Undersøkelse slakter sikkerheten i norske nettbanker

– Sårbarhetene burde vært rettet for lenge siden, sier sikkerhetsekspert.

RedaksjonenogEirik Heitmann Rasch NAno

Lagre artikkel

Det Ålesund-baserte IT-sikkerhetsselskapet Encripto legger mandag fram en rapport om sikkerheten i ti norske nettbanker. Konklusjonen er nedslående:

· Bare to av de undersøkte nettbankene implementerte krypteringsprotokollene TLS (transport layer security) og forløperen SSL (secure sockets layer) på en tilfredsstillende måte. Resten får stryk.

· 7 av 10 var sårbare for såkalte BEAST-angrep (Browser Exploit Against SSL/TLS), som i teorien gjør det mulig for uvedkommende å avlytte dataforbindelsen mellom kundens nettleser og bankens servere.

· Flere av bankene godtok usikre reforhandlinger av krypterte forbindelser, noe som åpner for både «mannen i midten»-angrep og tjenestenektangrep mot bankens servere.

· I tillegg benytter to av bankene 1024-biters RSA-nøkler, som standardorganet NIST (US National Institute of Standards and Technology) sluttet å stole på i 2010.

- Nettbankene er utdatert
- SSL/TSL-implementasjonen i flere norske nettbanker er utdatert. De har sårbarheter som burde vært rettet for lenge siden, sier Encripto-gründer og sikkerhetsekspert Juan Güelfo til digi.no.

Nettbankene som er undersøkt er BN Bank, DNB, Fokus Bank, Landkreditt Bank, Nordea, Sparebank1, Sparebank1 Møre, Sparebank1 Vest, Storebrand og YA Bank.

Güelfo vil ikke avsløre hvem av dem som scorer best eller dårligst.

- Vi ønsker ikke å peke på navn, eller avsløre hvilken bank som har best eller dårligst sikkerhet. Vi ønsker at bankene tar dette mer seriøst, og at de oppdaterer seg når det dukker opp nye sårbarheter, fortsetter dataingeniøren.

- Kundene er trygge
Ingen av bankene digi.no har pratet med avfeier funnene i rapporten, men nettbankene understreker likevel at kundene er helt trygge.

- Vi har aldri opplevd noe vellykket angrep mot norske nettbanker som utnytter noen av forholdene som tas opp i denne rapporten, sier Knut Kvalheim som leder Bankenes Standardiseringskontor (BSK) til digi.no.

Last ned rapporten i sin helhet på digi.no.

Les også

Trojanere stjal 700 000 kroner fra nettbankkunder

6. juli 2012

Store nettproblemer i hele landet

25. juni 2012

Alt ut for Altinn

21. mars 2012

Krigsvirus herjer på Facebook

8. feb. 2012

e-Boks vil erstatte postkassa

8. feb. 2012

Superenkel mobilbetaling på vei

28. jan. 2012

Digital musikk selger nå bedre enn fysisk musikk

9. jan. 2012

Nå kan du bytte julegavene

27. des. 2011

Du gikk vel ikke på denne?

12. des. 2011

Fokus Bank til iPad

8. des. 2011

Slik forsøker de å svindle deg

7. des. 2011

– Internett er blitt dobbelt så farlig på to måneder

6. des. 2011

Slik blir e-posten din sikker som nettbanken

2. des. 2011

Mest omfattende datainnbrudd i Norge noensinne

22. nov. 2011

Ikke bruk disse passordene

30. aug. 2011

App fyller ut regninger for deg

9. juni 2011

Slik blir fremtidens passord

3. mai 2011