1. Introduksjon
Det er mange nettbankkunder i Norge i dag. Langt de fleste kundene stoler på at uvedkommende ikke kan bryte seg inn i deres nettbank. Fortjener norske banker denne store graden av tillit fra sine kunder? Selmersenteret ved Institutt for informatikk, Universitetet i Bergen, arbeider med å finne svar på dette og andre spørsmål om sikkerheten i norske nettbanker.
Seksjon 2 i denne rapporten inneholder en evaluering av nettbanken til SkandiaBanken. Det vises hvordan et enkelt angrep i 2003 kunne finne par av fødselsnumre og PIN-koder til kunder. Det forklares også hvorfor et modifisert angrep kan fungere i 2004. Seksjon 3 beskriver distribuerte DoS (Denial of Service)-angrep mot norske nettbanker. Videre vises det hvordan et distribuert DoS-angrep kan kombineres med angrepet for å finne gyldige par av fødselsnumre og PIN-koder. Dette kombinerte angrepet er alvorlig fordi det lar seg vanskelig stoppe. Seksjon 4 introduserer PIN-kalkulatorer og viser at noen nettbank-tjenere godtar en vilkårlig av flere påfølgende PIN-koder fra kalkulatorene. Disse “vinduene” av lovlige PIN-koder reduserer sikkerheten i nettbankene fordi det blir enklere for en angriper å gjette rette PIN-koder. Et tenkt angrep mot nettbanken til Postbanken illustrerer hvordan vinduene av PIN-koder kan utnyttes. Seksjon 5 inneholder en konklusjon.
2. Nettbanken til SkandiaBanken
Siden lite er offentlig kjent om sikkerhetsnivået til norske Internettbanker, startet Selmersenteret sitt arbeide med en evaluering av sikkerheten til SkandiaBankens nettbank. Resultatet av evalueringen var nedslående. Flere feil og svakheter ble avslørt. Etter at evalueringen ble avsluttet i år 2003 har SkandiaBanken endret sine rutiner for pålogging i nettbanken.
Last ned rapport (pdf)
2.1 Noen presseoppslag
Dagens Næringsliv, 4. september 2004, s. 72-73.
ITavisen, 6. september 2004.
På Høyden, nettavis for UiB, 6. september 2004.
di.se, Dagens industri, 6. september 2004.
Nettavisen, 6. september 2004.
Nettavisen, 6. september 2004. Svensk adm. dir. i SkandiaBanken hevder at sikkerheten i den norske nettbanken er god nok i 2004.
Aftonbladet, 6. september 2004.
Jyllands-Posten, 6. september 2004.
Job World, 6. september 2004.
digi.no, 7. september 2004.
Nettavisen, 8. september 2004.
Dagens Næringsliv, 8 september 2004, s. 6.
Aftenposten, 9. september 2004.
digi.no, 10. september 2004.
2.2 Foredrag: SkandiaBanken har problemer med nettbanken i 2004
SkandiaBanken hevder at 2004-utgaven av nettbanken er sikker. I foredraget nedenfor beskriver Selmersenteret et sikkerhetshull i nettbanken. Det følgende enkle “postkasse-angrepet” viser at en hacker kan tømme konti til noen kunder (s. 28-29 i foredrag):
Det er fremdeles mulig for en angriper å kjøre angrepet fra 2003 som finner gyldige par av fødselsnumre og PIN-koder. Deretter kan han logge seg på sidene til nettbanken og sørge for at disse kundene får tilsendt engangspassord via vanlig post. Angriperen kan hente passordene i postkassene til kundene. Fordi hackeren kan bestemme når banken sender ut passordene, så kan han også beregne når de kommer i postkassen. Dermed har han all informasjon, dvs. fødselsnumre, PIN-koder og engangspassord, som er nødvendig for å tømme kundenes konti.
Last ned foredrag (pdf)
Det enkle postkasse-angrepet er godt kjent blant personer med kunnskaper om datasikkerhet. Selmersenteret har derfor ikke innført noe nytt angrep, men bare illustrert at nettbanken til SkandiaBanken ikke er sikker nok i 2004.
2.3 Sted for foredrag
Seminar, Institutt for informatikk, UiB, Høyteknologisenteret, kl. 14:15, 16. september, 2004
2.4 Flere presseoppslag
Aftenposten, 3. oktober 2004.
Dagbladet, 3. oktober 2004.
Dagbladet, 4. oktober 2004.
BA, 4. oktober 2004.
Computerworld, 4. oktober 2004.
Fortsett: Side 2>>