Fortsatt mange nettbank-hull

Allerede i 2003 publiserte professor Kjell Jørgen Hole ved Selmersenteret - forskningssenteret for kodeteori og kryptologi ved Universitetet i Bergen - en rapport som dokumenterte svak sikkerhet i flere norske nettbanker. Kombinasjonen av eksplosiv vekst i kundemassen og bruk av forutsigbare fødselsnumre og korte pinkoder som autentisering gjorde det mulig å gjette seg frem til gyldig innloggingsinformasjon.

Flere banker har forbedret autentiseringsmekanismene siden den gang, men bankene støtter seg fortsatt til hemmelighold som sikkerhetsstrategi. Hackere lyktes likevel i angrep mot norske og svenske nettbanker i vinter. Det har ført til at bankene, Finansnæringens Hovedorganisasjon, Sparebankforeningen og Bankenes Sikkerhetskontor nå samarbeider om nye sikkerhetstiltak som skal legges frem i februar. Kredittilsynet skal deretter vurdere om det er godt nok.

LES OGSÅ: Krypterte ikke mobilbanken

- Bankenes sikkerhetsstrategi baserer delvis seg på hemmelighold for å forhindre angrep, som stammer fra den tiden man snakket om fysisk sikkerhet. Det er klart at man ikke skal gi fra seg plantegninger, men hemmelighold vanskeliggjør samtidig periodisk, uavhengig evaluering av sikkerheten. Det er avgjørende at de vet hvilken type informasjon som må holdes hemmelig, og hva som må deles for å forbedre sikkerheten i norske nett- og mobilbanker, mener Hole.

Feilkonfigurert SSL

Den siste forskningsrapporten fra Hole og postdoktor Vebjørn Moen ble lagt fram under HackCon i forrige uke, viser hvordan mange nettbanker opererer med feil konfigurasjon av SSL (Secure Sockets Layer).

Bankene godtar at kunden ikke krypterer nettleseren, eller gjør det med svært korte nøkler, typisk bare 40 bits. Det høres kanskje mye ut, men med moderne hjelpemidler er anslått tid for å knekke en 40 bits nøkkel kun fire sekunder.

- 40 bits krypteringen gir ingen sikkerhet, og det er merkelig at de tillater det. At de konfigurerer SSL på den måten er egentlig ikke så forferdelig farlig, men det indikerer at det er noe de ikke skjønner. Dette er helt unødvendig, så enten er de selv ikke klar over dette, eller så har de dårlige rutiner for å evaluere sin egen sikkerhet, mener Hole.

Ser ikke risikoen

Fortsatt er det fullt mulig å gjennomføre tjenestenekt-angrep som kan ta ned de aller fleste nettbankkontoer, og lengden på pinkodene er stort sett begrenset til fire siffer. Hole reagerer på at bankene avfeier Selmer-senterets beregninger som akademikerangrep, samtidig som nettbankene blir tappet for penger av vellykkede angrep.

- Jeg har demonstrert at dette er praktisk lett mulig, men det betyr ikke at vi er så mye smartere enn bankene. Det betyr bare at de ikke fått øynene opp for risikoen. Nå må de betale prisen for bare å snakke med seg selv, sier Hole.