Nyoppdaget sikkerhetsbrist kunne lammet internettet
Demonstrasjonen var klarert med Økokrim. Den skal gjentas 13., 14. og 15. mars i henholdsvis Stavanger, Trondheim og Bergen.
Sikkerhetshullet som utnyttes, har ifølge Nilsen vært kjent i hackermiljøer i to år, og i konsulentmiljøer i ett. Likevel er det ikke tettet i alle norske nettbanker. Et tilsvarende hull finnes i Hotmail, Microsofts gratis e-posttjeneste over web.
- Demonstrasjonen utnyttet en kjent sårbarhet i sikkerhetsstandarden SSL som oppretter en kryptert forbindelse mellom bruker og server. Det er ikke selve krypteringen det er noe galt med. Svakheten ligger i hvordan SSL håndterer krypteringsnøklene.
I hackermiljøer sirkulerer programvare som utnytter denne svakheten. Programvaren er forholdsvis fritt tilgjengelig.
- Det er ikke spesielt vanskelig å utnytte disse programmene til å kapre en SSL-forbindelse. Det er oppsiktsvekkende at så mange tjenester som hevder å ivareta kundenes sikkerhet, ikke har sørget for en bedre og mindre sårbar nøkkelhåndtering enn den SSL-standarden legger opp til. SSL er en heller gammelmodig løsning som bør fikses opp.
Nilsen forteller at det som skjer i forbindelse med den offentlige utredningen Uten penn og blekk (NOU 2001:10 om "bruken av digitale signaturer i elektronisk samhandling med og i forvaltningen" peker mot ordninger der denne sårbarheten vil være avskaffet.
- Men det vil ta tid og ressurser før dette er implementert. SSL er en langt rimeligere løsning. Nå virker den altfor billig, avslutter Nilsen.
(Rettelse: Økokrim godkjente ikke demonstrasjonen. I-Nett presiserer at mantok kontakt med Økokrim for å forsikres at demonstrasjonen ikke var ulovlig.)