Sikkerhetshull i Skandiabanken

Falske sertifikater kunne gitt datasnoker tilgang til konti i SkandiaBanken. Opplysninger og verktøy lå åpent på nettet i flere uker.

Nettbanken SkandiaBanken lappet nylig et sikkerhetshull i sin bankløsning. Hullet gjorde det mulig å lage falske SSL-sertifikater, som brukes av banken for å forsikre seg om at en bruker er den man utgir seg for å være.

Kilder i hackermiljøet hevder svakheten gjorde det mulig for en datasnok å logge seg inn som for eksempel Kjell Magne Bondevik - og dermed forsére det første hinderet på veien til Bondeviks eventuelle konto. Falske sertifikater skal egentlig ikke være mulig å lage, da de utstedes og signeres av banken som garanti på at de er ekte.

Beskrivelse av hullet, samt lenke til et falsk sertifikat, lå ute på en sikkerhetsrelatert nyhetsgruppe i flere uker, før Skandiabanken anmodet skaperen av sertifikatet om å fjerne dette fra sine nettsider.
- Det var en feil i sertifikat-nedlastingen vår som gjorde at du kunne manipulere navnet på sertifikatet. Vi har sett sertifikatet, og tatt våre forholdsregler - det skyldes egentlig en svakhet i implementeringen av Microsofts sertifikatserver, som nå er fikset, sier sikkerhetssjef Ole Tom Pettersen til digi.no.


Han mener det ikke er snakk om noe alvorlig hull, siden en inntrenger uansett måtte hatt PIN-koden. Skandiabanken oppdaget saken gjennom overvåkingen av sine servere.

- Det går an å tenke seg at man kan dekryptere forbindelsen mellom klient og server for å skaffe seg PIN-kode, men det er ren teori. Det er ingen som har klart det. Uansett har vi sikkerhetsforanstaltninger som gjør at en vanskelig kan få med seg penger ut av en nettbank - det ligger mange lag med sikkerhetsforanstaltninger i banksystemet også, sier Pettersen til digi.no

Microsoft har ikke hørt om problemet.

- Vi har ikke hørt noe om at det skal være konstigheter rundt det her. Jeg har pratet med en sikkerhetsekspert hos oss som heller ikke har hørt noe om det. Da må man eventuelt kikke på det sammen med kunden som har opplevd problemet, sier Microsofts Ulf Alvarsson.

Sikkerhetssjef i SpareBank1 Midt-Norge, Svein Rosvik, er også regional representant for Næringslivets sikkerhetsorganisasjon.

Sparebank1 bruker ikke klientsertifikater, så sikkerhetsproblemene har ingen innvirkning på deres kunder.

- Du skal ha klaff for å få det til å funke. Det er rimelig greit sikkerhetsnivå, men har du muligheten til å hente sertifikatet og skaffer PIN-koden, da sitter du med nøkkelen til døra, sier han til digi.no.

Rosvik mener slike avsløringer er bra for bransjen, og forstår ikke de som reagerer negativt på å få tilbakemeldinger om svakheter ved systemene sine.

- Når det skjer slikt skal en i alle fall ikke true med å anmelde. En bør bli glad for å få muligheten til å gjøre systemene sine bedre - noe som er til det beste for både banken og brukerne, sier han til digi.no.

Mannen som laget det falske sertifikatet ønsket ikke å uttale seg om saken.


Til toppen