Det basale problem ved sikkerheden i netbank systemer

Publiceret: 5. august 2004
Opdateret: 1. juli 2010

I maj 2004 stjal en 20-årig forbryder 25.000 kroner fra en kunde hos Nordea. Det skete ved, at forbryderen lokkede Nordeas kunde til at installere et program på sin PC, der gav den 20-årige mulighed for at kopiere nøglefilen og opsnappe adgangskoden. Forbryderen udgav sig derefter, elektronisk, for at være den pågældende kunde og overførte pengene til sin egen konto -- og kunne på den måde let spores.

På trods af hvad du læser i medierne, og i breve fra din bank, kan dette problem ikke løses med personlige firewalls, anti-virus software eller spyware scannere. Det viser sig faktisk, at Nordeakunden havde både firewall og anti-virus program installeret.

Det er korrekt at et system baseret på engangskoder ikke på samme måde ville kunne misbruges af en forbryder. Et engangssystem kan misbruges på en helt anden og, fra kundens synspunkt, ondere måde.

Sikkerhedsfolk benytter et begreb der hedder Trusted Computing Base (TCB), og det dækker over de elementer af et større system som man skal kunne stole på for at man stadigt kan regne med at det opfører sig som forventet. Hvis man ikke kan stole på hvad ens operativsystem eller internet browser fortæller, har man tabt på forhånd.

Problemet i ovenstående tilfælde var, at forbryderen havde held til at installere et program på kundens PC. I det øjeblik det sker, har brugeren ikke længere kontrollen over PC'en. TCB'en er blevet kompromitteret. Alle de funktioner som brugeren før kunne stole på, kan nu være under påvirkning af forbryderens program. Når angreb på denne måde rettes direkte mod et fåtal af kunder kan anti-virus software ikke genkende programmet som værende ondskabsfuldt.

Selv med en engangskode er kunden fortabt: Intet forhindrer en forbryder i at udvikle et program der, når en bankkunde indtaster sin engangskode, laver om på den transaktion der sendes til banken. Kunden vil ikke kunne gøre noget, for hans digitale engangskode blev brugt til at sende transaktionen. Hvis politiet undersøger hvem der havde den pågældende IP adresse vil det vise sig, at det var bankkunden. Alt bevis vil pege på, at kunden bevidst lavede en kontooverførsel.

At tankeløst installere programmer på sin PC (som man benytter til netbank adgang), svarer til at aflevere sit Dankort og PIN-kode til en tilfældig person på gaden. Det er meget problematisk at politikere og journalister ikke forstår dette meget vigtige punkt. Nogle af os så meget gerne, at de to ting havde nogenlunde samme juridiske og økonomiske konsekvens for bankkunden.

Løsningen er, at man ikke installerer tilfældige programmer på følsomme PC'ere.

(Opdatering: Dette problem gælder også for TDCs digitale signatur og NemID fra PBS/DanID.)