Professor hacket nettbankene

Sammen med sine doktorgrads-studenter har professor Kjell Jørgen Hole hacket BankId.

Professor Kjell Jørgen Hole ved Universitetet i Bergen har over lengre tid advart mot dårlig sikkerhet i BankID-løsningen. Sist gang i en kronikk i Aftenposten 17. november: Nettbanken er ikke trygg.

    Les også:

På tross av advarslene opplever han å ikke bli hørt. I et intervju med Computerworld.no forteller han at han derfor at har måtte gått til drastiske skritt.

Sammen med en tre doktorgradsstudenter har han fra februar til november i år gjennomført målrettede angrep mot sikkerhetsløsningen BankID.

- Sikkerheten ved autentiseringen er meget svak. Vi har vist at det er mulig å stjele identiteten. For å få til dette har vi tenkt som de kriminelle, og benyttet oss av kjente angrepsteknikker, sier Professor Kjell Jørgen Hole til Computerworld.

Hole og doktorgradsstudentene har brukt en kombinasjon av phishing og "man-in-the-middle"-teknikker for å gjøre angrepene. De har bare brukt egne bankkontoer, og har på forhånd gitt beskjed om hva de driver med. Responsen er likevel tilnærmet fraværende.

- Låvedøren har stått åpen siden dag én. Siden vi begynte med forskningen, har vi informert Bankenes standardiseringskontor (BSK) og bankene om svakhetene. Likevel blir vi ikke tatt på alvor, og vi har kunnet fortsette gjennom året, sier Hole til Computerworld.no.

Slike angrep er kontroversielle i sikkerhetsbransjen, selv om de ikke gjøres i vinnings hensikt. Hole mener imidlertid at det må gjøres, og når det ikke reageres mener han at kundene må få vite at det lar seg gjøre å hacke BankId.

    Les også:

Til toppen