Skal bankene si fra om sikkerhetsrisiko?

Bredbåndsbrukere er spesielt utsatt for problemer som de SkandiaBanken hadde, og sikkerhetsekspert Per Hansen i PDI Consult mener bankene undertrykker sårbarhetsinformasjon med vilje.

- Jeg synes bankene har en opplysningsplikt overfor sine bankkunder for å si hva de risikerer. Det sier Per Hansen, direktør i sikkerhetsfirmaet PDI Consult AS til digi.no.

Sikkerhetshullet i SkandiaBanken gjorde det teoretisk mulig for en datasnok å lage seg et digitalt sertifikat, noe som ville gjort det mulig å logge seg på en hvilken som helst bankkonto om man bare hadde sniffet opp PIN-koden vedkommende bruker.

- De jeg har snakket med mener det ikke er mulig å forfalske sertifikater på denne måten i de applikasjoner og PKI/CA-systemer de bruker. Men det kan være et problem dersom bankkunder bruker software-sertifikater mot sin bankforbindelse og dersom de bruker bredbånd, sier Hansen til digi.no.

Hansen har gått flere runder med bankene, for å få dem til å opplyse sine kunder om eventuell risiko og hjelpe dem å sikre seg. Han savner blant annet oppfølging i forhold til for eksempel brannmurer og annen beskyttelsesteknologi.

- Slike sertifikater kan eksponeres for andre brukere på den samme bredbånds-"sløyfen" ved at brukeren gir tilgang til fildeling eller at en bruker benytter NetBus eller andre trojanere til å få aksess til PC-en.

Bredbånds-PC-er står i de fleste tilfellene alltid påslått og eventuelle inntrengere kan dermed benytte det meste av døgnet til å forsøke å hacke seg inn og stjele data. NetBus kan også benyttes til å kopiere PIN-koder og passord som benyttes til å gi tilgang til de private sertifikatene.

Hansen mener det er enkelt å beskytte seg, dersom en bruker ønsker dette. Det finnes en rekke freeware/shareware og profesjonelle brannmurer som benyttes av mange, men langt fra alle.

- DnB er trolig den eneste norske banken som tilbyr sine brukere viruskontroll. De burde også tilby brannmurløsninger, men så langt har de ikke kommet. Det er, etter min mening, en viss ansvarsfraskrivelse her, men det skyldes mer markedsmessige forhold enn teknologi. Bankene ønsker å få folk bort fra banklokalene og jeg tror det er politiske motiver for deres mangelfulle informasjoner til sine Internett-kunder, sier Hansen til digi.no.


Til toppen