Store hull i Sparebanken NORs gamle nettbank

Et sikkerhetshull i Sparebanken NORs nettbank lar datasnokere kikke rett inn i ryggmargen på bankens gamle nett-tjeneste. Systemet skulle egentlig stenges i vår.

Ved å benytte et sikkerhetshull i Windows-baserte datamaskiner, fikk digitoday full adgang til det en sikkerhetskonsulent kaller "ryggmargen i Sparebanken NORs nettbank".

Banken endret strukturen på nettbanken sin på vårparten i år, og frem til da har altså kjernen i banken ligget åpent tilgjengelig for enhver med Internett-tilkobling og nettleser.

Datasnokingen er enkelt å gjennomføre, via en enkel manipulasjon av adressefeltet i nettleseren kommer man inn i den såkalte Global.asa-filen i bankens databasesystem.

digitodays kilde, som jobber som systemutvikler i et norsk konsulentselskap, sier sikkerhetshullet som går under navnet WebHits, er svært vanlig på maskiner som kjører operativsystemet Windows NT 4.0.

- Microsoft la ut en 'patch' for dette hullet allerede i januar, så det er et gammelt hull. Global.asa blottlegger mye av strukturen på nettstedet, blant annet hvordan de har tenkt når de laget tjenesten. Selv om filen i seg selv ikke gir adgang til "hemmelige" opplysninger som brukernavn og passord, så kan man finne mye informasjon som kan brukes videre, sier han.

På Microsofts nettsider kan man hente en lapp til hullet, og denne ble lagt ut allerede 26. januar i år, med oppdatering i mars.

- Dette er en glipp fra vår side, det dreier seg om opplysninger fra den gamle nettbanken. Dette skal fjernes, og det er alvorlig at det fantes der fra før, sier Sparebanken NORs sikkerhetssjef, Jean-Luc Orgeret til digitoday.

Han mener det er svært uheldig at disse filene har ligget åpent tilgjengelig, men sier det ikke har vært fare for at datasnoker kunne ha kommet til kritiske systemer.

- Men det er uheldig at disse filene gir et bilde av hvordan databasen er oppbygd, tilføyer Orgeret.

Datasnoker kan godtgjøre seg informasjonen i en slik fil når de kartlegger et datanettverk på utkikk etter svakheter.

- Det er en god del informasjon her om interne prosedyrer og intern infrastruktur som en angriper kan gripe fatt i og arbeide videre med, sier stipendiat og forsker ved institutt for informatikk ved universitetet i Oslo, Gisle Hannemyr, til digitoday.

Han mener slike sikkerhetshull er symptomatiske på et system som ikke er skikkelig testet før det er satt i full drift, og at dette er egnet til å svekke sytemets troverdighet.

Til toppen