(OBS: Se nederst i artikkelen for en liten rettelse vedrørende Økokrim.)
digitoday.no fikk tak i administrerende direktør Christian Nilsen i I-Nett Norge etter demonstrasjonen.
- Det vi viste var et såkalt "mannen i midten"-angrep. Vi satt opp en falsk DNS-server som rerutet alle forespørsler til oss sjøl. Kunden tror vi er nettbanken. Vi lar alle forespørslene gå videre til den ordentlige nettbanken. Kunden gjennomfører normale transaksjoner. I mens leser vi alt om ditt engangspassord, kontoinformasjon og så videre. Vi tar fullstendig kontroll over det kunden tror er en sikker forbindelse til sin bank.
Nyoppdaget sikkerhetsbrist kunne lammet internettet
Demonstrasjonen var klarert med Økokrim. Den skal gjentas 13., 14. og 15. mars i henholdsvis Stavanger, Trondheim og Bergen.
Sikkerhetshullet som utnyttes, har ifølge Nilsen vært kjent i hackermiljøer i to år, og i konsulentmiljøer i ett. Likevel er det ikke tettet i alle norske nettbanker. Et tilsvarende hull finnes i Hotmail, Microsofts gratis e-posttjeneste over web.
- Demonstrasjonen utnyttet en kjent sårbarhet i sikkerhetsstandarden SSL som oppretter en kryptert forbindelse mellom bruker og server. Det er ikke selve krypteringen det er noe galt med. Svakheten ligger i hvordan SSL håndterer krypteringsnøklene.
I hackermiljøer sirkulerer programvare som utnytter denne svakheten. Programvaren er forholdsvis fritt tilgjengelig.
- Det er ikke spesielt vanskelig å utnytte disse programmene til å kapre en SSL-forbindelse. Det er oppsiktsvekkende at så mange tjenester som hevder å ivareta kundenes sikkerhet, ikke har sørget for en bedre og mindre sårbar nøkkelhåndtering enn den SSL-standarden legger opp til. SSL er en heller gammelmodig løsning som bør fikses opp.
Nilsen forteller at det som skjer i forbindelse med den offentlige utredningen Uten penn og blekk (NOU 2001:10 om "bruken av digitale signaturer i elektronisk samhandling med og i forvaltningen" peker mot ordninger der denne sårbarheten vil være avskaffet.
- Men det vil ta tid og ressurser før dette er implementert. SSL er en langt rimeligere løsning. Nå virker den altfor billig, avslutter Nilsen.
(Rettelse: Økokrim godkjente ikke demonstrasjonen. I-Nett presiserer at mantok kontakt med Økokrim for å forsikres at demonstrasjonen ikke var ulovlig.)