Frykter flere nettbankran

- Jeg tror det kanbli mange interessante problemstillinger med nettbanker, sier professor Kjell Jørgen Hole, som er ekspert på datasikkerhetAftenposten fortalte tidligere i uken om Uranienborg menighet som ble frastjålet over 1 million kroner fra nettbanken. Banken og Bankklagenemnda mener at menigheten bidro til å gjøre tyveriet mulig ved å gi tyvene tilgang til pinkoden. Dermed må menigheten dekke hele tapet selv. Hole vil ikke kommentere denne saken, men synes bankene har valgt innloggingssystemer som ikke er gode nok.- Det som er betenkelig er at systemene gjør det lett for kundene å være grovt uaktsomme, mener Hole.

Avslørte Skandiabanken

Sammen med andre forskere ved Universitetet i Bergen påviste Hole i fjor at Skandiabankens system er for dårlig. Gruppens rapport førte til at Skandiabanken la om sine rutiner.Hver gang kundene vil logge seg inn fra en ny datamaskin trenger de et sertifikat. Nå må kundene ha et passord for å laste ned sertifikatet, og dette passordet sendes i brev eller tekstmelding. Når koden sendes til mobiltelefon er den bare gyldig i 15 minutter fra bestilling.Aftenposten har tidligere fortalt hvordan dette har skapt problemer for folk på utenlandsreise. Tekstmeldinger kommer ikke alltid frem i utlandet, for eksempel hvis man har valgt en operatør som ikke "snakker med" den operatøren man har hjemme.

Slik hacker du deg inn

Hole føler seg ikke trygg på at den løsningen Skandiabanken bruker nå er god nok, mens banken overfor Dagens Næringsliv har hevdet at den er det. Heller ikke andre banker som benytter personnummer eller kontonummer som brukernavn i kombinasjon med en firesifret pinkode vil være trygge, fastslår han.Datakyndige folk vil, med endel arbeid, antagelig klare å trenge inn i nettbanker, mener Hole. Hvis man logger inn med personnummer og firesifret pinkode er metoden som følger: Tast inn et 11-sifret tall bygget opp som et personnummer. Tast deretter inn fire tilfeldig valgte sifre. Gjør kun to forsøk pr. kunde, slik at kontoen ikke blir sperret. I de aller fleste tilfellene bommer du, men hvis du bare holder på lenge nok er det et spørsmål om tid før du treffer blink. Hvis du lar et dataprogram gjøre jobben treffer du i løpet av minutter, timer eller dager, avhengig av hvor aggressivt du går til verks.Om banken utstyrer kundene med pinkalkulator eller sikkerhetskort betyr i seg selv ingenting. Det som avgjør er hvor mange kunder banken har og hvor mange sifre pinkoden består av. Jo flere kunder banken har, jo lengre må koden være for at en hacker ikke skal treffe blink.

Bruker nettbank selv

Hole medgir at det er vanskelig å finne sikkerhetsopplegg som tilfredsstiller kryptologer og samtidig er enkle nok for brukerne.- Det er ikke noen enkle svar på det spørsmålet.- Bruker du nettbank selv?- Ja. Når offeret velges tilfeldig blant titusener av kunder er det jo lite sannsynlig at de tar meg, poengterer Hole.Hvis kontoen din skulle bli tappet på denne måten vil banken se at det har vært hackere på ferde, mener han. Det vil neppe se ut som om du har tømt kontoen selv, eller gjort koden tilgjengelig for tyven.- Hvis det blir kjørt et angrep som det vi snakker om vil det nok fremgå av bankens logg, tror Hole.