Hannemyr: - Det groveste sikkerhetsbruddet jeg har sett

- Det som her er avdekket, er det groveste sikkerhetsbruddet jeg har sett på en sikkerhetskritisk internettbasert tjeneste, sier Gisle Hannemyr om SkandiaBankens sikkerhetshull.

- Det sikkerhetshullet som er blitt avdekket er svært alvorlig for den banken som dette gjelder. Selv om banken utvilsomt har andre mekanismer på plass for å forhindre og eventuelt spore urettmessige transaksjoner, så er det som her er avdekket det groveste sikkerhetsbruddet jeg har sett på en sikkerhetskritisk, internettbasert tjeneste.

Det sier Gisle Hannemyr, forsker og stipendiat ved Institutt for Informatikk ved Universitetet i Oslo.

Problemene startet da en hacker klarte å endre navnet på et digitalt sertifikat (SSL-sertifikat) fra SkandiaBanken, slik at det i praksis ble et falsk sertifikat som ble oppfattet som ekte fra bankens side. Flere kilder i banksystemet stiller seg uforstående til at dette skal gå an, men SkandiaBanken har bekreftet at det falske sertifikatet fungerte.

- Sikkerhetsbruddet kan ikke sies å skyldes en grunnleggende feil i SSL og heller ingen svakhet i Microsofts sertifikatserver. Selv om disse teknologiene var benyttet på en grunnleggende gal måte i dette spesielle tilfellet, så kan man ikke ut fra det slutte at det er disse teknologiene det er feil ved, sier Hannemyr.

Han mener denne saken først og fremst viser at SSL og det som kalles for PKI (offentlig nøkkel-infrastruktur) er uhyre komplekse teknologier, og at det må stilles spørsmålstegn ved sikkerhetskompetansen hos de som jobber med det.

- Dersom de som tiltros å implementere disse i form av konkrete tjenester ikke har forståelse av det de holder på med, så kan det veldig fort gå galt. Det er altså kompleksiteten, sammen med dårlig håndtverk, som er problemet her. I forlengelsen av det er det vel grunn til å spørre om dette er et enkeltstående tilfelle, eller om samme eller liknende feil har blitt gjort andre steder der man har forsøkt å etablere sikre tjenester ved hjelp av SSL og PKI, spør Hannemyr.

Han understreker at det ikke er noen grunn til å tro at folk som arbeider med datasikkerhet er mindre kompetente enn folk flest, men at det når det er snakk om kritiske løsninger - enten det er sikkerhetssystemer for bank eller datasystemer for lufttrafikkontroll - så kan konsekvensene av faglig inkompetanse bli mer alvorlige.

- Det er grunner til at det i helsevesenet stilles strengere krav til den som ønsker å jobbe som hjernekirurg enn den som vil bli portør. En tilsvarende segmentering ser man imidlertid lite til i programvarebransjen. Dette har alltid vært et problem, men har blitt verre de senere årene der kommersialiseringen av web langt på vei har revet ned skillet mellom programvareselskaper og reklamebyråer, sier Hannemyr til digi.no.


Til toppen