Nets om kollapset NemID-forsvar: DDoS-angreb var 'massivt'

Nye sikkerhedsforanstaltninger efter DDoS-angreb i marts var utilstrækkelige til at stoppe torsdagens angreb mod NemID. Nets mørklægger sikkerheden.

Forsvarsværkerne omkring NemID-systemet viste sig at være utilstrækkelige, da anonyme personer torsdag morgen iværksatte et netværksangreb mod NemID's server. Nets DanID, som står for driften, havde ellers taget nye forsvarsmidler i brug efter lignende angreb i marts.

»Angrebet den 25. marts var ikke nær så massivt som det torsdag. Vi havde implementeret forskellige tiltag, men de var ikke robuste nok,« siger pressechef Søren Winge fra Nets DanID til Version2.

Læs også: Frygt for DDoS-angreb: NemID sendt til tælling i 2 timer

DDoS-angrebet, der torsdag lagde NemID-systemet ned i syv timer, forhindrede i praksis brugen af NemID til login på offentlige tjenester.

De personer, der over for Version2 hævder at stå bag, oplyser, at der var tale om et forholdsvis simpelt angreb i form af en såkaldt Syn flood af forespørgsler rettet mod den server, der leverer den Java-applet, som bruges til NemID-login.

Læs også: Gerningsmænd bag angreb afslører: NemID sendt i sort for 10 dollar

Ifølge de personer, Version2 har været i kontakt med, kunne angrebet have været forhindret med én enkelt regelændring i konfigurationen af firewallen, der beskytter NemID-serveren.

Nets DanID oplyser til Version2, at selskabet ikke ønsker at gå i detaljer med sikkerheden i systemet.

»Vi ønsker ikke at kommentere på, hvilke konkrete tiltag vi har taget i brug for at neutralisere fremtidige angreb. Det vil give for klart et billede af, hvad der foregår hos os,« siger Søren Winge.

Nets DanID står efter angreb i marts og med det seneste angreb torsdag i en situation, hvor sikkerheden i forhold til driftsstabiliteten og sårbarheden over for DDoS-angreb skal revurderes.

»Der er i høj grad brug for at tage vores tiltag op til fornyet overvejelse. Allerede i går satte vi nogle nye tiltag i drift. Vi skal også have nogle langsigtede tiltag, for de nuværende er utilstrækkelige i lyset af gårsdagens angreb. Fremover skal det være vanskeligere at afbryde NemID,« siger Søren Winge.

Nets DanID er blandt andet i dialog med Center for Cybersikkerhed under Forsvarsministeriet omkring DDoS-angreb mod NemID-systemet.

Nets DanID har desuden anmeldt både angrebene i marts og angrebet torsdag til politiet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (26)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kristian Lund

»Vi ønsker ikke at kommentere på, hvilke konkrete tiltag vi har taget i brug for at neutralisere fremtidige angreb. Det vil give for klart et billede af, hvad der foregår hos os,«

Mao. Nets er dybt dedikeret til Security Through Obscurity, udover at være dybt overrasket over eksistensen af DoS angreb.

Et klassisk grine/græde dilemma...

Max Jakobsen

Det må da være muligt at blokere en IP adresse der har forsøgt at logge på en gang så der skal gå 5 - 10 - 20 minutter før den får tilladelse igen. Det kunne indføres når der er pres på systemet og slås fra når der ikke er behov.

Simon Lyngshede

I et DDoS angreb er det nok lidt lige meget at blokere en IP adresse i en periode. Mange botnets har IP adresser nok til at der er lidt ligegyldigt at det enkelte IP bliver blokeret. Desuden, hvordan vil du se forskel på et reelt request til NemID og et der er en del af DDoS angreb?

Det lyder til at NemID var udsat for et SYN-flood angreb, hvilket sikkert kan håndteres i en firewall, men hvad hvis der havde været tale om helt reele requests, men rigtigt mange af dem? NemID har den fordel at man i en periode "bare" kan blokere for alt trafik der ikke kommer fra Danmark og så er problemet i hvert fald langt mindre.

Jeg er ikke uenig i at DanID skal gøre mere, jeg synes bare ikke at jeg har set nogle gode forslag til hvad det skulle være. Blokering af trafik der ikke kommer fra danske IP'er kunne være en løsning, men det er heller ikke super ideelt.

