Af Malene Grouleff, IDG Online
Som netbruger har man ingen garanti for, at alting går rigtigt og sikkert for sig, selvom man udelukkende tyer til websteder mærket med velansete forbrugerorganisationers segl.
Det erkender jurist Martin von Haller Grønbæk, der repræsenterer forbrugerbeskyttelsesorganisationen TRUSTe i Europa.
- Det er som et økomærke på indpakkede varer. Det er nemt nok at sætte på, selvom varerne ikke er økologiske. Men hvis brugerne opdager, at der fuskes med det og indklager firmaet til TRUSTe, så tager TRUSTe aktion på det. Hvis firmaet retter op på manglerne, får det måske lov til at beholde mærket, men ellers ryger mærket, siger Martin Von Haller Grønbæk.
Let at kopiere
Problemet er, at et hvilket som helst Internet-firma ulovligt kan kopiere de betryggende mærker og sætte dem på deres site. Og selv om et netsted rent faktisk har fået godkendt sit sikkerhedsniveau af organisationer som TRUSTe og VeriSign, kan brugerne ikke være sikre på, at netstedet følger foreskrifterne. Organisationerne fører nemlig kun stikprøvekontroller. At et netfirma kan slås op i databasen hos for eksempel TRUSTe garanterer altså heller ikke brugeren 100 procent. Derfor er det i sidste ende op til brugerne selv at gennemskue snyd og sjusk med sikkerheden.
Usikkerheden tydeliggøres af et dugfrisk eksempel på en alvorlig sikkerhedsfejl på en ny dansk webtjeneste.
I et døgn lagde brugere intetanende følsomme oplysninger som CPR-nummer, Dankort-nummer, årsindtægt, aktieposter og gæld ud på hackernes tag-selv-bord. Det skete på den splinternye danske finansielle webtjeneste Unibroker, hvor brugerne kan indhente tilbud på lån og forsikringer.
I sit debutdøgn havde Unibroker de to globalt anerkendte sikkerhedssegl VeriSign og TRUSTe placeret på sitet, så brugerne fik et signal om, at de kunne regne med, at tingene foregik på betryggende vis. Unibroker skrev desuden, at sitet fungerede med sikkerhedsløsningen SSL (Secure Socket Layer), som krypterer indtastede oplysninger, når de bevæger ad de risikable veje i cyberspace. Det gjorde det bare ikke.
Fatal fejl
Dermed kunne brugeren hverken stole på Unibrokers informationer om sikkerhedsniveauet eller på netmærkernes signaler om tryghed. I stedet skulle han tjekke, om det lillebitte hængelås-symbol dukkede op nederst i browservinduet. Det er det eneste, der reelt beviser, om der er en sikker forbindelse eller ej, når man sender sine oplysninger afsted til en server.
Den fatale fejl blev opdaget af programmør Rune Lau Aabling. Han arbejder selv med blandt andet sikkerhed hos en konkurrent til Unibroker. I sin fritid har han gjort det til sin hobby at surfe rundt og konstatere sikkerhedshuller. Når han opdager nogle, kontakter han firmaet bag webstedet og gør dem opmærksom på dem. Denne gang valgte Rune Lau Aabling i stedet at gå til pressen.
- Jeg syntes, det var så groft et misbrug af forbrugernes tillid at reklamere med SSL, når det slet ikke fandtes på sitet. Det er de færreste almindelige netbrugere, der ved, at skal kigge efter hængelåsen, vurderer han.
Rune Lau Aabling har kontakter i det danske hackermiljø angiveligt for at forsøge at være på forkant med truslerne fra den kant.
- Unibrokers "brøler" er blevet debatteret på Hacker Underground Chat. En sådan med blandt andet kreditkortoplysninger er ren guf amatørhackeren, der vil slippe for selv at betale på netsteder, siger han.
Det danske sikkerhedsfirma eSec IT Managed Security bekræfter, at Unibrokers ikke tilbød den sikkerhed, de angav på sitet.
- De oplysninger, brugerne indtaster, bliver ikke krypteret. De bliver blot sendt i klar tekst, så hvem som helst, der vil opsnappe dem, kan gøre det. Det er faltalt og meget uhensigtsmæssigt, for der er jo virkelig tale om følsomme oplysninger, siger Ole Schmitto, administrerende direktør i eSec.
Jeg er ikke edb-mand
Sikkerhedsbrøleren på Unibroker blev dog rettet godt to timer efter, Computerworld Online kontaktede firmaet. Unibroker satte en midlertidig SSL-løsning i gang. Samtidig fjernede Unibroker Trust-e og VeriSign seglene fra sin side.
Administrerende direktør i Unibroker, Steffen Hjorth ærgrer sig voldsomt, men er omvendt taknemmelig for, at han blev gjort opmærksom på fejlen 24 timer efter, tjenesten gik i luften.
- Der er en teoretisk mulighed for, at nogen har opfanget data fra vores brugere. Det kan jeg kun laste mig selv for. Men da jeg ikke er edb-mand, har jeg ikke været opmærksom på, at den lille hængelås ikke var på. Mit håb er, at brugerne vil have tillid til os nu, hvor vi har fået sikkerheden på plads, siger Steffen Hjorth,
Relevante links:
TRUSTe
Unibrokers pressemeddelelse om den manglende SSL