BEDRIFTSTEKNOLOGI

Intet problem å kapre en nettbank

På et arrangement i Oslo demonstrerte I-Nett Norge hvordan fritt tilgjengelig hackerverktøy gjør enhver PC-kyndig i stand til å kapre forbindelsen mellom deg og nettbanken.

7. mars 2001 - 20:37


Christian NilsenI-Nett Norge

Dette er en helt annen sårbarhet enn hullet i BIND som det ble mye blest om onsdag: Nettbanker trege med å tette hull
Nyoppdaget sikkerhetsbrist kunne lammet internettet

Demonstrasjonen var klarert med Økokrim. Den skal gjentas 13., 14. og 15. mars i henholdsvis Stavanger, Trondheim og Bergen.

Sikkerhetshullet som utnyttes, har ifølge Nilsen vært kjent i hackermiljøer i to år, og i konsulentmiljøer i ett. Likevel er det ikke tettet i alle norske nettbanker. Et tilsvarende hull finnes i Hotmail, Microsofts gratis e-posttjeneste over web.

- Demonstrasjonen utnyttet en kjent sårbarhet i sikkerhetsstandarden SSL som oppretter en kryptert forbindelse mellom bruker og server. Det er ikke selve krypteringen det er noe galt med. Svakheten ligger i hvordan SSL håndterer krypteringsnøklene.

I hackermiljøer sirkulerer programvare som utnytter denne svakheten. Programvaren er forholdsvis fritt tilgjengelig.

- Det er ikke spesielt vanskelig å utnytte disse programmene til å kapre en SSL-forbindelse. Det er oppsiktsvekkende at så mange tjenester som hevder å ivareta kundenes sikkerhet, ikke har sørget for en bedre og mindre sårbar nøkkelhåndtering enn den SSL-standarden legger opp til. SSL er en heller gammelmodig løsning som bør fikses opp.

Nilsen forteller at det som skjer i forbindelse med den offentlige utredningen Uten penn og blekk (NOU 2001:10 om "bruken av digitale signaturer i elektronisk samhandling med og i forvaltningen" peker mot ordninger der denne sårbarheten vil være avskaffet.


- Men det vil ta tid og ressurser før dette er implementert. SSL er en langt rimeligere løsning. Nå virker den altfor billig, avslutter Nilsen.

(Rettelse: Økokrim godkjente ikke demonstrasjonen. I-Nett presiserer at mantok kontakt med Økokrim for å forsikres at demonstrasjonen ikke var ulovlig.)

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra