It-ordfører: Alarmerende let at vælte NemID

Torsdagens DDoS-angreb, som lammede NemID i timevis, kostede 10 dollars at gennemføre. Politikere vil nu have strammet sikkerheden.

Det var ikke en stor, international organisation, som stod bag DDoS-angrebet mod den nationale login-tjeneste NemID torsdag, men to unge fyre, der blot ville demonstrere, hvor lidt der skulle til for at skabe digital ravage i timevis.

Læs også: Gerningsmænd bag angreb afslører: NemID sendt i sort for 10 dollar

Og den afsløring finder Dansk Folkepartis it-ordfører, Dennis Flydtkjær, der er uddannet datamatiker, ’alarmerende’.

»Det er alarmerende, at det er så nemt at gennemføre sådan et angreb. NemID bliver jo et mere og mere kritisk knudepunkt for Danmark. Ud over bankerne bliver der jo flere og flere offentlige hjemmesider, hvor det er nødvendigt at bruge NemID,« siger han til Version2.

Han nævner som eksempel det kommende lovforslag, der vil gøre digital selvbetjening til eneste mulighed på 20 nye områder, blandt andet i forbindelse med begravelser.

Også fra den anden ende af Folketingssalen bliver NemID-løsningen kritiseret for ikke at kunne modstå et angreb af den omtalte kaliber.

»Når det er et krav fra det offentlige side, at man skal bruge NemID for eksempel til Digital Post, må man også som minimum forvente, at finansministeren og Digitaliseringsstyrelsen stiller nogle meget skrappe krav til de løsninger, man tvinger alle til at bruge,« siger Stine Brix, it-ordfører for Enhedslisten, til Version2.

Hun har flere gange tidligere stillet kritiske spørgsmål om NemID til finansminister Bjarne Corydon (S), som er politisk ansvarlig for projektet. Men uden meget held.

»Det er bestemt ikke første gang, at der har været sikkerhedsproblemer med NemID, men eneste reaktion fra ministeren har været, at han gang på gang afviser, at der skulle være nogen problemer. Hvis det skal blive bedre, kræver det jo, at finansministeren og Digitaliseringsstyrelsen erkender, at der er brug for højere sikkerhed for NemID,« siger hun.

Alle folketingets it-ordførere har næste fredag et møde med Nets DanID, der driver NemID. Her vil firmaet fortælle om løsningen, mens it-ordførerne har en stak kritiske spørgsmål med. For eksempel ønsker Dennis Flydtkjær nu overblik over, hvor godt rustet Nets DanID er mod DDoS-angreb.

»Det er værd at få undersøgt nærmere, om der er brug for mere kapacitet eller højere sikkerhed. Det kan også være, at det er svært at gøre noget ved DDoS-angreb,« siger han.

De DDoS-angreb, der har været mod NemID på det seneste, drev over eller blev ’nedkæmpet’ på et par timer. Men omvendt har det tilsyneladende også været meget begrænsede ressourcer, der skulle til for at få skabt ballade. Et mere seriøst angreb kunne derfor se anderledes ud.

»En stor, fremmed magt - for eksempel Kina - kunne jo nok lægge NemID ned i dagevis,« siger Dennis Flydtkjær.

Version2 har prøvet at få en kommentar fra finansminister Bjarne Corydon, men hans pressechef henviser til embedsmændene i Digitaliseringsstyrelsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Allan S. Hansen

Hvad med at skrotte denne falitløsning og lave noget ordenligt!!

Der er desværre for meget politisk prestige i den nuværende løsning at jeg tvivler på mange af de besluttende politikere har interesse i at vende rundt nu.

Mange af de argumenter der blev brugt for NemID da det skulle udvikles og indføres var allerede problematiske og misvisende. Java-sårbarheden som en af de største, hvor argumentet var at i modsætning til DigitalSignatur så betød det ikke noget hvis brugerens computer blev kompromitteret hvis der blev benyttet NemID.

Vi er fanget i NemID i mange år endnu, og på et senere tidspunkt vil det være for sent fordi for meget er bundet op på NemID. Bare se på hvor afhængige vi er af CPR registeret.

Jan Ulrich Jensen

Det er for usikkert at tvinge både banker, A-kasser og diverse offentlige myndigheder til at bruge det samme system. Det er alt for nemt og billigt at lægge "det digitale Danmark" ned.
Fagfolk har påpeget det fra starten, men politikerne har stort set ingen IT-kundskaber.
Borgerne bør have ret til at aflevere oplysninger til fx Skat og A-kasse i papirform, så længe den digitale løsning er så dilettantisk. Det er OGSÅ en slags VELFÆRD.
Bankerne burde konkurrere indbyrdes om den bedste digitale løsning til netbank mv. - som de gjorde før NemID.
Små nye online-børshandelsfirmaer som Nordnet og Saxo Privatbank har begge bedre og sikrere systemer end NemID.

Sune Foldager

Siden artiklen som postulerede 10 dollars kom har jeg tjekket priser på diverse booters (mest fordi jeg overvejede at lave et angreb på mig selv).
Prisen på 10 dollars ser faktisk ikke urealistisk ud.

