Alle som har konto i SkandiaBanken kunne teoretisk sett fått dem åpnet av dyktige crackere. Det viser seg at det frem til for få uker siden var mulig å forfalske sertifikatene som banken bruker, og få den til å tro at du var hvilken som helst bruker. Autentiseringen foregår ved hjelp av 512bit SSL-nøkler, og disse kunne altså fabrikeres av noen utenfor banksystemet.
Dermed manglet bare PIN-koden for å komme seg inn på kontoen. PIN-koder kan sniffes ved hjelp av tastatur-registreringsprogramvare og andre teknologier som er standard på en rekke spionprogrammer som for eksempel NetBus.
- Les også:
- Sikkerhetshull i Skandiabanken
- Hannemyr: - Det groveste sikkerhetsbruddet jeg har sett
- Skal bankene si fra om sikkerhetsrisiko?
IT-sjef i SkandiaBanken, Ole Tom Pettersen, mener det likevel ikke var noen stor fare på ferde.
Det ligger en rekke beskyttelsesmekanismer i banksystemet, så faren for at noen skulle bli totalt loppet er kanskje ikke så stor - spesielt hvis man tar i betraktning at det måtte mye dedikert arbeid til for å lete opp all informasjonen som skulle til. Likevel viser dette at systemene er sårbare.
Det er bare SkandiaBanken som bruker akkurat dette autentiseringssystemet av nettbankene i Norge, og de har nå lappet hullet.
Etter det digi.no erfarer, ble metoden testet, og funnet å virke. SkandiaBanken skal ha oppdaget endel uautorisert trafikk på sine servere, og dette skal ha gjort dem oppmerksomme på problemet, ifølge Pettersen.
|