Sikkerheten sviktet under oppgradering

En mindre sikkerhetsbrist gikk ikke ubemerket hen da Terra skulle oppgradere nettposttjenesten for 85 norske banker.

Torsdag i forrige uke ble digi.no-redaksjonen kontaktet av en bekymret nettbankkunde. Hans nettbank tilbyr meldinger om innbetalinger, kontoutskrifter og så videre gjennom en sikker e-postløsning, kalt NettPost, som leveres av Terra. Det innebærer økt vern mot innsyn fra uvedkommende i forhold til for eksempel Skandiabanken, som sender slik informasjon gjennom usikret e-post. For å komme inn på NettPost må man først komme seg inn på ens egen nettbankside, gjennom den vanlige autentiseringsprosessen. Der får man opplysninger om eventuell ulest e-post fra banken. Klikker man på lenken for NettPost, åpnes et nytt vindu. Bildet nedenfor viser innholdet i dette vinduet, det er redigert noe for å redusere bredden, og for ikke å oppgi kontonumrene.

Det som var kundens bekymring, og som han også meldte til både banken, Fellesdata (som står for nettbanktjenesten) og Terra (som står for nettposttjenesten), var at han fortsatt kunne surfe fritt i nettposten – etter at han hadde logget seg ut av nettbanken. For å undersøke hva dette kunne være, kopierte han den svært lange webadressen (en https-adresse, ikke en http-adresse), avsluttet all kjøring av nettleseren Internet Explorer, åpnet den igjen, og limte inn webadressen til nettposten. Det samme vinduet dukket opp på nytt, med den samme muligheten til å lese kontoutskrifter, innbetalingsmeldinger med mer. Han avsluttet igjen Internet Explorer, lanserte i stedet Opera, limte webadressen inn der – og fikk samme resultat. For å teste videre, sendte han webadressen til noen folk han var trygg på, men med helt andre internettilbydere og tilkoplet helt andre lokalnett. Alle – inklusiv digi.no – kunne lese hans sikrede e-post. Først en times tid etter den opprinnelige avloggingen ble nettposttjenesten stengt for akkurat den webadressen.

Kunden understreker at de som kom inn i nettposten og kunne skue hans kontoutskrifter der, ikke hadde noen muligheter til å komme inn på selve nettbanken. NettPost og nettbank er strengt atskilt.

Det må også understrekes at det heller ikke var mulig å lese noe informasjon ut av webadressen, og heller ikke manipulere denne for å komme inn på nettposten til andre kontoinnehavere – i motsetning til den sårbarheten som Gjensidige Nor Sparebank tettet i august 2000 etter store oppslag i dagspressen.

Kundens henvendelse til Terra førte til at ”holdbarhetstiden” til webadressen ble redusert til rundt et kvarter. Dagen etter dro assisterende direktør Harald Snekkerlien i Terra ens ærend til digi.nos lokaler for å diskutere tilfellet. Da ble holdbarhetstiden ytterligere redusert til fem minutter – noe kunden erfarte ved et fornyet forsøk.

– Vi skulle oppgradere nettposttjenesten som vi driver for 85 norske banker, og gjorde i den forbindelsen to feil, forteller Snekkerlien. – Den ene feilen gjelder ”time out”-tiden på webadressen til nettposten. Den ble for lang, vi skulle holdt oss til maksimalt fem minutter. Den andre feilen var en midlertidig endring av behandlingen av selve webadressen.

Snekkerlien forklarer at webadressen til nettposten genereres når kunden klikker på den relevante lenken på nettbanksiden man kommer inn på etter å ha gått gjennom autentiseringsprosessen.

– Webadressen genereres etter en bestemt prosess, og utgjør et eget sikkerhetsobjekt i nettpostsystemet. Regelen er at det samme sikkerhetsobjektet ikke skal kunne brukes to ganger. Ved en feil under oppgraderingen ble denne sjekken opphevet. Derfor var det mulig for andre å bruke den samme webadressen til å nå kundens e-post innenfor ”time out”-intervallet.

Snekkerlien forsikrer at under normal drift – både før og etter oppgraderingen – skal nettpostvinduet låses etter en ”time out” på ett minutt, og det er umulig selv innen dette intervallet å bruke den samme webadressen en gang til.

For å misbruke denne sårbarheten – som i skrivende stund er tettet – måtte en uvedkommende skaffe seg den aktuelle webadressen innen den gikk ut på tid. Flere scenarier er mulige. Dersom flere har tilgang til den samme PC-en, hadde det vært tilstrekkelig å taste https://nettpost.terra.as/og la nettleseren fullføre på vanlig måte med tidligere brukte webadresser som begynner på denne måten. En annen mulighet hadde vært om noen hadde installert en ”bakdør” på PC-en, med anledning til å registrere hvilke nettsteder offeret besøkte.

Begge feilene er nå rettet, og systemet er igjen i normal og sikker drift.

Til toppen