BankID er identifiseringssystemet som brukes av over 1,4 millioner nettbankkunder i dag for å identifisere seg ved pålogging og betaling i nettbanken.
Professor Kjell Jørgen Hole ved Universitetet i Bergen (UiB) vakte stor oppmerksomhet da han sammen med tre doktorgradstudenter fra mars til september 2007 gjennomført målrettede angrep mot sikkerhetsløsningen BankID.
Hole uttalte at de ved angrepet tenkte som kriminelle, og benyttet seg av kjente angrepsteknikker.
Hole og doktorgradsstudentene benyttet en kombinasjon av phishing og «man-in-the-middle»-teknikker for å gjøre angrepene. De brukte egne bankkontoer, og gav på forhånd beskjed om hva de drev med. Responsen var likevel tilnærmet fraværende.
- Låvedøren har stått åpen siden dag én. Siden vi begynte med forskningen, har vi informert Bankenes standardiseringskontor (BSK) og bankene om svakhetene. Likevel blir vi ikke tatt på alvor, uttalte Hole til pressen i november i fjor.
Gemyttene synes ikke å ha roet seg ned siden angrepet, og Hole har åpenbart blitt lagt for hat. BankID har riktignok blitt oppgradert flere ganger siden det fiktive angrepet og svakhetene som professorene avdekket skal nå være ryddet opp i.
På et møte på IT-Fornebu i går med tema «BankID Mobil - banksikkerhet i lomma», var en rekke representanter fra BSK samlet.
Da Hole begynte foredraget sitt med å fortelle en fullsatt sal i auditoriet på IT-Fornebu om angrepet som ble gjort i fjor, avbrøt en av deltakerne:
- Jeg synes du kan få fram at dette er angrep som ble gjort i fjor, og at svakhetene ikke lenger er der. Hvorfor snakker du i presens?, spurte en tydelig irritert BankID-person.
Hole repliserer med å unnskylde seg og medgir at dette gjaldt i fjor, men legger til at hele saken er nokså tendensiøs.
Svaret var mer enn tilhøreren kunne makte, som reiser seg opp og kaster rasende en gjenstand i gulvet før han tramper ned og slår døren igjen med et kraftig smell.
Hole forholder seg påfallende rolig etter opptrinnet, men forteller senere til digi.no at han begynner å bli vant til rasende reaksjoner.
- Jeg har mottatt en rekke hat e-post om BankID. Det ligger mye prestisje og også kommersielle interesser bak BankID, sier han til digi.no.
Les også:
- [13.02.2009] - ID-monopol gir dårlig sikkerhet
- [06.10.2008] Komplett har tatt i bruk BankID
- [22.08.2008] Møter ikke opp til IT-studiene
- [08.08.2008] Russisk mafia plantet zombier i USAs politi
- [16.07.2008] Fnyser av BankID-kritikk
- [27.06.2008] Ber myndighetene stanse BankID
- [05.06.2008] - Mobilbank vil bli større enn nettbank
- [25.02.2008] Mener nettbanker er sikre tross innbrudd
- [25.02.2008] Nye innbrudd i nettbanker med BankID
- [19.12.2007] Det er ikke BankID som er hacket
- [14.12.2007] Tilbakeviser at nettbankene er usikre
- [28.11.2007] Professor hacket nettbankene
- [16.05.2007] Enkelt å lamme norske nettbanker