Peter Mærsk-Møller

Hvis Nets Siger og rent faktisk mener, at angrebet på NemID var "massivt" og vi antager at påstanden om, at angrebet blev iværksat for 10 dollar, så har vi en virkelig en foruroligende situation. I så fald har vi en monopolleverandør af en kritisk vigtig infrastrukturkomponent til samfundet, der ikke alene har implementeret komponenten med en fatal lav evne til at modstå angreb, men også fejler fatalt i dels at indse, at de har fejlet og dels at fatte omfanget af problemet eller evner at fatte de univers de opererer i.

Ekendelse burde være første obligatoiriske skridt mod dels at genskabe troværdigheden, om ikke for Nets så for NemId, og dels mod rent faktisk at fixe problemet.

Dette burde være højprioriteret af ministeren.

Dennis Thrysøe

Billigste løsning? Heh.

Hvorfor kunne man ikke have brugt OpenID + en open source OCES implementation (puste støvet af OpenOCES?). Hvad kan NemID som man ikke kunne med en sådan løsning?

Selv central opbevaring af nøgler kunne tilbydes i markedet, såfremt efterspørgslen var der.

Kaare Kyndal

Jeg dør lidt inden i hver gang der skal bruges flere penge på denne falitløsning!!

Know when to hold em, know when to fold em!!
It is the time to fold em now!

Skrot det og lave en løsning der virker, det er super pinligt for Danmark det her!

Jørgen Larsen

@Kurt Christensen - Nej, tilgængelighed ER en del af sikkerheden (Confidentiality, Integrity, Availability). Jeg deler ikke helt den ubetinget NemID bashing, som er så populær i dette forum. Kritikkerne er da heller ikke indbyrdes enige. Der er næsten lige så mange løsningsforslag som læsere.

Når ovenstående er sagt, så ER der da meget i NemID løsningen som man med rette kan kritisere (please, undlad venligst at spamme debatten med kritikpunkter som allerede ER vendt adskillige gange). Jeg må indrømme, at Nets håndtering af dette DDOS angreb er ALT ANDET end overbevisende. Det er en problemstilling som man med rette KUNNE forvente Nets var bedre forberedt på.

Sikkerhed er altid en afvejning mellem forskellige faktorer som indsats, sikkerhed, brugervenlighed m.m. Fra politisk hold bør man seriøst overveje om den eksisterende NemID løsning er et fundament man bør bygge videre på. At en lang række kapaciteter har store forbehold overfor NemID løsningen bør mane til eftertanke. Alt andet er da toskedumt.

Hans-Michael Varbæk

Er en dyr, men effektiv løsning. Hvis der er nogen der ved noget om DDoS angreb og hvordan man stopper dem, så er det dem. I forbindelse med de her angreb, kunne de muligvis have haft mindre indflydelse på serverne hvis Nets brugte Amazon, da de har modstået selv meget store angreb fra Anonymous. (Angreb der får det her til at quarks i en kop vand.)

Hans-Michael Varbæk

Hvorfor har vi i Danmark et it-sikkerhedssystem som så gennemgående elendigt og pinligt!

Fordi vi ikke er blevet udsat for nogle særligt store angreb endnu, og de angreb der har været, har firmaerne og regeringen bag ved ikke oplyst os om endnu, eller fundet ud af, er sket.

"Hvorfor bruge penge på IT-sikkerhed når vi bare er uinteressante for hackere, er et lille firma, osv.", der er masser af dårlige undskyldninger i Danmark for ikke at bruge penge på sikkerhed. Hvis man kigger mod f.eks. England er IT-sikkerhedsindustrien kæmpe, fordi de tager IT-sikkerhed seriøst. Det samme gør lande som USA, Australien, Canada, Kina, Rusland, osv. Men i Skandinavien hænger vi stadigvæk fast i et 80'er univers hvor firmaer ikke bliver hacket, kun hvis Kevin Mitnick synes det kunne være skægt, men der bor jo ikke nogen hackere i Danmark, eller for den sags skyld hackere som er interesserede i Danmark host som om host

Nu bor jeg dog ikke i DK for tiden, så generelt kunne jeg være ligeglad når mere af infrastrukturen (hos regeringen eller de firmaer med følsom data) bliver angrebet før eller siden. Det er kun et spørgsmål om tid.

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize