En svenske hacker demonstrerte overfor nyhetsbyrået Reuters i går hvordan en kjent feil i Windows kan utnyttes på en hittil ukjent og farlig måte.
Hackeren utnyttet en feil i hvordan Windows håndterer sikker SSL-kommunikasjon. Feilen oppstår både når du bruker Internet Explorer og andre nettlesere, fordi SSL-mekanikken ligger i Windows og ikke i den enkelte nettleser.
Les også
Microsoft hevder i sin beskrivelse av problemet at feilen bare kan utnyttes dersom du setter opp en falsk nettbank. Men den svenske hackeren kan ha avslørt at SSL-feilen kan utnyttes til å bryte seg inn nettbanker og overføre penger mellom kontoer.
Her i Norge innrømmer EDB Fellesdata/Teamco, som driver nettbankene til over halvparten av alle norske bankkunder, at de også kan rammes. Fellesdata bekrefter derfor langt på vei den nye muligheten til å utnytte SSL-hullet i Windows, men selskapet vil ikke kommentere dette direkte.
- Vi kjenner til feilen og hvordan den kan utnyttes, sier informasjonssjef Elisabet Landsend i EDB Fellesdata til digi.no. Slik vi kjenner saken ligger feilen i Windows og det er Microsoft som må løse problemet.
- Banksystemer må lages ut i fra en balanse mellom brukervennlighet og sikkerhetsrisiko. I teknologikretser anser man SSL-feilen som en middels høy risiko, og vi følger derfor dette nøye, sier Landsend. Men vi mener at sikkerheten i norsk nettbanker er god.
Foreløpig har Microsoft nektet for at demonstrasjonen i Sverige kan ha vært ekte. Men med Fellesdatas uttalelser kommer selskapet under sterkere press til å gjøre noe med SSL-feilen.
Feilen setter også bankdatasentraler som Fellesdata/Teamco under et press. Det finnes alternativer til SSL-systemet, men et annet system må eventuelt installeres både hos hver enkelt bruker og hos bankdatasentralene.
- Det finnes alternativer til SSL som vi vurderer fortløpende, men det vil være kostbart og ta tid å få alle bankkundene til å bytte ut programvaren sin, sier Landsend til digi.no.
