Skivebom om banksikkerhet

Nok en gang har sensasjonskåte og uvitende journalister rapportert om Internett med lemfeldighet og manglende vilje til å nyansere. Torsdag morgen meldte flere radiostasjoner at en student har brutt en sikkerhetskode på Internett slik at kriminelle kan tappe konti gjennom Internett-banktjenester. Fakta, for dem som bryr seg om det, er meget mer nyansert.

Nok en gang har journalist-kolleger slått til med svulstige spissformuleringer rundt sikkerhet ved Internett-banktjenester.

Forrige gang var det papirpressen, nå er det på lufta. Flere radiostasjoner fortalte torsdag morgen at en student har brutt sikkerhetskode på Internett, noe som betyr at bankkonti kan tappes. Videre ble det sagt at Bankenes Betalingssentral er uvillig til å stenge sin banktjeneste på Internett.

Denne form for journalistikk vitner om total mangel på forståelse for den aktuelle problematikken eller en bevisst utelatelse av fakta. Det er ikke noen sensasjonell nyhet at man kan knekke en 40-bit algoritme med tilstrekkelige ressurser og tid. Derfor er dagens Internett-banktjenester laget slik at 40-bit algoritmen kun er ett element i sikkerhetsløsningene.

En franskmann har tidligere knekket en 40-bit kode ved bruk av 120 datamaskiner koblet i nettverk. Det tok ham en uke.

Studenten, som radiostasjonene siktet til, utførte sin bragd for over en uke siden. 28. januar knekket Ian Goldberg, som studerer avansert datateknikk ved University of California Berkeley, en 40-bit sikkerhetsalgoritme i løpet av snaue fire timer ved hjelp av 250 arbeidsstasjoner.

Den glupe studenten utførte bragden i forbindelse med en konkurranse utlyst av programvareselskapet RSA Security Dynamics og benyttet programvare for kryptoanalyse som han spesialtilpasset for anledningen. Med dette oppsettet var han i stand til å teste rundt 100 milliarder nøkkelkombinasjoner i timen. Goldberg jobber med dataprofessor Eric Brewer som overser arbeidet med the Internet Security Applications, Authentications and Cryptography research group.

Vi snakker altså ikke om "en student," men en ekspert på området med kjemperessurser tilgjengelig. Det er et viktig poeng at det, til tross for store ressurser, tok en ekspert nesten fire timer å knekke koden.

- Man må knekke koden i sanntid hvis man skal kunne tappe konti, forteller informasjonssjef i Bankenes Betalingssentral, Sturle Lyberg til Digi:data. Uansett får man bare tilgang til informasjon om én transaksjon fordi hver transaksjon har en ny kode som man må knekke på nytt. En inntrenger vil i verste fall få aksess til informasjon om en transaksjon som allerede har skjedd. Skulle man knekke en 40-bit nøkkel i sanntid, det vil si på under et sekund, trenger man datakraft som vil koste i størrelsesorden flere milliarder kroner, avslutter en frustrert Lyberg, som understreker at BBS ikke har hatt noen innbrudd i sin bankløsning på Internett.

Jeg må si at jeg er skuffet over mine journalistiske kolleger som tydeligvis er ute etter å skape storm i et vannglass. Det er slett pressearbeide og gir publikum feilaktig inntrykk av at en tilfeldig student med letthet kan tappe bankkonti over Internett. Det impliseres videre at BBS er uansvarlighet som ikke stenger tjenestene sine i lys av det som er "avdekket."

Det er riktig å påpeke at 40-bit koder kan knekkes, men det er misvisende å antyde at bankløsningene på Internett bør stenges til "bedre løsninger er funnet."

Det er et kjent faktum i sikkerhetssammenheng at man må avveie ulemper, kostnader, og grad av sikkerhet. Et for strengt sikkerhetsopplegg hindrer bruk eller fører til dårligere sikkerhet.

PIN-koden til et bankkort er bevisst valgt til fire siffer fordi det gir en rimelig kombinasjon av sikkerhet og praktisk bruk. Bankene kunne valgt åtte sifre som gir bedre teoretisk sikkerhet. Problemet er at mange folk ville glemme koden; for dem blir produktet ubrukelig. Andre vil ta med seg huskelapp, noe som fjerner all sikkerhet ved tap av lommebok.

Det finnes løsninger for online-banktjenester som gir svært høy sikkerhet. For bedrifter som overfører store beløp og trenger høy sikkerhet, eller selskaper som ofte overfører penger elektronisk, er det regningssvarende å investere tid og penger i proprietære online-bankløsninger. For den allmenne forbruker eller småbedrift, er slike løsninger uegnete og for dyre. Det er slike kunder som er i målgruppen for dagens Internett-bankløsninger. Hele poenget med å gjøre bankløsninger tilgjengelig via nettlesere på Internett er fordi det er lettvint og kostnadsbesparende.

For profesjonelle kunder som ønsker å utføre store overføringer online, er 40-bit kryptering ikke tilstrekkelig, men for vanlige forbrukere som ønsker å utføre normale banktransaksjoner på sine konti over Internett, er 40-bit kryptering, som ett element i et sikkerhetsopplegg, godt nok. Snart kommer forresten løsninger med 56-bit algoritmer - som ingen har knekket ennå.

Jeg mister ikke søvn over at jeg har et bankkort med kun fire siffer i sikkerhetskoden. Ei mister jeg søvn over å bruke mitt VISA-kort som kun er beskyttet med en signatur, selv når jeg gir det fra meg på en fremmed restaurant. Minst av alt frykter jeg at noen "hackere" skal investere et par milliarder kroner i datautstyr for å få tilgang til mine online-transaksjoner. En slik investering vil ikke gå i pluss.

Til toppen