STUDENT OG PROFEESOR: Yngve Espelid (t.v) og hans professor, Kjell Jørgen Hole, lagde falske banksider og lurte bankens sikkerhetssystemer.

Det er høylys dag i Bergen, og kontordøren vi banker på har et diskret, lite skilt som forkynner at her jobber Kjell Jørgen Hole, professor i IT-sikkerhet. En slank, høyreist og svakt gråstenket 46-åring åpner døren, og ønsker velkommen.

Kontoret er lyst og trivelig, og minner lite om en hackerbule. Like fullt: Herfra har en uautorisert inntrenging i to norske nettbanker funnet sted.

Er Hole en samfunnsfiende?

- Jeg er ingen kriminell, men jeg har vist hva kriminelle kan oppnå med forholdsvis enkle metoder. BankID er et system med alvorlige sikkerhetshull.

Ingen takk å få

Sammen med fem doktorgradsstudenter er Hole knyttet til SELMER-senteret ved UiB, og i fjor startet de et prosjekt knyttet til BankID og sikkerhet.

- Vi ville se om det var mulig å få tilgang til studentenes egne konti, ved å bruke helt tradisjonelle hackerverktøy. Det var viktig å gjøre angrepet så reelt som mulig, derfor varslet vi ikke bankene først, men valgte å eksponere egne, ikke andres konti.

Fremgangsmåten (se egen ramme) fungerte glatt, og etter noen dagers arbeid var kontiene hacket. Professoren og studentene hadde tilgang til pengene, og kunne overføre dem hvor de ville.

- Det gikk lettere enn vi hadde trodd. Nokså fornøyde oversendte vi all dokumentasjon til BSK og BBS, slik at de kunne tette sikkerhetshullet.

Hole og studentene hadde ventet en takk.

I stedet fikk de huden full.

Nytt innbrudd

Eierne av BankID likte svært dårlig det som hadde foregått i Bergen.

- De svarte oss ikke skikkelig. Først ni måneder etter innbruddet, i november 2007, hadde de fikset feilen. Etter det bestemte vi oss for å prøve på nytt. Det tok bare 24 timer, så var vi inne igjen.

Hole skjønner hvorfor eierne av BankID vil feie innbruddene under teppet:

- De har et system som på mange måter er sikkert nok - til sitt bruk. Ja, det går an å hacke det, og det vil skje, men de få episodene ordner bankene opp i selv, og utbetaler full erstatning til kundene som rammes. Det viktigste for dem er at vi forbrukere stoler på systemet, så tar bankene seg av erstatningssakene i all stillhet.

Hvilket professoren godt kunne leve med.

Om det ikke hadde vært for at BankID kanskje skal tas i bruk til noe enda større og viktigere enn nettbank.

Nasjonal ID

I flere år har det offentlige Norge lett etter en bombesikker metode for digital signatur, som gjør at vi kan gjennomføre sikker identifikasjon av personer på nettet. Først når den er på plass, kan vi bruke nettet til å stemme ved valg, utveksle medisinske opplysninger, søke lån, osv.

Nå vil eierne av BankID at deres system skal tas i bruk som digital signatur.

- Det er derfor jeg roper et stort varsku. BankID har i dag ca. en million brukere i nettbank. Dersom det blir standarden for et nasjonalt system for digitale signaturer, vil antall brukere øke til 2,5 millioner.

Sikkert lønnsomt for bankene, men problematisk for brukerne, mener Hole:

- For det første har vi bevist at BankID ikke er sikkert nok, særlig når vi snakker så viktige tjenester som elektroniske valg og behandling av sensitiv, personlig informasjon. For det andre mener vi det blir feil at all identifisering av personer her i landet skal baseres på dette ene systemet. Det blir som å putte alle eggene i én kurv. Hvis eieren snubler, rammes vi alle.

Slik brøt de seg inn

Hole forklarer at BankID har en prosess for identifisering av kunder, delt i to deler:

- I 2007 fant vi en svakhet i første trinnet av prosessen. For å bevise at denne svakheten er alvorlig, brukte vi en såkalt ManInTheMiddle-teknikk, som går ut på nettopp det: Sette en mann i midten. Dette er en ganske kjent type angrep. Poenget er å tenke som en kriminell: Hvordan få tak i mest mulig penger på kortest mulig tid.

Først skaffer man seg masse E-postadresser til bankkunder, så sender man ut en melding om at det har oppstått et serverproblem, og ber kunden logge seg på for å sjekke kontoopplysningene sine.

Men hackeren har satt opp en ny bankside, på en såkalt proxyserver, som han kontrollerer. Banksiden, som i dette tilfellet var Fokus Bank og Ya Bank, ligner den ekte siden på en prikk.

- Det er en enkel sak å kopiere en internettside. Yngve her gjorde jobben på et par dager, sier Hole.

Lurer mange nok

Kunden som går på limpinnen, logger seg nå på den falske nettsiden. Ved å utnytte påviste svakheter i BankID, er det mulig for en hacker å ta over forbindelsen mellom kunden og nettbanken etter at kunden har logget seg på.

Hackeren sender så en melding til kunden om at det er oppstått en feil, vennligst prøv igjen senere, mens han selv fortsetter kommunikasjonen mot den ekte banken. Hvor han nå kan ta ut så mye penger han vil, og sende dem dit han ønsker.

- Metoden kalles phising. De fleste vil skjønne at det er noe muffens og avstå fra å logge seg på, men det holder at én av hundre går i fella. 1 % av 1 million brukere er tross alt 10 000. Kan bli mye penger av det!

Hole understreker at det ikke lenger er mulig å gjennomføre de beskrevne angrepene, fordi eierne av BankID nå har tettet dette sikkerhetshullet.

Millioner forsvunnet

Men Hole kjenner til at slike kontoinnbrudd har skjedd i Norge - flere ganger:

- Hackeren går inn på en konto, sender pengene til en mindre begavet kriminell person, som tar dem ut og beholder en liten andel av beløpet selv. Resten gis til bakmannen, som fordufter med beløpet. Kripos har etterforsket rundt 50 slike saker, uten at de har tatt en eneste bakmann.

Hole: Helt eller fiende?

Da Kjell Jørgen Hole informerte banknæringen om sitt hack i fjor, ble han først forsøkt tiet i hjel. Nå som han har gått til pressen med saken, er det blitt temperatur. Kritikken har haglet mot Hole og studentene. Lederne av både Norsk senter for informasjonssikring (NorSIS) og Post og Teletilsynet gikk hardt ut for å diskreditere den "s åkalte eksperten" Hole, og mente han hadde begått et lovbrudd.

Men Hole har fått støtte fra høyeste hold:

- Forskning og kompetanse rundt IT-sikkerhet er et viktig element, og det Hole har gjort viser at vi ikke er gode nok, sier IT-minister Heidi Grande Røys.

Sikkert nok

- Alle sikkerhetssystemer lar seg lure hvis man virkelig prøver hardt nok. BankID er sikkert nok. Ingen av våre brukere er noen gang svindlet, og det til tross for at vi har 180 millioner nettbanktransaksjoner hvert år!

Det sier Grete Sørensen, koordinator i BankID, som eies av Sparebankforeningen og Finansnæringens Hovedorganisasjon. Hun hevder hun ikke har noe imot Holes aktiviteter:

- De er forskere og har gjort et laboratorieforsøk. Greit nok, men vi har altså en faglig uenighet om hvorvidt BankID er sikkert nok.

Nå har regjeringen akkurat erklært at den vil ha et nasjonalt, elektronisk ID-kort klart innen starten av 2010. BankID vil være med i det feltet:

- Vi møter allerede kravene innenfor det departementet kaller sikkerhetsnivå "Person høy". Vi ønsker ikke bli eneste leverandør av systemsikkerhet, men en av flere. Vi vil at de som allerede bruker BankID til nettbank i dag, også skal kunne bruke løsningen på offentlige tjenester via nett, avslutter Sørensen.

Les mer i Vi Menn nr. 17, som er i salg nå

Les hele saken

Vi setter stor pris på kommentarer og innspill i debattene våre. Vær forsiktig med personangrep og sjikane og prøv heller å forklare hva du mener og hvorfor. Takk for at du bidrar i debatten!