Flere norske nettbanker har utdatert SSL/TSL-konfigurasjon, og er sårbare for en rekke typer angrep, ifølge dataingeniør Juan Güelfo.

Nettbankene får stryk

- Disse sårbarhetene burde vært luket vekk for lenge siden.

Det Ålesund-baserte IT-sikkerhetsselskapet Encripto legger i dag frem en rapport (pdf, 38 sider) om sikkerheten i ti norske nettbanker.

Konklusjonen deres er nedslående:

* Bare to av de undersøkte nettbankene implementerte krypteringsprotokollene TLS (transport layer security) og forløperen SSL (secure sockets layer) på en tilfredstillende måte. Resten får stryk.

* 7 av 10 var sårbare for såkalte BEAST-angrep (Browser Exploit Against SSL/TLS), som i teorien gjør det mulig for uvedkommende å avlytte dataforbindelsen mellom kundens nettleser og bankens servere.

* Flere av bankene godtok usikre reforhandlinger av krypterte forbindelser, noe som åpner for både «mannen i midten»-angrep og tjenestenektangrep mot bankens servere.

* I tillegg benytter to av bankene 1024-biters RSA-nøkler, som standardorganet NIST (US National Institute of Standards and Technology) sluttet å stole på i 2010.

– SSL/TSL-implementasjonen i flere norske nettbanker er utdatert. De har sårbarheter som burde vært rettet for lenge siden, sier Encripto-gründer og sikkerhetsekspert Juan Güelfo til digi.no.

Disse nettbankene er undersøkt:

  • BN Bank
  • DNB
  • Fokus Bank
  • Landkreditt Bank
  • Nordea
  • Sparebank1
  • Sparebank1 Møre
  • Sparebank1 Vest
  • Storebrand
  • YA Bank

Güelfo vil ikke avsløre hvem av dem som scorer best eller dårligst.

– Vi ønsker ikke å peke på navn, eller avsløre hvilken bank som har best eller dårligst sikkerhet. En person med lav til middels teknisk kunnskap og en nettleser kan selv finne ut dette, sier dataingeniøren, og viser til verktøyene og metodene som er omtalt i rapporten.

Bankene er gitt en samlet score fra 0 (dårligst) til 10 (best) i undersøkelsen.
Bankene er gitt en samlet score fra 0 (dårligst) til 10 (best) i undersøkelsen. Bilde: Encriptos rapport om sikkerheten i norske nettbanker, november 2011

– Vi ønsker at bankene tar dette mer seriøst, og at de oppdaterer seg når det dukker opp nye sårbarheter, sier Güelfo.

Ingen av bankene vi har pratet med avfeier funnene i rapporten, men nettbankene understreker likevel at kundene er helt trygge.

– Vi har aldri opplevd noe vellykket angrep mot norske nettbanker som utnytter noen av forholdene som tas opp i denne rapporten, sier Knut Kvalheim som leder Bankenes Standardiseringskontor (BSK) til digi.no.

Han svarer på vegne av nettbankene som er undersøkt, og sier han er fornøyd med at bankene ble varslet av Encripto før rapporten ble offentliggjort mandag.

– Sikkerheten i nettbankene er basert på en helhet, og ikke enkeltelementer. Når det er sagt så ønsker vi denne rapporten velkommen. Måten undersøkelsen er håndtert på gjør at vi synes det er et nyttig bidrag til videre arbeid, sier Kvalheim.

Ifølge han er det ikke avdekket noe som er kritisk i rapporten.

– Det er ikke avdekket noe vi synes er kritisk, i den forstand at det utnyttes eller at bankene kan tape penger. Men det er selvfølgelig gjort et stykke arbeid, som vi nå går igjennom for å se om det er ting vi skal rette på.

Har tapt under én million på datakrim
– I hvilken grad kan kundene stole på sikkerheten i nettbankene?

– Kundene kan stole helt på nettbankene. De siste fire årene har bankene et samlet tap på under én million kroner. Det skjedde i februar med trojanerangrepet (SpyEye). Ingen kunder har tapt noe, og de forholdene har heller ingenting med sårbarhetene i rapporten å gjøre. Angrepet i februar viste først og fremst at norske banker er gode på å håndtere angrep, mener Kvalheim.

Et annet poeng han bringer frem er forholdet mellom sikkerhet og brukervennlighet.

– Noen av anbefalingene i rapporten ville også stengt kundegrupper ute. Det går på ting som ikke er implementert i alle nettlesere i markedet, og som brukes av mange, sier BSK-sjef Knut Kvalheim.

    Les også:

Til toppen