havde implementeret forskellige tiltag, men de var ikke robuste nok,« siger pressechef Søren Winge fra Nets DanID til Version2.

DDoS-angrebet, der torsdag lagde NemID-systemet ned i syv timer, forhindrede i praksis brugen af NemID til login på offentlige tjenester.

De personer, der over for Version2 hævder at stå bag, oplyser, at der var tale om et forholdsvis simpelt angreb i form af en såkaldt Syn flood af forespørgsler rettet mod den server, der leverer den Java-applet, som bruges til NemID-login.

Artiklen fortsætter efter annoncen

Ifølge de personer, Version2 har været i kontakt med, kunne angrebet have været forhindret med én enkelt regelændring i konfigurationen af firewallen, der beskytter NemID-serveren.

Nets DanID oplyser til Version2, at selskabet ikke ønsker at gå i detaljer med sikkerheden i systemet.

»Vi ønsker ikke at kommentere på, hvilke konkrete tiltag vi har taget i brug for at neutralisere fremtidige angreb. Det vil give for klart et billede af, hvad der foregår hos os,« siger Søren Winge.

Nets DanID står efter angreb i marts og med det seneste angreb torsdag i en situation, hvor sikkerheden i forhold til driftsstabiliteten og sårbarheden over for DDoS-angreb skal revurderes.

»Der er i høj grad brug for at tage vores tiltag op til fornyet overvejelse. Allerede i går satte vi nogle nye tiltag i drift. Vi skal også have nogle langsigtede tiltag, for de nuværende er utilstrækkelige i lyset af gårsdagens angreb. Fremover skal det være vanskeligere at afbryde NemID,« siger Søren Winge.

Nets DanID er blandt andet i dialog med Center for Cybersikkerhed under Forsvarsministeriet omkring DDoS-angreb mod NemID-systemet.

Nets DanID har desuden anmeldt både angrebene i marts og angrebet torsdag til politiet.

24 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
23
15. april 2013 kl. 05:55

Er en dyr, men effektiv løsning. Hvis der er nogen der ved noget om DDoS angreb og hvordan man stopper dem, så er det dem. I forbindelse med de her angreb, kunne de muligvis have haft mindre indflydelse på serverne hvis Nets brugte Amazon, da de har modstået selv meget store angreb fra Anonymous. (Angreb der får det her til at quarks i en kop vand.)

24
15. april 2013 kl. 06:32

Kunne man reelt set ikke bruge CloudFlare til at modstå sådan et angreb? De ville kunne de-route DDoS angrebet og udnytte en del båndbredde på at holde NemID oppe (<a href="http://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet">htt…;)

Nej, de sender trafikken direkte til serveren hvis angrebet bliver for stort. CloudFlare er ikke en gratis udbyder af DDoS afhjælpning.

14
12. april 2013 kl. 18:00

Før NemID blev lanceret var den kritiseret fra alle ender og kanter, havde man bare lyttet en lille smule var dette angreb umuligt..

12
12. april 2013 kl. 13:57

"Forsvarsværkerne omkring NemID-systemet viste sig at være utilstrækkelige"

Hvordan det, slap der nogen ind?

13
12. april 2013 kl. 17:16

@Kurt Christensen - Nej, det var sådan set det, som var problemet ;-).

16
12. april 2013 kl. 19:33

Det var ironi, forsvaret var stærkt nok. Problemet er et andet end sikkerheden, det er driftsikkerheden det er galt med, men kan man sikre sig for DDoS-angreb?

17
12. april 2013 kl. 21:28

@Kurt Christensen - Nej, tilgængelighed ER en del af sikkerheden (Confidentiality, Integrity, Availability). Jeg deler ikke helt den ubetinget NemID bashing, som er så populær i dette forum. Kritikkerne er da heller ikke indbyrdes enige. Der er næsten lige så mange løsningsforslag som læsere.

Når ovenstående er sagt, så ER der da meget i NemID løsningen som man med rette kan kritisere (please, undlad venligst at spamme debatten med kritikpunkter som allerede ER vendt adskillige gange). Jeg må indrømme, at Nets håndtering af dette DDOS angreb er ALT ANDET end overbevisende. Det er en problemstilling som man med rette KUNNE forvente Nets var bedre forberedt på.

Sikkerhed er altid en afvejning mellem forskellige faktorer som indsats, sikkerhed, brugervenlighed m.m. Fra politisk hold bør man seriøst overveje om den eksisterende NemID løsning er et fundament man bør bygge videre på. At en lang række kapaciteter har store forbehold overfor NemID løsningen bør mane til eftertanke. Alt andet er da toskedumt.

18
12. april 2013 kl. 22:35

Som Ubuntu-bruger kender jeg alt til besværlighederne med nem-id, så en bedre løsning er da velkommen, men er sådan et DDoS-angreb ikke at betragte som kraftig sidevind på Storebæltsbroen?

