IT

8 av 10 nettbanker strøk i sikkerhetstest

Espen Zachariassen
21. nov. 2011 - 10:45

Åtte av ti norske nettbanker har for dårlig sikkerhet i forbindelsen mellom server og kundens nettleser.

Det kommer frem i en gjennomgang av krypteringsløsningene som det norske selskapet Encripto i Ålesund har foretatt.



Overrasket

– Resultatet er overraskende, sier daglig leder Juan J. Güelfo til Teknisk Ukeblad.

ÅPEN: Daglig leder Juan J. Güelfo hos Encripto har funnet sårbarheter i norske nettbanker som kan sette dem ut av spill. Encripto

Disse bankene ble sjekket:

  • BN Bank
  • DNB
  • Fokus Bank
  • Landkredit
  • Nordea
  • Sparebank 1
  • Sparebank 1 Møre
  • Sparebank 1 Vest
  • Storebrand
  • YA Bank

Bankene:

To av ti godkjent

Her kom de aller fleste ut under pari i forhold til det sikkerhetsnivået nettbankene bør ligge på.

Kun to av ti nettbanker fikk stempelet ”godkjent”.

Les også: Finanstilsynet refser nettbankfeil



Ingen rangering

– Hvilke banker kommer verst og best ut i denne undersøkelsen?

– Vi har ikke gitt navn på bankene i de ulike resultatene, etter som vi ikke ønsker å skade renommé eller reklamere for de sikreste. Målet med rapporten er å opplyse om situasjonen vi har i Norge, sier Encripto-sjef Güelfo.



Kryptering

Forenklet forklart handler dette om at de fleste bankene ikke har kryptert forbindelsen mellom server og kundenes pc-er godt nok.

Internettforbindelsen mellom nettleser og nettbankens server er sikret med kryptoprotokoller kalt Transport Layer Security (TLS) og forløperen Secure Sockets Layer (SSL).

Disse skal hindre uvedkommende i å få tilgang til informasjonen som går mellom server og pc. Men hvis kryptoprotokollene ikke er konfigurert på en god nok måte, blir heller ikke beskyttelsen god nok.

Les også: – Norsk sikkerhet er forverret

Forhandler

Når du logger deg på nettbanken, skal det opprettes en sikker forbindelse. Da ”forhandler” nettleseren frem en kryptert forbindelse med nettbankserveren.

Her har Encripto sjekket kvaliteten på denne forbindelsen ved å bruke enkel programvare som henter ut alle underliggende, men offentlige, data om forbindelsene.



3 av de 10 bankene opererer med usikre måte å opprette slike forbindelser på, som åpner for at utro tjenere kan skaffe seg kundeinformasjon - såkalt ”man in the middle”-utfordringer.

4 av 10 gjør det mulig for nettleseren å sette i gang forhandlinger, mens denne funksjonen kun skal ligge hos serveren.

Det åpner for tjenestenektangrep, DOS, som kan sette nettbanken ut av funksjon. Her vil nettbankens servere bli utsatt for så stor trafikk at de bryter sammen, med store konsekvenser for både bank og kunder.

7 av 10 er åpne for såkalt BEAST-angrep. ”Browser Exploit Against SSL/TLS” innebærer at sårbarheter i nettleseren gjør det mulig for uvedkommende å få tilgang til data i den krypterte forbindelsen mellom kunde og nettbank..



For kort

I tillegg tillater én av nettbankene kortere krypteringsnøkler enn det anbefalte minimum på 128 bits.

I praksis betyr det at forsøk på å knekke krypteringen vil ta kortere tid.

Du kan sjekke detaljene i rapporten her



Har fikset feil

Encripto valgte å gi bankene tid til å fikse problemene før svakhetene ble offentliggjort.

Dermed er de sårbarhetene som kommer frem her, nå rettet opp.



Sjekker rapporten

Finansnæringens Fellesorganisasjon skal gå gjennom rapporten før Teknisk Ukeblad får en kommentar til forholdene.



Les også: Du er din egen ID

Han vil samle Cyber-Norge

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.