Javist, men $10 for hvad? Hvad får du adgang til der? En maskine er jo næppe nok til det her. Man får jo nok ikke adgang til et helt botnet for $10.

Edit: Tak til downvoters for at poste en 100% faktuel kommentar om kildekritik :).

Peter Mærsk-Møller

Enig, men vil foreslå, at Dennis Flydtkjær benytter et Pippi Langstrømpe eksempel til at forklare de respektive IT

Helst ikke. Rigtig mange på Borgen mener at følgende Pippi Langstrømpecitat er ganske vidunderligt.

Det har jeg ikke prøvet før, så det kan jeg godt

Gæt selv hvilke fraktioner, der foretrækker at bruge Pippi Langstrømpe til at retfærdiggøre deres synspunkter.

Visse beslutningstageres fascination af citatet kan være en medvirkende årsag til resultatet så som Polsag, Amanda og IC4 men også igangsættelseskatastrofen af den digitale Tinglysning.

Kasper Grubbe

Javist, men $10 for hvad? Hvad får du adgang til der? En maskine er jo næppe nok til det her. Man får jo nok ikke adgang til et helt botnet for $10.

Jeg tror SYN-floods ligesom Slowloris angrebet ikke kræver en hær af maskiner, men kan gøre serverne travle uden særlig meget båndbredde. Du betaler sikkert $10 for adgang til en inficeret maskine du kan bruge anonymt til dine gøremål.

Benjamin Bach

Dette står i pressemeddelsen fra DanishLulzTeam:

Vi vil gerne pointere over for jer at vi IKKE er 12-årige "script kiddies" som har købt adgang til et simpelt værktøj på nettet til 10$

Så nu har de BÅDE udstillet, at det står RIGTIG skidt til inden for den danske journalist-stand, OG at NemID er noget lort :)

Historien er self. gået alle medier rundt, selvom der står helt eksplicit, at de ikke har brugt $10 (eller 50 kr).

Lars Bengtsson

Historien er self. gået alle medier rundt, selvom der står helt eksplicit, at de ikke har brugt $10 (eller 50 kr).


Ja, ja, der står $10. Men det var til et værktøj. Et værktøj og en booter er ikke det samme. Så det er ikke i modstrid med artiklen her på v2, det står på pastebin.

En booter er vist en inficeret webserver, og webservere har som regel bedre netværkshardware end en normal PC.

Så selv "høns og fjer".

Finn Christensen

For eksempel ønsker Dennis Flydtkjær nu overblik over, hvor godt rustet Nets DanID er mod DDoS-angreb.

Dennis, hvis du fik noget ud af uddannelsen som Datamatiker, ved du sikkert at det ikke nytter at spørge/lappe/rette hvis grundproblemet er et andet eller konstruktionen født forkert

Der skal en anden løsning til, da den centrale tanke er et misfoster.

Brug hellere spørgetiden til at kræve tidshorisont for anden ny løsning lavet fra bunden af for den offentlige del af systemet - (bankernes del.. glem dem, de kan lege i deres verden som de vil).

Kræv en tidsplan for denne nyudvikling og etablering etc. og se blot, at en anden løsning er alt for mange år frem i tiden, før den er gennemført!

Her er det problematiske og det spørgsmål, som er vigtigt, og ikke Nets forsikringer om nuværende lappescenarie. Vi kan altså ikke 'lige' magte eller 'ordne' det her nye problem, ej heller de næste som kommer, da de alle er bundet til en og samme grundliggende fejl - en eneste flaskehals, et eneste angrebsmål = den centrale nøgle.

Hvad med at skrotte denne falitløsning og lave noget ordenligt!!

@Kaare Kyndal
Ja da, og hurtigst muligt. Men det kræver jo nogle mennesker på tinge, der ikke lader sig købe eller besnakke. It og politik er som fjerntliggende galakser - fagområder der faktisk intet som helst har fælles, så enhver med lidt politik i maven kan man trække rundt ved næsen.

...og de få på tinge, der har en fornemmelse af problemet, har nok ikke hår på brystet.

Lars Skovlund

Problemet er vel, at man har tre aspekter der griber ind i hinanden: Sikkerhedsniveau, brugervenlighed og (politisk) ambitionsniveau. Det er min klare opfattelse, at det vi er vidne til er en variation af ingeniørens trekant (good, cheap, fast - pick any two). Man har politisk valgt at sætte ambitionsniveauet højt, så må forventningerne til en af de andre parametre nødvendigvis slækkes. Hvad vil vi helst slække på? - jeg stemmer for at sænke ambitionsniveauet til fordel for resten.

Torsten Hagemann

Robert, det emne har været diskuteret mange gange og ganske indgående på Version2, se fx http://www.version2.dk/blog/problemet-med-nemids-generelle-sikkerhed-43480 for en del information, bl.a. også om alternativer. Der er flere andre gode artikler og ikke mindst debatter om emnet. Og PHK besvarer tildels dit spørgsmål på forkant her http://www.version2.dk/blog/nemid-i-langsom-gengivelse-15893 (ok, det er nogle år siden, men han forudså ret pænt hvad du tænkte på).

Log ind eller Opret konto for at kommentere