Skandiabanken avviser påstått sikkerhetshull

En universitetsrapport mener sikkerheten er under pari. Skandiabanken mener den er mer enn god nok.

En universitetsrapport mener sikkerheten er under pari. Skandiabanken mener den er mer enn god nok.

I november 2003 simulerte hovedfagstudent Thomas Tjøstheim ved Universitetet i Bergen et PKI-angrep (public key infrastructure) på Skandiabanken i forbindelse med sin hovedfagsoppgave.

Ved å prøve tilfeldig valgte PIN-koder viste Tjøstheim i simuleringen at det var mulig å skaffe seg sertifikatet som kreves for å få tilgang til en konto. Får å få utdelt sertifikatet, måtte kundene oppgi riktig fødselsnummer og PIN-kode.

Ved å forsøke et tilstrekkelig antall ulike personnummer er sannsynligheten stor for at noen av de testede parene med fødselsnummer og PIN-koden vil treffe. Det er mulig å begrense antall forsøk ved å ta utgangspunkt i gyldige fødselsnummer, analyser over hvilke aldersgrupper som benytter nettbank og statistikk over norske fødsler.

Mange ville kanskje tro at det hadde vært enklere å teste alle mulige PIN-koder kombinert med et kjent fødselsnummer, men Skandiabanken sperrer tilgangen til kontoen hvis feil PIN-kode oppgis tre ganger på rad. Ved å prøve bare to ulike PIN-koder vil normalt innbruddsforsøk ikke oppdages selv om det har vært mislykket.

Det at PIN-kodene til Skandiabanken bare består av fire siffer, begrenser antall mulige PIN-koder til 10.000 (0000 til 9999). Forskere ved Selmasenteret ved Universitetet i Bergen mener derfor det bør benyttes PIN-koder med flere sifre. Da vil sannsynligheten for å kunne finne gyldige par av personnummer og PIN-kode reduseres kraftig.

Institutt for Informatikk mente at Skandiabankens sikkerhetsmur hadde så mange huller, at instituttet ikke ønsket å publisere Tjøstheims hovedfagsoppgave.

Skandiabanken har riktignok i ettertid endret påloggingsrutinene noe, men heller ikke det er bra nok, ifølge professor i informatikk ved Selmasenteret UIB, Kjell Jørgen Hole.

– Det er fortsatt store sikkerhetshull i Skandiabanken og fullt mulig å komme inn i 2004, sier han til digi.no.

Selmasenteret har utarbeidet en seks siders rapport om sikkerhet i nettbanker. Det fokuseres spesielt på Skandiabanken, fordi den, ifølge Skandiabanken selv, er ledende i Norge.

Selv om Skandiabanken i våres innførte en ny og bedre sikkerhetsløsning, er det ifølge rapporten fremdeles mulig å registrere fiktive personer. En kunde i nettbanken er fortsatt identifisert ved hjelp av et fødselsnummer og en PIN-kode med fire sifre. Men for å kunne laste ned sertifikatet som også behøves, må kunden få tilsendt et engangspassord via SMS til sin mobiltelefon, eller via vanlig brev. Passordet som sendes via SMS er gyldig i 15 minutter, mens passordet som sendes med brev er gyldig i fjorten dager.

Ifølge rapporten stiller forskerne ved Selmasenteret spørsmål om levetiden til SMS-passordet er lang nok. Det kan ta mer enn 15 minutter å motta en tekstmelding, spesielt hvis mottakeren befinner seg i utlandet. Dette har dog mer med brukervennlighet en med sikkerhet å gjøre.

Derimot er det i dag mulig å kjøpe utstyr for å avlytte mobiltelefonnettet. En angriper med slikt utstyr vil kunne fange opp SMS-meldinger med engangspassord – hvis en rekke betingelser er oppfylt.

En annen mulighet er at angriperen greier å få banken til å endre det oppgitte mobiltelefonnummeret. Dette kan muligens gjøres via telefon til bankens kundesenter, ved at angriperen utgir seg for å være nettbankkunden.

IT-direktør Ole Tom Pettersen i Skandiabanken stiller seg tvilende til sikkerhetsfrykten.

– Alt er mulig i teorien, men rent praktisk stiller jeg meg tvilende til at et angrep er mulig. Vi har en sikkerhetsløsning som er mer enn god nok, sier han til digi.no.

Til toppen