Professor på UiB har hacket BankID

[gummitarzan]

Tar sjangsen på poste dette under nettverk, siden HW forumet ikke har en egen subforum for it-sikkerhet. (Noe jeg synes absolutt burde vært på plass) Anyway,

 

Saken er hvertfall at en professor på IT sikkerhet ved UiB har hacket BankID ved hjelp av phising og mitm teknikker. Må ærlig innrømme at jeg koser meg litt over denne nyheten, særlig siden BankID i lengre tid har skrytt på seg å ha ..."verdens sikreste nettbank-løsning". BankID ble visstnok varselet allerede i Mars om sårbarheten, men har latt være å gjøre noe med det.

 

Selv om metodene som er brukt nok kan diskuteres, både moralsk og juridisk, synes jeg det er bra at det finnes folk som tar tak i slike ting, når BankID selv ikke gidder. Det eneste som er verre en dårlig sikkerhet er jo falsk sikkerhet, så jeg synes egentlig BankID burde være takknemlig overfor denne professoren, istedet for å rasle med sablene og sette jurister på saken, slik de nå gjør.

 

Link til computerworld for mer utfyllende informasjon

Endret 28. november 2007 av gummitarzan

[oycob]

hmm, interessant det du skriver om, men ønsker detaljert og troverdig bakgrunnsstoff - linkene dine fungerer ikke?

[Prusk]

Skjønner ikke at BankID ikke selv ser nytten av dette. Om professoren har jobbet i en gråsone, så er det i alle fall til BankIDs beste.

Jeg synes dette er langt bedre enn disse mediene som tidligere lurte med seg kniver og våpen inn på flyplasser, for så og si hvordan man klarte det uten å bli tatt i kontrollen.

 

Når teknologien ikke er sikker nok burde de ha mot nok til å takke professoren for en jobb andre med glede hadde utnyttet og "tatt betalt" for. Her rasler de med sabler, og truer med advokat i kjent arrogant internett stil. Hadde han gått ut som en hacker og sagt fra anonymt ville de nok ha tenkt med på sikkerheten til forbrukerne, i tillegg sluppen unna eventuelle rettslige følger.

Det burde kanskje vært amnesti for slikt arbeid? Tja, nja, tja. Firefox hadde / har en ordning der man får betalt for å finne hull..

[inferror]

http://www.idg.no/bransje/bransjenyheter/article77078.ece

[oycob]

veldig enkel fremgangsmåte... Men naturligvis svært effektiv, og relativt enkel å gjennomføre uten at brukeren merker noen ting.

 

Dette har vel ikke blitt tatt tak i, fordi det ikke finnes noen enkel måte å forhindre utnyttelsen på. Men ille at de ikke møter mer vilje til å løse problemer knyttet til åpenbare sikkerhetshull i bankId.

 

Husker forresten at jeg selv benyttet noe av samme framgangsmåte, da i forhold til hotmail (og mye enklere autentisering, naturligvis) når jeg gikk i 6. klasse - og lurte flere av mine medelever uten at de merket noen ting Var naturligvis snill og fortalte dem om det hele etterpå :=)

Men det forteller kanskje litt om hvor enkelt det kan være? ;D

Endret 28. november 2007 av oycob

[gummitarzan]

Hvis man googler litt, finner at dette slett ikke er første gang professor Hole står frem og advarer mot dårlig sikkerhet i norske nettbanken. Og det virker som at responsen hele veien har vært relativ kjølig, i noen tilfeller har de rett og slett

motarbeidet han.

 

Det værste av alt er at krefter innad i bankvesenet jobber for å utvide BankID til også å gjelde som en nasjonal infrastruktur for legimitasjon over nettet. Synes at de nesten har en skremmende dårlig holdning til sikkerhets-aspektet.

 

Kunder i Sparebank 1, Sr-Bank har allerde blitt utsatt for svindel på denne måten, og selv om bankene (foreløpig) dekker tapet, er det en belastning for kundene å oppdage at kontoen er tømt. Kjenner jeg banksystemet rett er neppe de tapte pengene tilbake på konto samme dag, og hadde dette f.eks skjedd rett før en helligdag(er) kan man risikere å bli stående med tom konto over lengre tid.

 

 

 

kildelinker:

http://www.aftenposten.no/meninger/kronikk...icle2106538.ece

http://www.forskning.no/Artikler/2006/mai/1148641173.9

http://www.idg.no/computerworld/article52568.ece

[Alastor]

Flyttes til forumet antivirus og datasikkerhet (Vi hadde et forum for slikt ).