Er sikkerhetsekspertene i LinCom seriøse?

Eystein Grusd fra Secure Group kritiserer konklusjonene til nettbank-testerne i Linux Communications, som fikk store medieoppslag sist uke etter å ha rettet oppmerksomheten mot sikkerhetsproblematikk i norske nettbanker.

Linux Communications har i samarbeid med NRK gjennomført en undersøkelse av sikkerheten i nettbankene i Norge.

Denne undersøkelsen konkluderer med at sikkerheten i norske nettbanker er for lav, og Linux Communications viser hvordan de selv har klart og modifisere en nettbank side. Teknikken som Linux Communications ønsker å ha brukt er en velkjent og gammel metode, kalt "Man in the middle", denne teknikken kan i teorien benyttes til å stå som mellomledd for all informasjon, uansett sikkerhetsløsning og nettbank. Det som Linux Communications i virkeligheten har gjort, er å modifisere websiden som vises for sin egen nettbank, til å vise andre beløp etc. De har ikke, hverken i teori eller praksis, klart å bryte seg inn i noen nettbank. De har heller ikke kunnet bevise lavt sikkerhetsnivå hos noen som helst nettbank.



Man in the middle
Ideen er at man stopper trafikken i sin egen server, modifiserer trafikken før man sender den til mottageren. I teorien kan man gjøre dette med/mot slags mulige applikasjoner og webløsninger, og ikke bare mot noen sine nettbanktjenester. I tillegg krever denne "teorien" at man har tilgang til en maskin som trafikken går igjennom. På et lokalnett kreves ikke dette (Linux Communications beviste dette på et lokalnett) men på lokalnettet sitter kollegene dine, og det finnes andre og enklere måter og lure til seg penger på.

Dersom man ønsker å prøve seg på noen andre sin nettbanktjeneste kreves at man har kontroll over en av de maskinen som trafikken går igjennom. I en vanlig bedrifts' nettverk, så går trafikken fra brukeren sin arbeidsmaskin til en router/firewall i sitt eget nettverk, derifra går trafikken til en isp, som sender trafikken videre til banken(e) sin isp, som sender trafikken videre til bank-maskinene. I denne kjeden må en eventuell "cracker" ha kontroll over en eller flere maskiner for å kunne gjennomføre stuntet.

For å lette forståelsen kan dette sammenlignes med telefonlinjer. Tilsvarende "man in the middle" krever at man har tilgang til en av boksene som telefontrafikken går igjennom, man "bryter" linja og svarer på telefonen når offeret ringer banken sin. Da kan man snappe opp kodeord etc, såfremt ikke kunden oppdager at man ikke prater med banken. Deretter kan man selv ringe banken etterpå for å utgi seg for å være den ekte kunden.

En annen måte å gjennomføre "man in the middle" på er såkalt dns-spoofing. Da setter man sin maskin på nettet, og må sørge for at trafikken som skulle blitt sendt til banken blir videresendt til sin egen maskin. For å kunne gjennomføre dette, må man ha tilgang til dns-serverene som banken benytter, og man har da muligheten til å modifisere trafikken på sin vei. Dette kan sammenlignes med at vi setter opp en campingvogn, et annet fysisk sted enn banken og deretter endrer telefonkatalogen slik at de som skulle på besøk til banken kommer til campingvognen istedenfor.

Hvordan oppdager kunden dette?
Alle banker benytter seg av SSL-sertifikater som skal sørge for at trafikken foregår kryptert mellom banken og kunden. Hvis man prøver å gjennomføre et slikt "man in the middle attack" så må krypteringskjeden brytes, i tilegg til de forannevnte nødvendigheter. Det er fullt mulig å bryte denne kjeden, på flere forskjellige måter, men alle kjente metoder å bryte denne på vil generere i en eller flere visuelle advarsler til brukeren på alle kjente nettlesere. Man kan tvinge trafikken til å gå ukryptert fra kunden sin maskin til "man in the middle maskinen", men da vil man få en advarsel om at man forlater "sikkert område"(dersom man befant seg på et sikkert område) eventuelt en hengelås som ikke vises, eller vises åpen. Mannen i midten kan også "opprette" sin egen nettbank, med et eget SSL-sertifikat, men dette vil ikke samstemme med nettadresse og vil generere i en advarsel i nettleseren om at noe er galt.

Linux Communication føyer seg inn i rekken av sikkerhets-selskaper som gjør alt for å komme i mediene, inkludert børste støv av gamle metoder, pusse litt på dem samt dytte i litt halv-usannheter. Jeg håper at ikke min bank benytter Linux Communication til sitt sikkerhetsarbeid.

PS! Nettbanker er usikkert, men det er sikrere enn kredittkort. Skal man være helt sikker så tar man ut pengene sine og legger dem i madrassen.
Til toppen