Hacket BankID

Professor i IT-sikkerhet har hacket BankID.

«[Sikkerheten rundt BankID] er så svak at det er mulig for meg å stjele din BankID, og utgi meg for deg.Kjell Jørgen Hole, til DinSide, 19. november 2007»


Professor i IT-sikkerhet ved Universitetet i Bergen, Kjell Jørgen Hole, har sammen med en gruppe doktorgradsstudenter gjennomført målrettede angrep for å bevise at BankID-løsningen ikke er god nok.

- Sikkerheten ved autentiseringen eller påloggingen er meget svak. Vi har vist at det er mulig å stjele identitet. For å få til dette, har vi tenkt som de kriminelle og benyttet oss av kjente angrepsteknikker, sier Hole til Computerworld.

Sårbart system

Innbruddstyver kommer i mange utgaver. Det er ikke alltid at de stjeler. Foto: iStockphoto.com Vis mer


- Jo mer systemet tas i bruk, jo mer sårbart blir det, sa Hole til DinSide forrige uke, da vi spurte ham om sikkerheten rundt bruk av BankID for å by på boliger på nett.

- [Sikkerhetssystemet til BankID] er dessverre så svakt at det er mulig for meg å stjele din BankID, og utgi meg for deg, advarte han.

Det kunne han trygt si. Han har gjort det. Ikke denne journalistens konto, men BankID er hacket.

Åpen dør

Ifølge Hole har BankIDs "låvedør" stått åpen siden dag én. Helt siden han og studentene begynte med forskningen i februar, har de ifølge Hole informert Bankenes standardiseringskontor (BSK) og bankene om svakhetene. Gruppen er ifølge IT-professoren likevel ikke blitt tatt på alvor og har kunnet fortsette gjennom hele året.

De målrettede angrepene har vært mot bankkonti som tilhører gruppens medlemmer.

Usynlig virus tapper konto

NorSIS (Norsk senter for informasjonssikring) tar ifølge Computerworld avstand fra måten professor Hole og hans studenter har testet nettbanksikkerheten, og mener at Hole har gått ut over sine fullmakter.

I BankID sier koordinator Grete Sørensen at sikkerhetshullet som har vært benyttet, ble tettet i november. Hun holder fast ved at ID-løsningen er sikker nok, og jurister ser nå på lovligheten av Holes sikkerhetstesting.