Enkelt å lamme norske nettbanker

Norske bankers ID-løsning, BankId, er et svakt system som lett kan angripes, hevder professor.

I et intervju med DagensIT.no advarer Kjell Jørgen Hole, professor i anvendt IT-sikkerhet ved universitetet i Bergen, mot det han mener er store svakheter med BankId.

BankId er identifiseringssystemet som brukes av over 600.000 nettbankkunder i dag, og som vil bli brukt av hele 2,3 millioner nordmenn før året er omme, for å identifisere seg ved pålogging og betaling i nettbanken.

Behovet for en sikker pålogging for nettbankbrukere er opplagt. Dersom uvedkommende klarer å logge seg inn med en annens brukeridentitet, er det fritt frem for å tømme bankkontoen.

Professor Hole og fem andre forskere har i en rapport kalt «Next Generation Internet Banking in Norway» tatt en gjennomgang av det norske BankiId-systemet. digi.no gått gjennom rapporten: Konklusjonene der er ikke oppløftende for verken nettbankene eller brukerne.

Det største problemet er at BankId åpner muligheten for distribuerte tjenestenektangrep («DDoS»: Distributed Denial of Service). Det er blant annet fordi BankId baserer seg på personnummeret.

Som en sikkerhetsmekanisme, sperrer BankId kontoen til et personnummer hvis det har blitt skrevet inn feil passord tre ganger. Det kan relativt enkelt misbrukes ved å skrive en liten applikasjon som automatisk skriver inn feil passord på en eller flere spesifikke personnummer, eller på hele rekken hvis hensikten er å stanse så mye som mulig av den finansielle infrastrukturen.

«Unlike DDoS attacks at lower network layers, it is not necessary to transmit a large amount of dummy trafic for a long time to close down the accounts, it is only necessary to try to log into each account a small number of times.»

I seg selv er dette et stort problem, men det kan også taes et hakk videre. Etter å ha sperret et spesifikt personnummer, kan angriperne sende ut en klassisk phishing-e-post til vedkommende, med beskjed om hva som må gjøres for å åpne kontoen igjen. Selv om de fleste burde ha lært å ikke gå på slike e-poster, vil det alltid være mange som presterer å gjøre det.

Rapporten er også sterkt kritisk til beskyttelsen mot identitetstyveri i systemet:

«The end-user authentication in BankId is no stronger than the two-factor authentication used in many older Internet banking systems.»

Forutsetningen for å kunne stjele brukeridentiteten med BankId, er at angriperen får tak i PIN-kalkulatoren og kjenner til det personlige passordet. Hvis de greier det, kan uvedkommende laste ned BankId-klienten og bruke den i ro og fred på egen PC.

Ifølge rapporten er det mulig å stjele sesjonene til nettbankbrukerne gjennom parametere på BankId-klienten. Selve Java-appleten er en signert komponent, men det er ikke html-koden rundt den, og i den html-koden kan man endre to parametere som spesifiserer hvilken URL den skal koble seg opp til. Dermed kan en angriper styre trafikken gjennom en proxy som vedkommende kontrollerer.

«Combined phisihing/MitM [(Man-in-the-middle)] attacks can be used to steal sessions initiated by BankId customers because it is possible to change the addresses to which he BankId client connects.»

Hole og hans kollegaer er også svært kritisk til at det er bankene som sitter på baksiden av BankId-identifiseringen, istedenfor en nøytral tredjepart.

«BankId again differs from a typical X.509 PKI since no trusted third party is used to establish non-repudiation information for dispute resolution.»

De mener at det svekker tryggheten til kundene hvis det skulle oppstå en konflikt mellom banken og en kunde, ettersom banken har tilgang til all informasjon om sikkerheten i systemet, mens verken kunden eller uavhengige sikkerhetseksperter får tilgang.

Rapporten advarer også mot at BankId kan bli et enda mer interessant angrepsmål, når det blir flere som tar det i bruk, spesielt hvis det offentlige velger å gå for løsningen.

Dessuten er rapportforfatterne skeptisk til at bankmiljøet med dette systemet kan bygge detaljerte profiler for over halvparten av Norges befolkning:

«... The BankId customers don't know how their personal information is utilized.»

Her kan du lese hele rapporten til Hole og hans kollegaer.

Til toppen