På få minutter lykkedes det en svensk hacker at skaffe sig adgang til netbankerne i tre af Sveriges fire største pengeinstitutter. Hackeren begik dog ikke bankrøveri, men demonstrerede blot, at det kan lade sig gøre under overværelse af en journalist fra nyhedsbureauet Reuters.
Fælles for de tre banker, hvis sikkerhed havde en brist, var, at de brugte en Microsoft webserver i kombination med sikkerhedsstandarden Secure Socket Layer (SSL).
Hackeren, der er konsulent indenfor IT-sikkerhed, påviste, at han kunne have lagt instruktioner til at overføre penge til egen konto, hver gang en kunde bruger netbanken til at formidle en betaling.
SSL-fejl
Fejlen ligger i den del af Windows? styresystem, der checker digitale sikkerhedscertifikater.
Certifikaterne bruges til at identificere f.eks bankforbindelser på nettet og til at kryptere følsomme oplysninger gennem en SSL-forbindelse,
Om man bruger Internet Explorer eller en anden browser er ligegyldigt, fejlen skal rettes i selve styresystemet.
Microsoft bekræfter, at hvis man har et gyldigt certifikat, kan man snyde sig til at være en anden (f.eks. en bank), uden at det opdages. Det indebærer, at en, der har et gyldigt sikkerhedscertifikat, kan oprette et websted, der udgiver sig for at være en netbank og få adgang til information, der kun skulle gå til banken.
En ekspert, som Computerworld Online har talt med, siger, at det kan gøres ved få adgang til en DNS server (domain name system) - som kan sammenlignes med en telefonbog med adresser på nettet - og omdirigere et ip-nummer til ens eget domæne og på den måde skabe en slags mellemlag, hvorfra fortrolige informationer kan tappes, og med et gyldigt sikkerhedscertifikat opdager brugeren ikke, at det ikke er den rigtige forbindelse.
Microsoft i Sverige afviser, at demonstrationen var ægte. De tre hackede banker siger til Reuters, at de ikke har opdaget ubudne gæster i deres systemer.
