Tar avstand fra professor-hack

Tar avstand fra professor-hack

NorSIS mener professor Hole har gått frem på helt gal måte da han hacket BankID. BankID forsikrer om at sikkerhetshullet nå er tettet.

Norsk senter for informasjonssikring (NorSIS) tar avstand fra måten professor Kjell Jørgen Hole og hans studenter har testet sikkerheten i nettbanken. Leder Tore Larsen Orderløkken mener Hole har gått ut over sine fullmakter.

- Vi vil ikke være på siden til de som forsøker å teste sikkerheten på denne måten, sier Orderløkken til Computerworld.

BAKGRUNN: Professor hacket BankID

Anarki
Orderløkken peker på at når Hole gjør denne typen testing, åpner det for at andre, datainteresserte gutter og jenter, og gjerne kriminelle, går frem på samme måten. Men han kan ikke si sikkert om det er datainnbrudd.

- Jussen er ikke jeg ekspert på. Men jeg er rimelig sikker på at bankene har sagt at det ikke er lov til å teste sikkerheten på denne måten, sier Orderløkken.

Sikkert nå
Koordinator Grete Sørensen i BankID sier at sikkerhetshullet som Hole benyttet i sitt man in the middle-angrep nå er tettet.

- Dette ble gjort nå i november. Vi setter pris på at forskningsmiljøer gir innspill, men er ikke glade for at de forsøker å skremme nettbankkunder. Hole mener han ikke blir tatt seriøst. Jeg beklager dette, men han blir lyttet til, sier Sørensen til Computerworld.

- Dere har jo hatt systemet siden 2004, og dere fikk beskjed av Hole om svakheten i mars. Dette er kjente angrepsteknikker, hvorfor er ikke noe gjort før?

- Vi jobber kontinuerlig med sikkerheten, og har hatt tre trinn på dette i løpet av året. Hole mener at det har gått for tregt, men det er en risikovurdering vi gjør, sier Sørensen som understreker at BankID aldri har vært utsatt for et reelt angrep.

Sørensen holder fast på at løsningen er sikker nok. BankIDs jurister ser nå på lovligheten av Holes sikkerhetstesting.

Komplisert juss

Kripos' datakrimavdeling ønsker ikke å kommentere hvorvidt angrepet som Hole har demonstrert, kan karakteriseres som dataangrep.

- Vi har for lite informasjon om denne saken til å kommentere. Det er svært et komplisert lovverk på dette området, sier informasjonssjef Audun Øvrebø i Kripos til Computerworld.

(Oppdatert 28.11.2007 13:00)

Les om: