- Jeg kan ikke svare sikkert på om norske nettbanker er trygge eller ikke. Bankene nekter nemlig å fortelle oss noe om sikkerhetssystemene de bruker, sier informatikkprofessor Kjell Jørgen Hole.

Han er hovedforfatter på en studie om norske nettbanker fra 2003-2004 som er publisert i den amerikanske datasikkerhetsjournalen IEEE Security&Privacy: “Case Study: Online Banking Security”.

Simulerte angrep på bank

Nettavisen til Universitetet i Bergen, På Høyden, skrev for snart to år siden om den daværende hovedfagsstudenten Thomas Tjøstheim, som hadde simulert et angrep på banken han selv var kunde av.

På den tiden brukte banken kun personnummer og en 4-sifret PIN-kode som pålogging.

Tjøstheim viste at han relativt enkelt kunne generere gyldige fødselsnummer for gitte fødselsdager.

I tillegg brukte han offentlig tilgjengelige data fra Statistisk sentralbyrå til å forbedre algoritmene sine - blant annet genererte han flest fødselsdatoer for de årsklassene der det er mest nettbankbrukere.

Paret han disse med tilfeldig valgte PIN-koder, kom han seg etter hvert simulerte angrep inn på i gjennomsnitt 66 konti. Dersom kundene valgte PIN-koder selv, var det enda enklere - studier viser nemlig at 1/3 av kunder da velger en eller annens fødselsdag.

Nektet å innrømme sikkerhetsproblemer

- Heldigvis gjorde han ikke dette på ordentlig, det var et simulert angrep. Og vi vet derfor ikke heller om det hadde fungert i virkeligheten. Men ut fra den informasjonen som er tilgjengelig, hadde det gjort det, understreker Hole.

Banken endret siden påloggingsrutinene sine noe, men hevdet hele tiden hardnakket at de ikke oppfattet hullet Tjøstheim fant som noen spesielt alvorlig risiko.

- Bankene har som prinsipp at de ikke sier noe om den slags. Det er del av sikkerhetspolitikken deres. Vi mener den er feilslått, sier Hole.

Prinsippet er velkjent for dem som driver med datasikkerhet, og kalles “security through obscurity” - sikring gjennom tilsløring, grovt oversatt.

Det går ut på at du i størst mulig grad holder informasjon om dine styrker og svakheter hemmelig for fienden. Så lenge fienden ikke vet hvor og hvordan de skal angripe, er sannsynligheten lav for at de forsøker.

- Hackerne kan mest om sikkerhet

I nettbanksammenheng betyr det at bankene i størst mulig grad er ulne når de uttaler seg om egne sikkerhetssystemer. De forteller kundene, i svært generelle vendinger, at sikkerheten er topp, men unnlater konsekvent i å gå i detaljer.

Bankene har også generelt vært svært kjølige overfor UiB-forskerne når de har kontaktet dem etter å ha påvist mangler i rutinene deres.

En av Norges største banker følte seg så truet av Holes forsøk på å avdekke sikkerhetshullene deres, at de gjennom universitetsledelsen forlangte et møte med forskerne.

- Jeg fikk inntrykk av at de ønsket å stanse oss, men det var selvsagt ikke aktuelt, forklarer Hole.

I artikkelen har forskerne likevel valgt å anonymisere bankene. Fortsatt får altså bankene drive datasikkerhet i dølgsmål, og vil fortsatt ikke samarbeide med eksterne forskere.

Det skaper problemer for både bankene og forskerne, ifølge Hole.

Forskerne kan nemlig bare benytte seg av den informasjonen som er lovlig tilgjengelig, slikt bryr ikke hackerne seg om. Dermed sitter hackerne på mer informasjon enn forskerne.

- Og jeg tror kompetansen deres er mye høyere på feltet enn den er hos oss, sier Hole. Han hevder likevel han forstår tankegangen bak bankenes sikkerhetsprinsipp om hemmelighold, men er uenig i anvendelsen av det.

Trygg teknologi finnes

- “Security through obscurity” fungerer dersom kostnadene for å angripe er høye, og risikoen for å bli tatt er stor. Hvis du skal forsvare en militær stilling med begrensete ressurser, er det en fornuftig strategi om fienden ikke vet nøyaktig hvor kanonene dine står, forteller Hole.

Han mener situasjonen er helt motsatt for en datasnok: Risikoen for å bli tatt er liten, og kostnadene for å foreta et angrep er svært lave, enten angrepet blir oppdaget eller ikke.

- I tillegg har vi teknologi i dag som er god nok til at du kan være helt åpen om sikkerhetssystemet du har valgt, og det vil i praksis være umulig å bryte seg inn, forklarer Hole.

Nettbankbrukere i dag bruker gjerne en personlig PIN-kode til å generere en sekssifret engangskode gjennom en såkalt PIN-kalkulator.

Dette systemet har imidlertid også svakheter. Datasnoken kan nemlig være kunde i banken selv - og dermed ha sin egen PIN-kalkulator å forske på.

I tillegg har flere av produsentene av slike PIN-kalkulatorer informasjon tilgjengelig på nett om hvordan teknologien deres fungerer.

Dyrt for bankene å utbedre systemene

Tjøstheim, Hole og Vebjørn Moen har simulert et angrep på et slikt system også, med nesten like nedslående resultat som det beskrevet ovenfor.

For hvert simulerte angrep, var det mulig å bryte seg inn i gjennomsnittlig 38 konti.

Disse engangskodene blir imidlertid per definisjon sikrere jo lengre de er. En engangskode på åtte tegn er dermed svært mye tryggere enn en på seks.

- Men her er det snakk om en enkel kost/nytte-analyse for bankene. Dersom en bank har 400.000 kunder som bruker en for dårlig PIN-kalkulator, og si at det koster 100 kroner å produsere og distribuere en ny og bedre, blir dette alene en utgift på 40 millioner kroner. Det er ikke småpenger, selv for en bank, sier Hole.

Og selv om kunder i banken som resultat av svikten blir svindlet for til sammen 40 millioner, er det fortsatt ikke nødvendigvis rasjonelt for banken å bytte kalkulatorene.

Banken kan nemlig enkelt hevde at deres system er godt nok, og at kunden må ha oppbevart PIN-koden sin usikkert. Da har kunden ikke overholdt sin del av ansvaret, og er selv ansvarlig for hele tapet.

Går på rettssikkerheten løs

- Dette går selvsagt utover kundenes rettssikkerhet. Kunder som blir svindlet for pengene sine blir ikke trodd av Bankklagenemnda. Bankene har ikke så langt blitt tvunget til å rettslig bevise at systemene deres er sikre nok, og kundene og forsvarerne deres har heller ikke mulighet til å motbevise det, sier Hole.

Et eksempel på en slik sak er beskrevet blant annet i TV2 Nettavisen.

Hole mener bankene bør kunne dokumentere hvilke sikkerhetsløsninger de bruker, hvis de er gode nok har de råd til å være åpne om dem.

Og at det er rimelig at det er bankene som tar risikoen - og dekker tapene - dersom deres systemer er for dårlige.

- I USA er for eksempel nettbanksikkerheten gjerne enda dårligere enn her, men der er det så vidt jeg forstår bankene selv som er ansvarlige, sier Hole. Da er det opp til bankene å vurdere om de tåler å dekke tapene fra vellykkete angrep, eller om det blir rimeligere for dem å oppgradere sikkerheten.

- Slik systemet fungerer i Norge, er det kunden som risikerer å bli sittende med regningen, hevder han.