Professor Kjell Jørgen Hole ved Universitetet i Bergen har sammen med flere studerende gennemført hackerangreb mod to banker, hvor de selv har konti.
Baggrunden for den aparte form for anskuelsesundervisning er, at professoren blev træt af, at ingen lyttede til hans advarsler mod dårlig sikkerhed i de norske pengeinstitutters BankID-løsning.
"Sikkerheden ved autentiseringen (login, red.) er meget svag. Vi har vist, at det er muligt at stjæle identiteten. For at gøre det har vi tænkt som de kriminelle og benyttet os af kendte angrebsteknikker, siger Kjell Jørgen Hole til Computerworld Norge.
Overfører til andre konti
Professoren har længe advaret mod den svage it-sikkerhed i bankerne, og han har gennem de seneste ni måneder sammen med doktorgradsstuderende gennemført angreb mod bankerne og demonstreret svaghederne i BankID-løsningen for en række sikkerhedseksperter.
Med angrebene viser Hole og hans gruppe, hvordan bankinformationer blottes for en angriber, uden at offeret er klar over det, og hvordan der efterfølgende kan overføres penge til andre konti.
"Havelågen har stået åben siden dag ét. Da vi begyndte med vores forskning, informerede vi Bankernes standardiseringskontor (BSK) og bankerne om de her svagheder. Alligevel bliver vi ikke taget alvorligt og har kunnet fortsætte vores angreb hele året," siger professor Hole til Computerworld Norge.
Phishing og mand i midten
Kjell Jørgen Hole føler sig provokeret af, at BankID praler med at være blandt verdens sikreste netbankløsninger samtidig med, at løsningen kan misbruges ved brug af velkendte metoder som phishing og såkaldte 'man in the middle'-angreb.
Ifølge Hole hævder BSK, at svaghederne blev fikset i marts, men det har professoren og hans studerende ikke mærket noget til.
Professoren understreger, at han og de studerende udelukkende har angrebet egne konti. Forskningen kommer ifølge Computerworld Norge til at indgå i tre af de studerendes doktorgradsafhandlinger, som de skal disputere til foråret 2008.
