Åtte av ti norske nettbanker har for dårlig sikkerhet i forbindelsen mellom server og kundens nettleser.
Det kommer frem i en gjennomgang av krypteringsløsningene som det norske selskapet Encripto i Ålesund har foretatt.
Overrasket
– Resultatet er overraskende, sier daglig leder Juan J. Güelfo til Teknisk Ukeblad.
Disse bankene ble sjekket:
- BN Bank
- DNB
- Fokus Bank
- Landkredit
- Nordea
- Sparebank 1
- Sparebank 1 Møre
- Sparebank 1 Vest
- Storebrand
- YA Bank
Bankene:
To av ti godkjent
Her kom de aller fleste ut under pari i forhold til det sikkerhetsnivået nettbankene bør ligge på.
Kun to av ti nettbanker fikk stempelet ”godkjent”.
Les også: Finanstilsynet refser nettbankfeil
Ingen rangering
– Hvilke banker kommer verst og best ut i denne undersøkelsen?
– Vi har ikke gitt navn på bankene i de ulike resultatene, etter som vi ikke ønsker å skade renommé eller reklamere for de sikreste. Målet med rapporten er å opplyse om situasjonen vi har i Norge, sier Encripto-sjef Güelfo.
Kryptering
Forenklet forklart handler dette om at de fleste bankene ikke har kryptert forbindelsen mellom server og kundenes pc-er godt nok.
Internettforbindelsen mellom nettleser og nettbankens server er sikret med kryptoprotokoller kalt Transport Layer Security (TLS) og forløperen Secure Sockets Layer (SSL).
Disse skal hindre uvedkommende i å få tilgang til informasjonen som går mellom server og pc. Men hvis kryptoprotokollene ikke er konfigurert på en god nok måte, blir heller ikke beskyttelsen god nok.
Les også: – Norsk sikkerhet er forverret
Forhandler
Når du logger deg på nettbanken, skal det opprettes en sikker forbindelse. Da ”forhandler” nettleseren frem en kryptert forbindelse med nettbankserveren.
Her har Encripto sjekket kvaliteten på denne forbindelsen ved å bruke enkel programvare som henter ut alle underliggende, men offentlige, data om forbindelsene.
3 av de 10 bankene opererer med usikre måte å opprette slike forbindelser på, som åpner for at utro tjenere kan skaffe seg kundeinformasjon - såkalt ”man in the middle”-utfordringer.
4 av 10 gjør det mulig for nettleseren å sette i gang forhandlinger, mens denne funksjonen kun skal ligge hos serveren.
Det åpner for tjenestenektangrep, DOS, som kan sette nettbanken ut av funksjon. Her vil nettbankens servere bli utsatt for så stor trafikk at de bryter sammen, med store konsekvenser for både bank og kunder.
7 av 10 er åpne for såkalt BEAST-angrep. ”Browser Exploit Against SSL/TLS” innebærer at sårbarheter i nettleseren gjør det mulig for uvedkommende å få tilgang til data i den krypterte forbindelsen mellom kunde og nettbank..
For kort
I tillegg tillater én av nettbankene kortere krypteringsnøkler enn det anbefalte minimum på 128 bits.
I praksis betyr det at forsøk på å knekke krypteringen vil ta kortere tid.
Du kan sjekke detaljene i rapporten her
Har fikset feil
Encripto valgte å gi bankene tid til å fikse problemene før svakhetene ble offentliggjort.
Dermed er de sårbarhetene som kommer frem her, nå rettet opp.
Sjekker rapporten
Finansnæringens Fellesorganisasjon skal gå gjennom rapporten før Teknisk Ukeblad får en kommentar til forholdene.
Les også: Du er din egen ID
