Sikkerhedseksperter forundrede: MitID står åbent for sabotage
Om blot en måned skal alle danskere have oprettet sig med MitID, der fremover skal tjene som den primære digitale underskrift i Danmark. Men i brugervenlighedens navn har man slækket på it-sikkerheden og designet Danmarks digitale flagskib, så det er sårbart over for angreb fra fremmede stater og andre, der vil lukke ned for MitID i større skala.
Sådan lyder vurderingen fra flere eksperter, efter at Version2 har afdækket, hvordan designfejl i MitID gør det muligt først at gætte brugernavne i hobetal og siden blokere deres adgang til MitID.
»Der er virkelig ting i gang nu. Der er folk derude, der tænker: ‘Vi vil skade jer og er ligeglade med penge. Vi vil angribe de digitale løsninger, I er så stolte af.’ Det er ikke umuligt at forestille sig, at man er sur over, at vi har trænet soldater og leveret militært udstyr til Ukraine, så nu slukker de for MitID for 400.000 mennesker – fordi de kan,« lyder vurderingen fra Jan Lemnitzer, der er lektor på CBS og underviser i it–sikkerhed og forsker i cyberpolitik.
Han bakkes op af Thomas Wong, der er chef for it-sikkerhedsvirksomheden Improsecs risikovurderingsenhed.
»Hvis jeg var Rusland eller en anden mindre venskabelig stat, ville jeg først køre listerne igennem, måske krydse dem lidt, tilføje nogle tal og komme op på en halv million brugere. Og så ville jeg sende requests ud på alle de steder, der accepterer MitID. Se, hvem der hoppede i, og tage den derfra,« siger Thomas Wong.
Han undrer sig over, at man med åbne øjne har accepteret den risiko, da man lavede systemet. For der er ikke tale om bugs eller fejl i systemet. Angrebet mod MitID kan lade sig gøre på grund af features, der bevidst er en del af designet.
Stærke kræfter på spil
Ifølge Jacob Herbst, der er CTO i it-sikkerhedsfirmaet Dubex og som sidder med i statens cybersikkerhedsråd, er angrebet interessant for folk, der vil lave målrettede chikaneangreb, aktivister, der vil sende et budskab i forhold til MitID eller staten samt sidst men ikke mindst andre fjendtligt indstillede stater, der kunne bruge angrebet til at forstyrre en »nøglefunktion i vores digitaliserede samfund,« som han siger det.
Det er et angreb, en teenager ville kunne sætte i gang – det er simpelthen vildt.
Jan Kaastrup, partner i it-sikkerhedsfirmaet CSIS
»På grund af de geopolitiske spændinger er der i øjeblikket nogle mørke kræfter, der har en stor interesse i at skubbe til vores tillid til vores fælles systemer,« siger Jacob Herbst og henviser til den nylige sabotage mod gasrørledningerne på bunden af Østersøen.
Der er også stadigt flere eksempler på hackerangreb som statssabotage. Det nyligste er i Albanien, hvor statshackere eller hacktivister netop har lagt administrative systemer ned.
»I en kontekst, hvor nogen er vrede over Danmarks ageren, giver det her angreb mening,« lyder det fra Jan Lemnitzer fra CBS.
Angreb kan læres på tre uger
Den metode, Version2 har benyttet i sin undersøgelse, er både enkel og effektiv, lyder det fra partner i it-sikkerhedsfirmaet CSIS, Jan Kaastrup:
»Forestil dig pandemien i dens storhedstid, hvor alle skal ind og booke vaccinetider, og nogen så fyrer sådan et angreb af. Det er et angreb, en teenager ville kunne sætte i gang – det er simpelthen vildt.«
Også på IT-Universitetet i København (ITU) fører undersøgelsen til løftede øjenbryn:
»Det er utrolig simpel kode. Hvis du har kigget på, hvordan systemet virker, kan det gøres på én linje. Det er ikke mere avanceret end at lave en hjemmeside, og mine studerende lærer denne form for angreb i løbet af de første to-tre uger på mine kurser,« siger Carsten Schürmann, der er professor i it-sikkerhed på ITU.
