Tek.no

Nyhet

- BankID for dårlig sikret

Arsæll Benediktsson
29 Nov 2007 07:55

Professor Kjell Jørgen Hole ved Universitetet i Bergen har sammen med tre doktorgradsstudenter avslørt dårlig sikkerhet i den såkalte BankID-løsningen.

- Sikkerheten ved autentiseringen er alt for dårlig, sier Hole til Computerworld. Hole har lenge advart mot BankID, men føler at han ikke er blitt hørt.

I en periode fra februar til november har Hole og hans studenter gjennomført målrettede angrep mot to banker. Hensikten har vært å demonstrere for sikkerhetseksperter hva som er mulig. Det blir presisert at de hele tiden har brukt sine egne konti.

To angrepsmetoder

Forskerne brukte et phishingforsøk etterfulgt av et

"mannen i midten"-angrep

. "Kunden" får en e-post som tilsynelatende kommer fra banken, og som inneholder en lenke. Dersom kunden klikker på lenken blir vedkommende videresendt til en falsk adresse som ser ut som nettbankens side.

Kunden logger seg inn på vanlig måte, men etter det tar angriperne over kontrollen. I tillegg kunne forskerne sende kunden en feilmelding, og be om et ekstra engangspassord slik at forskerne kunne utføre en transaksjon i nettbanken, forteller Hole.

Forskerne klarte å lure til seg såpass mye sensitiv informasjon at de fikk full kontroll over en bankkonto som ble forsøkt utnyttet. Alt var åpent.

De har fra dag én informert Bankenes standardiseringskontor (BSK) og bankene om svakhetene. Likevel er tilsynelatende ingenting blitt gjort.

Omstridt forskning

Ikke alle er like begeistret over forskningsmetoden. Leder Tore Larsen Orderløkken fra Norsk senter for informasjonssikring (NorSIS) tar avstand fra metoden, og mener Hole har gått ut over sine fullmakter.

Grete Sørensen i BankID sier at sikkerhetshullet som Hole benytter i "mannen i midten"-angrepet ble tettet i november.

Professoren har også sine betenkeligheter, men mener metoden er forsvarlig siden bankene er blitt informert hele veien.

Disputas neste år

Avsløringen skal presenteres i studentenes doktorgradsavhandlinger under disputasen som er planlagt til mars og april neste år.

(Kilde: Computerworld)

Les også
Paypal blokkerer nettlesere
Les også
Omfattende passord-tyveri
Les også
Skype som spionprogram?
Les også
Nettbanker var nede
Les også
RIAA utsatt for innbrudd
Les også
Gratis helsesjekk for PC-en
Les også
Googles verktøylinje utsatt
Les også
ActiveX-hull i HP-programvare
Les også
Hull i multimediespillere
Les også
Hvor er det flest infiserte PC-er?
Les også
Er nettbutikken trygg å handle i?
Les også
DnB NOR utsatt for phishing
Les også
Ny sikkerhetsportal lansert
Les også
En av ti nettsider farlige
annonse

Les også