God sikkerhet i Amnestys nettløsning

Selv om løsningen kunne fremstått bedre, så var sikkerheten ved tjenesten under årets TV-aksjon faktisk god. Risikoen ved å bruke Internett-tjenesten var mye mindre enn ved å bruke andre kanaler, mener viseadministrerende i Mind Norge, Stig L. Gjære som sto bak nettstedet i årets TV-aksjon.

For første gang har det vært mulig å gi bidrag via internett i forbindelse med den årlige TV-aksjonen. Noen brukere har ment at sikkerheten ved løsningen ikke har vært tilfredsstillende. Blant annet er det pekt på at man kan oppgi hvilket som helst kontonummer og at kontonummeret sendes åpent til databasen. Selv om løsningen kunne fremstått bedre, så var sikkerheten ved tjenesten faktisk god. Risikoen ved å bruke Internett-tjenesten var mye mindre enn ved å bruke andre kanaler.

Kritikken som har framkommet har vært at:

1. Man kunne foreta transaksjoner med andres bankkontonummer

2. Kontonummeret ble sendt åpent (ukryptert) til databasen

Begge punktene er korrekte – men uvesentlige: At man kan oppgi andres kontonummer er vanlig i girosystemet. F.eks. kan man ta en blank giroblankett og fylle den ut med et hvilket som helst kontonummer. De fleste betalingssystemer er lagt opp slik at det er kontrollpunktene under selve transaksjonsprosessen som skal fange opp og avvise feilaktige transaksjoner. Slike kontrollpunkter utviklet Mind Norway for Amnestys tjeneste (se nedenfor).

Det har ikke vært noen fare for at personer skal få "tappet" kontoen sin, slik noen har gitt uttrykk for.

At kontonummeret ble sendt ukryptert til databasen var ikke meningen. Det var bestilt en SSL-løsning, men en glipp hos vår kvalitetssikringsfunksjon førte til at denne ikke var på plass. Imidlertid er ikke et kontonummer spesielt hemmelig informasjon. Ønsker man kontonummeret til en person kan man ringe banken og få det oppgitt. De fleste bedrifter oppgir kontonummer på sine brevark. For noen år siden trykket Postbanken en katalog med navn og kontonummer til alle sine kontoinnehavere.

Man kan selvfølgelig også skaffe seg kontonummer på den tungvinte måten: Lære seg TCP/IP, anskaffe seg programvaren, rute seg via noen servere for å forsøke skjule hvem man er, og starte å lytte på Amnestys nettsider. Visse studenter på NTNU foretrekker tydeligvis sistnevnte metode.

Konkret inneholdt tjenesten følgende sikkerhetspunkter:

Kontroll av gyldighet:

Donasjonene på internett resulterer i en kryptert liste over givere og beløp. Denne listen blir kontrollert for gyldighet etter følgende punkter:

1. Ved generering av listen blir alle donasjoner som mangler kontonummer eller navn fjernet. Det burde her vært lagt inn en realtidssjekk som ga brukeren beskjed hvis kontonummeret manglet. (Det er noe usikkert hvorfor denne funksjonaliteten ikke ble implementert, da den var ferdig utviklet).

2. Flere donasjoner som er gitt på ett kontonummer blir summert. Donasjoner som overskrider maksimalgrensen på 1.000 kroner blir fjernet. Det er dermed ikke mulig å gi mer enn 1.000 kroner pr. kontonummer. Denne filtreringen skjer ved generering av listen som banken benytter.

3. Listen kjøres deretter mot bankens interne system. Donasjoner hvor kontonummer ikke stemmer med oppgitt navn/adresse fjernes.

Bekreftelse pr. brev:

Giveren får bekreftelse pr. brev fra Amensty før man trekker beløpet fra giverens konto. Beløpet blir altså ikke trukket fra giverens konto når man utfører transaksjonen på Internett. Dette gir personer som er blitt forsøkt lurt ved at noen andre har oppgitt vedkommendes kontonummer (og personer som har gitt) anledning til å stoppe transaksjonen senere, før den er utført. Det er planlagt at transaksjonene skal kjøres 20. november. Dette skulle det vært opplyst om på nettsidene.

Aksesskontroll av databasen:

Det er kun adgang til databasen fra 1 IP-adresse, og dette er adressen til serveren som databasen ligger på. Det betyr at man må bryte seg inn i lokalene hvor serveren står før man kan forsøke å hacke seg forbi brukernavn og passord til databasen. Firewall-1 ble benyttet for å stoppe IP spoofing og lignende angrepsformer. Det skal dermed ikke mulig å hacke seg inn på databasen som inneholder informasjonen om givere og donasjonenes størrelse.

Logging av brukere:

Tjenesten logger IP-adressen og datoinformasjon til de som aksesserer sidene. Det betyr at svindelforsøk kan spores ved å sammenligne denne informasjonen med nettleverandørens lister over hvilke IP-adresser som er brukt av hvilke personer til hvilken tid. En slik sammenligning krever internettleverandørenes godkjennelse eller en rettslig kjennelse.

Stig L. Gjære

Vise-administrerende direktør

Mind Norway AS

Til toppen