Hacket BankID - igjen

Det vakte stor oppsikt da informatikkprofessor Kjell Jørgen Hole ved Selmer-senteret ved Universitetet i Bergen, sammen med et knippe kolleger, gjennomførte et såkalt "proof-of-concept"-angrep mot Sparebankenes nettbanksystem for å påvise svakheter ved påloggingssystemet.

Med relativt utbredte og velkjente metoder kunne sikkerhetskodene knekkes og dermed gi adgang til en kundekonto. Bristen som da ble påvist, ble rettet opp. Men med enkle endringer har professor Hole og hans kolleger vist at et nytt angrep enkelt lot seg gjennomføre.

- Det opprinnelig angrepet og det modifiserte angrepet har til sammen fungert fra mars 2007 til januar 2008. I begge tilfeller ga angrepet tilgang til konti i to nettbanker basert på BankID, sier Kjell Jørgen Hole til Computerworld.

- Sikkert som banken

BankID anslår at 2,5 millioner bankkunder vil benytte denne teknologien i løpet av 2008. - Så sent som i desember 2007 sendte direktørene Arne Skauge og Arne Hyttnes i Sparebankforeningen og Finansnæringens hovedorganisasjon et brev til Finanskomiteen og Transport- og kommunikasjonskomiteen i Stortinget samt til Finansdepartementet, Fornyings- og administrasjonsdepartementet og Datatilsynet, der de garanterer for sikkerheten i BankID:

"Vi kjenner ikke til at BankID noen gang er blitt utsatt for et reelt angrep av denne typen, eller at bankkunder er blitt svindlet ved slike angrep. Likevel har bankene etter innspill fra Hole styrket sikkerheten ytterligere slik at slike angrep ikke lenger kan gjennomføres", skriver Hauge og Hyttnes.

Knekket igjen

Men dette tilbakevises altså nå i og med nye angrep fra professoren.

- Etter disse nye påstandene fra Skauge og Hyttnes gjorde vi en ny test. En liten forandring av angrepet vi gjorde sist var alt som skulle til for å åpne systemet, sier Hole til Computerworld.

Holes team kom seg inn i ved å gjøre noen små endringer i det gamle miniprogrammet for innloggingen med elektroniske koder. Hole og hans kolleger har for øvrig ikke fått noe tilbud om å sikkerhetsteste BankID etter den forrige rettelsen.

Her er angrepet dokumentert i detalj.

Flere svakheter

Ifølge Hole er det særdeles viktig at sikkerheten i BankID er så god som den kan bli spesielt fordi den er en av de aktuelle teknologiene for ny nasjonal elektronisk ID.

- Angrepene viser at BankID-samarbeidet ikke har god nok risikohåndtering av sine systemer. Dette kan bli et alvorlig problem dersom BankID blir valgt til nytt nasjonalt ID-system. Alle kandidater til nasjonalt ID-system bør derfor evalueres av uavhengige eksperter, sier Hole.

- Er det mulig å rette opp feilene dere nå har påvist to ganger?

- Ja, det er det. Dette er veldig amatørmessige feil.

Hole tilbakeviser også kritikk fra enkelte som har hevdet at forskerne ikke har funnet svakheter i BankID, men bare har gjennomført et rent phishing- angrep.

- Dette er ikke riktig. Begge angrepene har utnyttet svakheter både i designet og implementasjonen av BankID.

Krever gjennomgang

Forbrukerrådet ber nå om en tredjeparts kontroll av sikkerheten rundt elektronisk signatur og nasjonal ID.

- Dette kontrollorganet bør på plass snarest, og bør også være operativt og med i bestemmelsene om hvem som får tildelt ansvaret for en elektronisk signatur /nasjonal ID, sier Forbrukerrådets direktør, Erik Lund-Isaksen.

Han ønsker at et slikt kontrollorgan også får sanksjonsmuligheter.

- Da vil man også tydelig ha plassert ansvar. Så lenge sanksjonene ikke er på plass, vil bankene først og fremst tenke på brukervennligheten, sier Lund-Isaken.

- Systemsvikt

Grete Sørensen, koordinator for BankID, toner ned dramatikken.

- Vi fikk melding fra Selmer-senteret om feilen som ble funnet 8. januar. Den var rettet opp i løpet av en dag. Det var en svikt i våre rutiner, og det skulle ikke skjedd. Det er innført tiltak for å unngå slike feil i fremtiden og endringskontrollen er ytterligere innskjerpet, sier Grete Sørensen, koordinator for BankID.

BankID setter pris på arbeidet til professor Hole, forsikrer Sørensen.

- Vi har personlig takket Kjell Jørgen Hole og Selmer-senteret for at de avdekket dette. Samtidig vil jeg understreke at dette ikke handler om en alvorlig feil. Våre logger ville informert oss om kunder hadde blitt utsatt for et slikt angrep.

Ingen systemer kan være 100 prosent vanntette, understreker Sørensen.

- Vi har 300 000 transaksjoner daglig. Ingen av våre kunder har noensinne blitt utsatt for et slikt angrep. På den annen side vil det alltid være mulig å finne sårbarheter i sikkerhetsløsninger og vi jobber derfor kontinuerlig med forbedringer.

Nok tilsyn

Når det gjelder kravene om uavhengig kontroll, synes Grete Sørensen at BankID har god revisjon som det er.

- To tilsynsmyndigheter, Kredittilsynet og Post- og teletilsynet, kan når som helst kontrollere våre systemer, og vi har en god dialog med begge. I tillegg føres det ekstern revisjon jevnlig.