Den første del af angrebet går ud på at gætte MitID-brugernavne i hobetal. Uden dem kan vi ikke udføre anden del af angrebet. Heldigvis for vores kodestump, der udfører angrebet, kræver MitID ingen kode, så vi skal kun gætte et brugernavn. Der tages heller ikke højde for store eller små bogstaver, og det gør det endnu nemmere at gætte løs.
Efter en kort test viste det sig, at man kan gætte forkert 200 gange i timen, før MitID lukker i. Et højt tal, ifølge flere eksperter. Derfor satte vi en kode op, der fra to forskellige IP-adresser systematisk afprøvede alle danske fornavne. Over en nat fandt den 10.000 brugernavne.
Dermed gik vi videre for at bevise, at brugerne kan lukkes ned i større skala. 17 frivillige indgik i forsøget og blev lukket ned af en anden lille kodestump, der konstant indtastede deres korrekte brugernavne. Så længe den gør det, kan de rigtige indehavere ikke logge ind, og deres MitID-app vil konstant vise dem en anmodning om at swipe. Hvis de swiper, lukker de angriberen ind.
Denne kodestump kørte samlet set mere end en uge uden at blive opdaget. I tre dage afholdt den ti brugere fra at logge på MitID ved at sende op mod 600 anmodninger i timen til MitID’s servere – uden at blive lukket ned. I en kortere periode på fem timer holdt den 17 brugere ude uden at blive lukket ned af MitID’s systemer. Der er med andre ord intet, der tyder på, at 100 eller flere forskellige IP-adresser, der kan fås gratis på nettet på forskellig vis, ikke kan udføre angrebet samtidig uden at blive lukket ned.
Ingen af vores algoritmer var optimerede i forhold til ydeevne.
Kan logge angribere ind
Hvis det frustrerede offer åbner sin app for at se, hvad der foregår, vil der ligge en anmodning klar til at swipe på. Hvis offeret i frustration eller nysgerrighed swiper, lukker man angriberen ind med den højeste form for identifikation, vi har i Danmark.
»Generelt er tommelfingerreglen, at sender man tofaktor ud til folk, der ikke selv har bedt om den, accepterer mellem 10 og 20 procent anmodningen. Selv hvis det tal er meget lavere, vil man ramme mange danskere, hvis man skalerer jeres angreb op,« vurderer Thomas Wong, der tror, at man som angriber kan få ganske mange til at hoppe på limpinden.
»Der står i MitID-appen, hvor requesten kommer fra. Men forestil dig, at du sidder og betaler inde i banken, på skat.dk eller et andet sted og har problemer med at logge ind. Og så ligger der en anmodning klar. Hvis man åbner appen og forventer en anmodning, så swiper man,« siger Thomas Wong.
»Jeg synes virkelig, de har fejlet, og jeg synes, dit eksperiment viser det til UG med kryds og slange. Der er fire af dine frivillige forsøgspersoner, der ender med at swipe, selvom du specifikt sagde, de ikke skulle gøre det. Det er ret sigende,« siger Jan Kaastrup, efter at være blevet sat ind i Version2’s undersøgelse.
Svaghed føjer til svaghed
Eksperterne er enige om, at MitID på nogle måder er mere sikkert end NemID. Men også om, at en kombination af mange designvalg åbner MitID op for simple script-angreb, hvor små kodestumper får lov at trawle systemet for brugernavne og udelukke dem fra systemet efterfølgende.
Særligt ét designvalg er skæbnesvangert for sikkerheden i den nye, digitale universalnøgle som MitID er for danskere.
