Tidligere i år fik 8.000 bankkunder deres netbank lukket, fordi de ikke havde sikret deres computere godt nok. Men noget lader til, at bankernes egen it-sikkerhed også kunne være bedre.
Sikkerhedsfirmaet Secunia gjorde for et år siden Dansk Bank opmærksom på, at der var en fejl i bankens ActiveX-modul. En fejl der kunne bruges til at skabe et buffer overflow og køre ondsindet kode.
Det seneste år har Secunia og Danske Bank været i løbende dialog. Banken har oplyst, at en rettelse var under udarbejdelse, men hullet er forblevet åbent.
Nu er der gået et år, og Secunias har valgt at offentliggøre sikkerhedshullet og opfordre andre til at kigge nærmere på det.
Teoretisk
Men banken har ikke ignoreret advarslen.
»Det er rigtig, at der var en teoretisk sårbarhed i vores elektroniske erhvervsløsning. Og vi har faktisk også løst problemet. Det har vi gjort ved at flytte vores kunder over på et andet system. Vi har bare ikke fået alle med over, og derfor figurerer sårbarheden stadig som åben hos Secunia,« forklarer it-direktør Peter Schleidt hos Danske Bank.
Ifølge it-direktøren har banken hverken kendskab til, at sårbarheden er forsøgt udnyttet, eller at nogen kunder har mistet penge. Derfor føler han sig sikker på, at bankens valgte rigtig ved at sluse kunderne over i et nyt system i stedet for at lukke for adgangen med det samme sidste år.
Nu mangler kun en procent af kunderne at kommer med over på det nye system. Så bliver der slukket og lukket for det potentielt usikre system.
Hvordan har du det med, at Secunia nu offentliggør hullet?
»Jeg synes egentlig, at det er fair nok, at man giver en tidshorisont, når man finder en sårbarhed. I det her tilfælde har tidshorisonten også betydet, at vi har haft mulighed for at flytte til et nyt system,« siger Peter Schleidt.
Alvorligt
Det har ikke været muligt at få en uddybende kommentar fra Secunia i dag.
Hos kollegaerne i sikkerhedsfirmaet CSIS giver man sine kollegaer ret i, at der er som udgangspunkt er tale om en alvorlig fejl. Sikkerhedsekspert Dennis Rand hos CSIS undrer sig dog over, at sikkerhedsbristen bliver offentliggjort. Han har tidligere selv været med til at spotte en fejl i en ActiveX-komponent og ved at fejlrettelsen kan tage tid.
»Hvis det var mig, så havde jeg ventet med at offentliggøre det, også selv om der er gået over et år. Især når der er tale om en bankløsning, så er det ekstra uheldigt,« siger Dennis Rand, der dog ikke kender til det aktuelle forløb mellem banken og Secunia.
Den aktuelle fejl skaber ikke direkte hul til netbanken. Men fejlen kunne teoretisk anvendes til at skaffe sig fjernadgang til computeren - og den vej placere ondsindede programmer.
