Professor hacket BankID

Professor Kjell Jørgen Hole ved Universitetet i Bergen har lenge advart mot svak sikkerhet i BankID-løsningen. Han føler seg avvist og ikke tatt på alvor av banknæringen, og har nå gått til drastiske skritt for å vise svakhetene ved Norges ledende sikkerhetsløsning for nettbanker.

- Sikkerheten ved autentiseringen (påloggingen, red.anm.) er meget svak. Vi har vist at det er mulig å stjele identiteten. For å få til dette har vi tenkt som de kriminelle, og benyttet oss av kjente angrepsteknikker, sier Hole til Computerworld.

Ni måneder

Siden februar har Hole og hans gruppe med doktorgradstudenter innen anvendt datasikkerhet gjennomført målrettede angrep mot to banker der de selv har konti.

LES OGSÅ: Tar avstand fra professor-hack

Helt frem til november, altså i over ni måneder, har Hole gjort demonstrasjoner for gruppen, samt andre sikkerhetseksperter. Blant andre har et firma i Bergen med kunder i banknæringen blitt vist angrepet.

Gjennom angrepet viser Hole og hans gruppe hvordan bankinformasjon blir blottet for en angriper, uten at offeret er klar over det, og penger kan overføres til andre konti.

Lovlig forskning?

- Låvedøren har stått åpen siden dag én. Siden vi begynte med forskningen, har vi informert Bankenes standardiseringskontor (BSK) og bankene om svakhetene. Likevel blir vi ikke tatt på alvor, og vi har kunnet fortsette gjennom året, sier Hole.

Særlig én student i gruppen har jobbet frem programkoden for å knekke nettbankløsningen, og det krevde ikke mer enn 100 arbeidstimer. Hole vil ikke gå ut med studentens navn, fordi vedkommende snart skal ut på arbeidsmarkedet. Det de har drevet på med er mislikt av mange.

- Har du vurdert lovligheten av denne forskningen?

- Ja, jeg har tenkt mye på det. Vi benytter oss av såkalt " responsible disclosure", der vi holder eierne informert fra begynnelsen. Men etter hvert må vi ta hensyn til kundene og gå ut med informasjon, forteller Hole.

Velprøvde teknikker

De kjente teknikkene som Hole viser til er nettfiske, eller phishing, etterfulgt av et "man in the middle"-angrep. Dette betyr at de har sendt ut en epost som ser ut som om den er fra banken, og som inneholder en lenke. Men i stedet for å bli sendt til den ekte nettbanken, blir brukeren sendt til et fiktivt nettsted som ser ut som nettbanken.

- BankID-programvaren blir lastet inn på siden på vanlig måte, som på enhver vanlig nettbank. Men etter at brukeren har logget seg på, tar vi over forbindelsen til nettbanken. I tillegg kan vi sende kunden en feilmelding og be om et ekstra engangspassord slik at vi kan utføre en transaksjon i nettbanken, forteller Hole.

Han er provosert over at BankID skryter av å være blant verdens sikreste nettbankløsninger, samtidig som løsningen lett kan misbrukes ved bruk av velkjente metoder.

Ikke fikset

Ifølge Hole sa BSK at svakheten ble fikset i mars. Likevel har ikke hans gruppe sett noe til det, og de har kunnet kjøre angrepene frem til november.

Hole presiserer at de kun har benyttet seg av egne brukerkonti, og ikke sendt ut fiktive epost til andre.

Forskningen knyttet til angrepet kommer til å inngå i de tre studentenes doktorgradsavhandlinger, og de skal disputere i mars og april neste år.

LES OGSÅ: Sikkerhetshull i BankID

Computerworld kommer tilbake med mer om denne saken.