»Det er et dårligt sikkerhedstræk at fjerne kodeordet, for havde der været det mindste password eller blot en pinkode på seks cifre, skulle man igennem 10.000 muligheder for at gætte kodeordet alene – og derudover skulle man gætte brugernavnet,« lyder det fra Thomas Wong, som bakkes op af flere af de andre eksperter, Version2 har talt med. Det bliver kun værre af, at man får at vide, om en bruger eksisterer eller ej, når man prøver at logge ind.
»Det dur simpelthen ikke, at man har positiv feedback og kan se, om brugernavnet eksisterer eller ej, når der ikke er en kode,« fortsætter Wong.
Version2 har spurgt Digitaliseringsstyrelsen, der sammen med Finans Danmark ejer MitID, hvorfor man får at vide, om en bruger eksisterer eller ej.
»Det er jo den måde, systemet fungerer på. Der vil altid være en balance mellem brugervenlighed og sikkerhed,« siger Adam Lebech, der er vicedirektør i Digitaliseringsstyrelsen.
Læs også: Myndighed bag MitID efter kritik af sikkerheden: »Det er sådan, systemet er«
Han fastholder, at man har valgt den rigtige balance, men understreger gentagne gange, at der er et konstant arbejde i gang med at sikre MitID.
»Niveauet skal altid vurderes i forhold til risikoen for at lukke uskyldige ude. Der er dog konstant overvågning af, hvilke risici der er i systemet. Der er alarmer og den slags.«
Alle gode gange 200
De alarmer var imidlertid svære at få øje på under Version2’s tryktest af MitID. Undersøgelsen er lavet i samarbejde med de to nyligt uddannede it-kandidater med speciale i sikkerhed fra ITU, Anders Sparrevohn og Lukas Hundt Petersen, der allerede i vinteren 2021 advarede Digitaliseringsstyrelsen om, at et blokeringsangreb som dette var teoretisk muligt.
»Det tog ikke længe at finde ud af, at man kan gætte forkert 200 gange i timen uden at blive stoppet. MitID afslører også, om offeret swiper, annullerer anmodningen eller selv forsøger at logge på,« siger Lukas Pedersen, der sammen med Anders Sparrevohn undersøgte det aldrende NemID’s sikkerhed i deres bachelorprojekt.
Under de tekniske omstændigheder var det nemt at sætte det simple program op til at undgå den ene alarm, der umiddelbart er det eneste værn mod denne slags angreb. End ikke da vi skalerede op til ti sideløbende angreb, bemærkede systemet vores tilstedeværelse.
Adam Lebech mener dog ikke, at det er et problem for sikkerheden i MitID.
»Der er en høj beskyttelse mod denne slags angreb i MitID. Det gælder både for den enkelte IP og mod distribuerede angreb. Dels er beskyttelsen cloudbaseret, den er ISP-baseret, og der er dedikeret hardware, der beskytter mod denne slags angreb. Der er også andre tiltag, vi ikke vil gå i detaljer med,« lyder det fra Adam Lebech, som dog ikke ønsker at forholde sig konkret til vores undersøgelse.
Ingen af de foranstaltninger, han nævner, stoppede vores angreb på noget tidspunkt.
Datatilsynet undersøger sagen
Da Version2’s undersøgelse gjorde klart, at vi kunne skaffe MitID-brugernavne i titusindvis, henvendte vi os til Datatilsynet, der ser på sagen med alvor. MitID-brugernavne er nemlig persondata, idet de leder tilbage til én konkret person.
Det vil sige, at designfejlene også kan føre til datalæk, idet brugernavnene nemt kan trækkes ud af databasen, for ikke at tale om de tilfælde, hvor angriberen logges ind af offeret.
»Det er med garanti ikke hensigtsmæssigt, at man kan hive så mange brugernavne ud af systemet på så kort tid. Spørgsmålet er, om det er en del af deres design, samt om de har risikovurderet efter det. Det er det, vi vil spørge dem om,« siger it-sikkerhedsspecialist i tilsynet Allan Frank, der synes undersøgelsen lyder »spændende og bestemt relevant for Datatilsynet.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
