Til hovedinnhold

- BankID for dårlig sikret

Professor Kjell Jørgen Hole ved Universitetet i Bergen har sammen med tre doktorgradsstudenter avslørt dårlig sikkerhet i den såkalte BankID-løsningen.

- Sikkerheten ved autentiseringen er alt for dårlig, sier Hole til Computerworld. Hole har lenge advart mot BankID, men føler at han ikke er blitt hørt.

I en periode fra februar til november har Hole og hans studenter gjennomført målrettede angrep mot to banker. Hensikten har vært å demonstrere for sikkerhetseksperter hva som er mulig. Det blir presisert at de hele tiden har brukt sine egne konti.

To angrepsmetoder

Forskerne brukte et phishingforsøk etterfulgt av et

"mannen i midten"-angrep

. "Kunden" får en e-post som tilsynelatende kommer fra banken, og som inneholder en lenke. Dersom kunden klikker på lenken blir vedkommende videresendt til en falsk adresse som ser ut som nettbankens side.

Kunden logger seg inn på vanlig måte, men etter det tar angriperne over kontrollen. I tillegg kunne forskerne sende kunden en feilmelding, og be om et ekstra engangspassord slik at forskerne kunne utføre en transaksjon i nettbanken, forteller Hole.

Forskerne klarte å lure til seg såpass mye sensitiv informasjon at de fikk full kontroll over en bankkonto som ble forsøkt utnyttet. Alt var åpent.

De har fra dag én informert Bankenes standardiseringskontor (BSK) og bankene om svakhetene. Likevel er tilsynelatende ingenting blitt gjort.

Omstridt forskning

Ikke alle er like begeistret over forskningsmetoden. Leder Tore Larsen Orderløkken fra Norsk senter for informasjonssikring (NorSIS) tar avstand fra metoden, og mener Hole har gått ut over sine fullmakter.

Grete Sørensen i BankID sier at sikkerhetshullet som Hole benytter i "mannen i midten"-angrepet ble tettet i november.

Professoren har også sine betenkeligheter, men mener metoden er forsvarlig siden bankene er blitt informert hele veien.

Disputas neste år

Avsløringen skal presenteres i studentenes doktorgradsavhandlinger under disputasen som er planlagt til mars og april neste år.

(Kilde: Computerworld)

annonse