Leserinnlegg: Feilaktige anklager mot nettbankene

Basert på utsagn fra firmaet Linux Communications kritiseres nesten alle norske nettbanker for slett sikkerhet. Oppslagene er feilaktige fordi de holder tilbake informasjon som viser at problemet ikke ligger hos bankene, men hos bankenes kunder, skriver Sverre Huseby.

Onsdag 28. november hadde NRKs Forbrukerinspektørene et innslag med fokus på nettbankenes sikkerhet. Basert på utsagn fra firmaet Linux Communications (LinCom) kritiseres nær sagt samtlige norske nettbanker for slett sikkerhet. Spesielt Gjensidige NOR får unngjelde.

Dagen etter slås innslaget opp i de fleste norske aviser. Gjensidige NOR framstår i større eller mindre grad som den store syndebukken.

Her kan du lese digi.nos oppslag: Bare to nettbanker er trygge nok.

Maken til slett kildekritikk skal man lete lenge etter! Oppslagene sprer nærmest usannheter ved å holde tilbake informasjon som viser at problemet ikke ligger hos bankene, men hos bankenes kunder.

Det framgikk svært lite tekniske detaljer omkring hva LinCom faktisk hadde gjort, men det ser ut til å være to alternativer: Enten gjør de det som kalles et "man in the middle"-angrep, hvor de lytter på trafikk mellom brukeren og den ekte banken. Eller de lurer brukeren til å besøke deres maskin med en forfalsket webside uten at banken i det hele tatt er involvert.

Hvis Forbrukerinspektørene hadde tatt seg bryet med å kontakte et uavhengig datasikkerhetsfirma, ville de kjapt funnet ut at disse angrepene retter seg mot brukersiden, og ikke mot banken.

Det er kundens nettverk som angripes, ikke bankens. Det er bankkunden som lures, ikke banken.

Følgelig er denne typen angrep mulig mot nær sagt alle handelssteder på nettet, ikke bare mot Gjensidige NOR, som mediene velger å henge ut med store overskrifter.

La oss se litt på de to alternativene: Et "man in the middle"-angrep på nettverksnivå lar seg normalt kun utføre innenfor et lite nettverk, og ikke over Internett. Det er svært lite sannsynlig at en hjemmebruker et sted vil kunne rette denne typen angrep mot en hjemmebruker et annet sted.

Ikke fordi hjemmebrukeren mangler kunnskap, men fordi infrastrukturen ikke tillater det. Hvis noen allikevel skulle klare å sette opp et slikt angrep, for eksempel mot en kollega innenfor en bedrift, krever det at angriperen sender et sertifikat til brukeren. Siden angriperen ikke har noe gyldig sertifikat for banken, må han sende et falsk sertifikat. Alle nettlesere gir en rekke advarsler hvis sertifikatet er forfalsket, så denne formen for angrep krever at brukeren trykker "fortsett" selv om nettleseren anbefaler det motsatte.

Brukeren gjør altså et aktivt valg om å gjennomføre noe han oppfordres til ikke å gjøre. Dette framgikk ikke av innslaget til Forbrukerinspektørene. Skal bankene virkelig få skylda for noe dumme brukere gjør?

Det andre alternativet krever at angriperen lurer brukeren til sin egen forfalskede bank, i håp om å kunne lure ut viktig informasjon. Innenfor et lokalt nettverk kan dette gjøres ved å lure brukerens maskin. Over Internett kan det gjøres ved å lure brukeren til å følge en forfalsket lenke, gjerne med en URL som likner bankens. Igjen, det er brukeren eller dennes maskin som lures, ikke banken.

Brukeren vil kunne se at adressa ikke stemmer, og vil også kunne få advarsler om forfalskede sertifikater. Igjen: Er lettlurte brukere noe banker generelt, og Gjensidige NOR spesielt bør henges ut for?

Det er neppe noen som skylder på Gjensidige NOR hvis jeg låner bort VISA-kortet mitt til en fremmed. Jeg kan ikke se at det skal være noen større grunn til å skylde på dem hvis jeg velger å overse advarsler fra nettleseren min.

Forbrukerinspektørenes tips om å sjekke sertifikatet i browseren, er stort sett verdiløst. Domenenavnet og utløpstiden sjekkes automatisk av browseren, og hvis noe ikke stemmer gis brukeren en advarsel. Det som er viktig er å lese slike advarsler, og ikke fortsette handlingen hvis browseren har noe å utsette. Det er også viktig å sjekke at hengelåsen er på plass, og at webadressa er den man faktisk ønsker å besøke. Hvis man skal sjekke noe utover dette, må det være om sertifikatet er tilbakekalt før utløpstiden, noe de færreste browsere sjekker.

En slik sjekk krever at man besøker sertifikatutstederen. Når man nevner ordet sertifikatutsteder har de fleste for lengst falt fra, så denslags sjekking vil neppe bli gjort i praksis. Et iboende problem ved PKI (som er basis for kryptert kommunikasjon på nettet) er at det virker dårlig hvis ikke brukerne har forståelse for det tekniske som ligger bak.

Brukere flest vil aldri få forståelse for denslags. Manglene ved PKI er verken bankene generelt eller Gjensidige NOR spesielt sin feil.

At et firma skal kunne skape medieoppslag med "den og den er usikker, mens den og den er sikker" basert på hvorvidt det er mulig å lure brukere med en falsk webside, er utenfor min fatteevne. Så lenge brukere har ansvar for sikkerheten på sin egen maskin, er ingen nettsørfing sikker. Tenk på hvor mange som lar seg lure til å kjøre virus og ormer. De samme vil la seg lure til å kjøre en trojansk hest som lar andre monitorere og fjernstyre maskinen deres. Mot et slikt program har ingen nettbanker noe å stille opp. Men er det bankene som må ta på seg skylda for at brukerne ikke vet hva de driver med?

Hele saken virker i seg selv latterlig. Enda mer latterlig blir det når man leser Forbrukerinspektørenes websider. Der framkommer nemlig at LinCom tidligere er politianmeldt av nettopp Gjensidige NOR for en rekke mislykkede innbruddsforsøk. Hvorfor denne informasjonen ble klippet bort i TV-innslaget, kan man bare spekulere om.

Nettbankene, og spesielt Gjensidige NOR fortjener en unnskyldning.

Når alt dette er sagt: Det finnes helt sikkert ikke en eneste nettbank i verden som er fri for sikkerhetsfeil. Nettbankløsningene er laget av programmerere, og programmerere gjør feil. Ofte. Det er imidlertid ikke denne typen feil som er "dokumentert" i disse medieoppslagene, men isteden et generelt problem med brukerne og infrastrukturen på nettet. Fint med fokus på brukerproblematikk, men det blir totalt feil og til ingen nytte når man skylder på bankene.

Til toppen