22
15. april 2013 kl. 05:17

@kurt christensen

Som Ubuntu-bruger kender jeg alt til besværlighederne med nem-id

Har du nogle særlige problemer med NemID på Ubuntu, som du ikke oplever på andre platforme? Hos mig kører det ens på Windows og Linux

11
12. april 2013 kl. 13:34

"Vi vil ikke udtale os og se ekstremt dumme ud, men det var bestemt enormt massivt!"

Hvem sagde inkompetence af den mest formidable skuffe?!

10
12. april 2013 kl. 12:21

Jeg dør lidt inden i hver gang der skal bruges flere penge på denne falitløsning!!

Know when to hold em, know when to fold em!! It is the time to fold em now!

Skrot det og lave en løsning der virker, det er super pinligt for Danmark det her!

9
12. april 2013 kl. 12:18

Som en TV reklame så fint siger det: Få det nu fikset!

Et system som vedrører mange danskere bør bare fungere uden større problemer. Nets... tag nu tyren ved hornene og få gjort noget ved problemerne - også selvom det koster flere penge!

7
12. april 2013 kl. 12:00

Hvis Nets Siger og rent faktisk mener, at angrebet på NemID var "massivt" og vi antager at påstanden om, at angrebet blev iværksat for 10 dollar, så har vi en virkelig en foruroligende situation. I så fald har vi en monopolleverandør af en kritisk vigtig infrastrukturkomponent til samfundet, der ikke alene har implementeret komponenten med en fatal lav evne til at modstå angreb, men også fejler fatalt i dels at indse, at de har fejlet og dels at fatte omfanget af problemet eller evner at fatte de univers de opererer i.

Ekendelse burde være første obligatoiriske skridt mod dels at genskabe troværdigheden, om ikke for Nets så for NemId, og dels mod rent faktisk at fixe problemet.

Dette burde være højprioriteret af ministeren.

5
12. april 2013 kl. 11:47

Hvorfor har vi i Danmark et it-sikkerhedssystem som så gennemgående elendigt og pinligt!

25
15. april 2013 kl. 06:38

Hvorfor har vi i Danmark et it-sikkerhedssystem som så gennemgående elendigt og pinligt!

Fordi vi ikke er blevet udsat for nogle særligt store angreb endnu, og de angreb der har været, har firmaerne og regeringen bag ved ikke oplyst os om endnu, eller fundet ud af, er sket.

"Hvorfor bruge penge på IT-sikkerhed når vi bare er uinteressante for hackere, er et lille firma, osv.", der er masser af dårlige undskyldninger i Danmark for ikke at bruge penge på sikkerhed. Hvis man kigger mod f.eks. England er IT-sikkerhedsindustrien kæmpe, fordi de tager IT-sikkerhed seriøst. Det samme gør lande som USA, Australien, Canada, Kina, Rusland, osv. Men i Skandinavien hænger vi stadigvæk fast i et 80'er univers hvor firmaer ikke bliver hacket, kun hvis Kevin Mitnick synes det kunne være skægt, men der bor jo ikke nogen hackere i Danmark, eller for den sags skyld hackere som er interesserede i Danmark host som om host

Nu bor jeg dog ikke i DK for tiden, så generelt kunne jeg være ligeglad når mere af infrastrukturen (hos regeringen eller de firmaer med følsom data) bliver angrebet før eller siden. Det er kun et spørgsmål om tid.

6
12. april 2013 kl. 11:53

Its all about money :)

Den der kunne komme med den billigste løsning, fik lov til at levere det. Sådan fungere offentlig verden idag desværre.

8
12. april 2013 kl. 12:08

Billigste løsning? Heh.

Hvorfor kunne man ikke have brugt OpenID + en open source OCES implementation (puste støvet af OpenOCES?). Hvad kan NemID som man ikke kunne med en sådan løsning?

Selv central opbevaring af nøgler kunne tilbydes i markedet, såfremt efterspørgslen var der.

4
12. april 2013 kl. 11:34

Det må da være muligt at blokere en IP adresse der har forsøgt at logge på en gang så der skal gå 5 - 10 - 20 minutter før den får tilladelse igen. Det kunne indføres når der er pres på systemet og slås fra når der ikke er behov.

3
12. april 2013 kl. 11:21

"Vi har ikke taget sikkerheden og truslen om at et DDoS angreb kunne forekomme seriøst. Samtidig har vi fejlet da vi byggede platformen til NemID, da vi valgte en centraliseret struktur. Vi starter nu forfra, og denne gang lytter vi til folk som ved noget om det"

1
12. april 2013 kl. 10:54

»Vi ønsker ikke at kommentere på, hvilke konkrete tiltag vi har taget i brug for at neutralisere fremtidige angreb. Det vil give for klart et billede af, hvad der foregår hos os,«

Nej, det tror da pokker.

2
12. april 2013 kl. 11:04

»Vi ønsker ikke at kommentere på, hvilke konkrete tiltag vi har taget i brug for at neutralisere fremtidige angreb. Det vil give for klart et billede af, hvad der foregår hos os,«

Mao. Nets er dybt dedikeret til Security Through Obscurity, udover at være dybt overrasket over eksistensen af DoS angreb.

Et klassisk grine/græde dilemma...