Professor Kjell Jørgen Hole ved Universitetet i Bergen har over lengre tid advart mot dårlig sikkerhet i BankID-løsningen. Sist gang i en kronikk i Aftenposten 17. november: Nettbanken er ikke trygg.
Les også:
- [06.10.2008] Komplett har tatt i bruk BankID
- [27.06.2008] Ber myndighetene stanse BankID
- [05.06.2008] Professor får hat-post etter BankID-kritikk
- [22.02.2008] BankID kan ta jobben som offentlig digital ID
- [20.12.2007] EFN mener BankID gir dårlig sikkerhet
- [19.12.2007] Det er ikke BankID som er hacket
- [14.12.2007] Tilbakeviser at nettbankene er usikre
- [29.11.2007] Mener BankID er trygg som e-signatur
- [19.11.2007] Advarer mot dårlig sikkerhet i BankID
- [16.05.2007] Enkelt å lamme norske nettbanker
- [28.12.2006] Brukte spionvare for å tappe nettbank-kontoer
- [08.06.2006] Nettbanker nekter å oppgi sikkerhetssystem
- [26.11.2004] Norsk WLAN-nett står åpne
- [10.09.2004] Danske Skandiabanken bruker annen sikkerhet
- [07.09.2004] Skandiabanken avviser påstått sikkerhetshull
På tross av advarslene opplever han å ikke bli hørt. I et intervju med Computerworld.no forteller han at han derfor at har måtte gått til drastiske skritt.
Sammen med en tre doktorgradsstudenter har han fra februar til november i år gjennomført målrettede angrep mot sikkerhetsløsningen BankID.
- Sikkerheten ved autentiseringen er meget svak. Vi har vist at det er mulig å stjele identiteten. For å få til dette har vi tenkt som de kriminelle, og benyttet oss av kjente angrepsteknikker, sier Professor Kjell Jørgen Hole til Computerworld.
Hole og doktorgradsstudentene har brukt en kombinasjon av phishing og "man-in-the-middle"-teknikker for å gjøre angrepene. De har bare brukt egne bankkontoer, og har på forhånd gitt beskjed om hva de driver med. Responsen er likevel tilnærmet fraværende.
- Låvedøren har stått åpen siden dag én. Siden vi begynte med forskningen, har vi informert Bankenes standardiseringskontor (BSK) og bankene om svakhetene. Likevel blir vi ikke tatt på alvor, og vi har kunnet fortsette gjennom året, sier Hole til Computerworld.no.
Slike angrep er kontroversielle i sikkerhetsbransjen, selv om de ikke gjøres i vinnings hensikt. Hole mener imidlertid at det må gjøres, og når det ikke reageres mener han at kundene må få vite at det lar seg gjøre å hacke BankId.
Les også:
- [06.10.2008] Komplett har tatt i bruk BankID
- [27.06.2008] Ber myndighetene stanse BankID
- [05.06.2008] Professor får hat-post etter BankID-kritikk
- [22.02.2008] BankID kan ta jobben som offentlig digital ID
- [20.12.2007] EFN mener BankID gir dårlig sikkerhet
- [19.12.2007] Det er ikke BankID som er hacket
- [14.12.2007] Tilbakeviser at nettbankene er usikre
- [29.11.2007] Mener BankID er trygg som e-signatur
- [19.11.2007] Advarer mot dårlig sikkerhet i BankID
- [16.05.2007] Enkelt å lamme norske nettbanker
- [28.12.2006] Brukte spionvare for å tappe nettbank-kontoer
- [08.06.2006] Nettbanker nekter å oppgi sikkerhetssystem
- [26.11.2004] Norsk WLAN-nett står åpne
- [10.09.2004] Danske Skandiabanken bruker annen sikkerhet
- [07.09.2004] Skandiabanken avviser påstått sikkerhetshull
