Stora luckor i banksäkerheten
Ett fel i internets uppbyggnad gör säkra uppkopplingar mycket sårbara. Men bara i teorin, säger vissa.
ÖSTNYLAND För tio år sedan bad Guy Källberg, tidigare Lovisabo och mångårig yrkesman inom datateknik, sin dotter pröva på att läsa av sin banktrafik.
Metoden var en så kallad man in the middle–attack, där en annan dator läser av trafiken innan den når nätbanken.
Dottern var fjorton år, och försöket lyckades. På sin dator kunde hon läsa av lösenord, summor och kontonummer.
I dag är situationen inte mycket bättre. Källberg plockar fram sin reservdator och laddar ner ett program som är fritt tillgängligt.
På tjugo minuter har han installerat programmet, prövat sig fram till hur det fungerar och läst av Andelsbankens nätbank som finns öppen på en annan dator.
Han får tillgång till allt.
I och för sig kunde också han ha använt metoden på någon annan banks nätbank. Eller för att få lösenordet till Facebook.
Fel i internet
Att det lyckas så lätt beror på ett fel som är inskrivet i internets själva struktur, specifikt i den säkra anslutningen som markeras med att adressen börjar med https.
Det finns program som läser av trafiken, trots att den borde vara krypterad.
Guy Källberg påpekar att attacken lyckas på grund av två svagheter i internetstrukturen: en i nätets grundstruktur och en annan då den krypterade trafiken startas upp. Resultatet är att banken tror att kunden, och inte en skurk, finns i andra ändan och den fortsätter därför skicka till exempel hemliga koder via sms till kunden. I sinom tid dyker koden upp på skurkens skärm.
– Då har banken misslyckats med att identifiera kunden. Banken talar inte med kunden längre utan med någon som lurat in sig i trafiken, utanför kundens dator.
Enligt Källberg är det enbart kunden som i det skedet kan avstyra attacken eftersom banken redan misslyckats att göra det. Varken uppdaterade datorer, brandväggar eller antivirusprogram kan hindra att det går så här långt.
– Det finns inget man kan göra åt saken. Det är så här internet är uppbyggt, säger Källberg.
Svårare än det verkar
Den här typens attack är ändå lite svårare än Källbergs experiment låter påskina. Det kräver att maskinen som läser av trafiken är uppkopplad på samma nät, till exempel via ditt modem eller samma trådlösa nät som du surfar på. Det kan vara hemma, på ett hotell, ett företag eller på ett köpcenter.
Mikael Albrecht, datasekretessexpert på datasäkerhetsföretaget F-Secure, är bekant med problematiken. Han håller med om att problemet existerar, men ser banktrojaner och lösenordsfiske som mycket större problem. Det är oftast lättare att installera en banktrojan i offrets dator och dessutom når den större volymer. Bolaget handskas med banktrojaner hela tiden men hör sällan om lyckade "man in the middle–attacker" mot banker.
– Det är alltså mera ett teoretiskt problem. Men visst, scenariot är skrämmande. Det är synd att vår fundamentala infrastruktur har säkerhetsbrister som det här.
Märker lätt
Albrecht säger att man som kund ganska lätt kan märka om man blir utsatt för en attack, förutsatt att man vet var man ska kolla. Invid bokstavskombinationen https i webbläsarens adressfält finns ett lås.
– Låset betyder att det är en säker uppkoppling. Om man klickar på låset så ser man om sajten är certifierad. Alla banker har certifiering, och där ser man om någon läser av trafiken på vägen.
Guy Källberg håller inte med.
– När jag talar om att komma i kontakt med kundens dator så gör jag det oberoende av kryptering eller inte. Jag ser all trafik. Bankens kryptering öppnar sig, men ännu inte den från kunden. Så jag försöker med ett förfalskat bankliknande certifikat. Sväljer kunden det så är det kört, säger Källberg.
Och när man en gång tagit sig in finns det i praktiken inga gränser för vad man kan göra.
Man får reda på lösenord och inloggning, man får reda på kontonummer och summor. Och det går att skriva in en extra betalning eller byta mottagarens kontonummer.
– Sedan finns förstås engångskoderna kvar, men det finns fall där kunden får meddelande att koden är använd, och att man måste använda nästa. Problemet är att trafiken går till skurken. Händer det ett par gånger så har de en rad engångskoder, säger Albrecht.
Nedtonat problem?
Guy Källberg tycker inte att problemet är teoretiskt. Han vet inte hur många euro som faktiskt blivit stulna på det här viset, men han upplever att problemet tonas ner.
– Svaret är alltid att det här händer så sällan. Men jag undrar hur mycket det blir om man räknar ihop, säger Källberg.
Han säger att banken i regel hänvisar till att det är kundens sak att se till att datorn och trafiken är säker. I så fall skyfflar banken över sin egen datasäkerhetsmiss på kunden som i regel saknar både kunskap och resurser att skydda sig.
– Fråga banken varför de inte erbjuder dubbla certifikat, ett för banken och ett för kunden. Då har kunden en chans att lösa problemet. I stället väljer de att utsätta kunderna för elementära datasäkerhetsrisker som varit kända sedan Adams tider.
Dubbelcertifikat betyder i klartext att kunden också måste bevisa att det faktiskt är den som är uppkopplad mot banken. I praktiken skulle till exempel en kortläsare hemma eller ett sms-system fungera.
– Det finns till exempel system där banken skickar sms om man gör en extra stor överföring. Man måste svara på meddelandet för att genomföra transaktionen, säger Mikael Albrecht.
Inte heller det håller Källberg med om.
– Sms verifierar inte nödvändigtvis kunden. Identifikation bör ske med väl dokumenterade och konventionella metoder, till exempel asymmetrisk kryptering.
Mikael Albrecht tycker inte att man direkt tonar ner hotbilderna och säger att bankerna erbjuder förebyggande information om hur man skyddar sig. Samtidigt är det viktigt för bankerna att upprätthålla folks förtroende för nätbankerna. Bankerna sparar stora pengar på att lägga ner kontoren, och därför måste de enligt Albrecht balansera och undvika panik.
– Som offer för ett bedrägeri bär man vanligen själv det juridiska ansvaret. Men min uppfattning är att bankerna vanligen i tysthet ersätter kunden för att inte skapa negativ publicitet. Så beträffande konkreta bedrägerier kan Källbergs beskyllning om nedtonande vara berättigad.