Annonse


Slik reagerte norske banker på sikkerhetsanalysen hans

Operas Daniel Aleksandersen har seks års erfaring med kvalitetskontroll av nettleserne til det norske programvareselskapet.

Kjørte stor-analyse av norske banker
Da vi fikk se Aleksandersen sikkerhetsanalyse av norske banker ble vi engstelige, for: 
Hele 5 av de 17 analyserte bankene havnet nederst på lista med karakteren F.

Vi tok derfor kontakt med samtlige for å informere dem om at det er ting med sikkerheten de bør ta tak i for best å kunne sikre sine kunder mot angrep.

Slik testet han bankene
Men Først lar vi Aleksandersen forklare hvordan testene er utført, på en så enkel måte som mulig for alle som ikke har dette som jobb:

Annonse


«Testene og rangeringene er gjort med Qualys SSL Labs.

SSL Labs gjør mange eksperimentelle tilkoblinger til serveren som testes for å fastslå hvordan serveren håndterer ulike scenarioer.

Blant disse scenarioene er kjente sikkerhetshull (Heartbleed, BEAST, forskjellige mellommenn-angrep, og andre som har vært i søkelyset det siste året) samt protokoller som ikke lengre anses som sikre.»

Selve analysen utføres slik:

«Ut i fra disse dataene gjøres en risikoanalyse av tilkoblingen. Bankene du ser i F (fail)-klassen feilet tester mot kjente sikkerhetssårbarheter. Ting som bankene burde ha rettet allerede.

Risikoanalysen ser også på om det benyttes moderne kryptografi eller eldre standarder. 

De eldre variantene har gjerne redusert effekt etter at bransjen har mistet troen på de etterhvert som mindre sårbarheter er oppdaget gjennom årenes løp. De er ikke stemplet som usikre, men de er mindre sikre nå enn de engang ble antatt å være».

Men er det så farlig, da?
En ting er
«tørre» analyser. Vi ville vite hvor farlig det egentlig er å bruke en av bankene på listen som kom dårlig ut.

«Jeg ville ikke valgt å være kunde der, men det er et enormt komplekst spørsmål.

Man er kun så sikker som det svakeste leddet. Nettbankene med flere svake ledd er jo da helt klart enklere å knekke sikkerheten på enn de med bedre sikkerhet. 

The Register oppsummerer det fint:

Det er vanskelig å utnytte POODLE (største årsak til F-rangering) om du ikke er en statlig operatør (NSA) eller om brukeren befinner seg på et åpent eller naboens WiFi.»

Førstnevnte er nok ingen av ITavisen-lesere som er, men det å sitte sitte på en café og betale regninger nok er en langt mer vanlig greie for norske borgere, og derfor noe man helt klart ikke bør gjøre.

Ikke lett selv om de fikk dårlig karakter
Når det er sagt er det ikke enkelt å hacke seg inn i norske banker, ei heller de som kommer dårligst ut:

«Alle sårbarhetene som er nevnt i Qualys-rapportene krever stor innsats og tilgang på nettet fra en angriper. Det man kan konkret risikerer er at noen andre får innsyn i bankkontoene dine.

Utover dette kommer eventuelle angrepsvinkler helt an på bankene og hvilke ytterligere sikkerhetstiltak de har tatt.»

Fortatt ikke helt fornøyd
ITavisen tok kontakt med samtlige banker som kom dårligst ut (F) i Aleksandersen test.

Flere av tiltakene som bankene har utført etter at ITavisen tok kontakt har gjort at de i ettertid har kommet bedre ut i testene, men Aleksandersen påpeker følgende:

«Danske Bank får en B-rating på HTTPS, men når de ikke videresender brukeren fra HTTP til HTTPS automatisk har det veldig lite å si. Forsiden er fortsatt uforsvart, akkurat som Nordeas.»

Han synes også det blir for lettvint når bankene forsvarer seg med at det er forskjell på sikkerheten på bankenes forside, og selve nettbanken:

«Det spiller ingen rolle om nettbanken er sikker om kunden aldri kommer til riktig side. Alle kundene går til bankens forside og trykker på «logg inn».

Nordea og Danske Bank har ingen sikkerhet her i det hele tatt (de bruker ikke HTTPS på forsiden).

Om forsiden kapres ville de færreste kunder stusset på om de havnet på «nordealog.in» kontrollert av en tredjepart istedenfor «nettbank.nordea.no»Når nordea.no peker dem dit stoler de på at det er riktig. Brukeren gir fra seg brukernavn og passord; og vips så er nettbankkontoen ute av eiers kontroll.

Således er forsidesikkerhet mye viktigere enn hva pressekontaktene i enkelte av bankene selv ser ut til å forstå.»

Dette fortalte bankene oss
* Gjensidige:
«Svakheten som påpekes gjelder Gjensidiges nettportal. Det er ingen svakheter ved nettbanken. Problemet er kjent, og vi jobber med en løsning.»

* Nordea: «Teknisk personell vil fjerne rerutingen fra Nordea og bare ha https://www.nordea.no og http://www.nordea.no som gyldige URL-er. Årsaken er at vi ikke ønsker å lære opp kunden til å godta feilmelding fra sertifikater. 

Vi mener at nettbanken vår er sikker og at det som beskrives over ikke vil gi muligheten til å komme inn i selve nettbanken.»

* Verdibanken: «Vi har undersøkt dette nærmere. Det viser seg at da vi lanserte nye nettsider for et par uker siden, skjedde det en liten feil når SSL ble satt opp.

Dette er nå rettet opp i og scoren ble da noe bedre».

* KLP«KLP arbeider systematisk og rutinemessig med sikkerhet, og har en rekke samarbeidspartnere for å sikre at KLPs virksomheter er tilgjengelige, kompatible og sikre på Internett. KLP er et konsern, med flere selskaper, inkludert bank.

Ut fra det automatiske scan som er utført fra en web-side, som henvist til i artikkelen, er det avdekket at KLPs front-end-maskin har noen svakheter som åpner for angrep mot KLPs front-end-maskin.

KLPs infrastruktur for bank er sammensatt og kompleks. Det er derfor upresist å knytte en slik rating til hele KLPs løsning.
 
KLP Bankens løsninger har mange lag med sikkerhet, og vi mener at vår nettbank er trygg, noe vår meget gode historikk med hensyn til sikkerhet også underbygger. Når vi oppdager sikkerhetshull i våre løsninger vil vi naturligvis ta tak i dette og utbedre disse.

KLP arbeider kontinuerlig med sikring av våre løsninger, og våre interne rutiner avdekket denne sårbarheten som her påpekes for noe tid tilbake. Utbedring av avdekkede svakheter er allerede igangsatt.»

* BN Bank: «BN Bank er opptatt av sikkerheten og brukervennligheten i våre løsninger, og ser alvorlig på situasjonen knyttet til sertifikatløsningen.

Vi følger opp leverandøren av tjenesten i forbindelse med dette, og forventer en løsning i løpet av kort tid. Vi mener at det er trygt å bruke nettbanken.

Samtidig presiserer vi viktigheten av at kunden har kontroll på sitt passord og kodekalkulator, og oppdaterer programvaren på sin datamaskin jevnlig.»

Annonse