Nyhetsmelding - BankID 2.0 blir testet av Mnemonic

[G]

Mnemonic tester BankID 2.0 uten Java

30.06.2014, 12:32

 

Når BankID 2.0 uten Java lanseres i høst, er det en godt gjennomtestet løsning som tilbys. Selskapet Mnemonic har siden årsskiftet lett etter eventuelle sikkerhetshull i løsningen uten å finne noen av betydning.

 

IKKE NOE AV BETYDNING: ‒ Vi skal rapportere om alle kritiske funn underveis i vår testing av den nye løsningen for BankID uten Java. Vi har ikke funnet noen ennå. Vi har gjort mange funn og analyserer disse, men ingen er foreløpig klassifisert som kritiske, forteller Markus Harboe og Jo Are Rosland i Mnemonic.

 

 

‒ Vi ser på kildekoden til systemet BankID baserer seg på og gjør en form for kodeanalyse for å se om det er noen feil der som har med sikkerheten å gjøre. Når systemet er gjort tilgjengelig for bankene i en testversjon, så gjør vi i tillegg en sikkerhetstest. Det vil si at vi gjør alt vi kan for å få det til ikke å virke, sier sikkerhetsrådgiver Markus Harboe i Mnemonic.

 

Flere og flere nettsteder har applikasjoner som gjør at brukerne selv kan fylle ut skjema og sende informasjon inn til brukerstedet, f.eks. påmeldinger til seminarer eller bestilling av varer. Harboe mener at mange som utvikler slike webapplikasjoner gjør for dårlig test av systemet og åpner for ukritisk bruk av data inn i eget system.

 

‒ Hvis man har et inputfelt i en web, kan noen greie å skrive inn SQL-kode her slik at man uten hindringer kan komme inn i basen og se på brukerdata. Et eksempel på dette kan være et felt hvor man for eksempel skal skrive inn sitt navn. Det er slike feil vi blant annet har testet BankID sin løsning for, sier Harboe.

 

 

Imponert over forarbeidet

Bakgrunnen for at BankID lanseres uten Java er at oppdateringene som kreves i Java-løsningen har skapt mange problemer for BankID-brukerne samtidig som Java er en løsning som ikke støttes på blant annet Ipad. Den nye løsningen er basert på noe som heter Javascript.

 

‒ Jeg er imponert over det forarbeidet som er gjort i BankID. Før jeg satte meg inn i den nye løsningen syntes jeg det virket som en umulig oppgave å lage BankID i Javascript, men jeg har nå skjønt at det er mulig, sier Harboe.

 

 

Har ikke funnet noe av betydning

Mnemonic er nøye med å presisere at de ikke setter et godkjenningsstempel på løsninger.

 

‒ Når vi nå har jobbet med BankID har vi ikke funnet noen problemer av stor betydning for sikkerheten. Det betyr bare atvi ikke har funnet slike problemer. Vi kan aldri garantere for at det en gang i fremtiden kan være noen som finner et hull vi ikke har tenkt på, men slik vi har testet løsningen nå virker den solid, sier han.

 

 

Bruker flere verktøy

Mnemonic jobber både som hackere, hvor de prøver å finne feil og mangler med systemet, og de bruker også verktøy som for eksempel kildekodescannere. Slike verktøy leser seg gjennom kildekoden og leter etter feil eller indikasjoner på feil i kildekoden.

 

‒ Slike verktøy rapporterer om veldig mye. Vi må gå gjennom tusenvis av slike funn og finne ut hva som er reelt. Noen av oss ser på de store linjer. Vi følger protokollen og linjene gjennom kildekoden for å kontrollere at input blir behandlet på en sikker måte.

 

Vi kan også finne feil som ville ført til ustabilitet, sier Harboe.

Når Mnemonic senere gjør sikkerhetstesting på et kjørende program er det andre mekanismer som brukes.

 

‒ Vi bruker en nettleser på samme måte som en vanlig bruker. Vi forsøker å misbruke systemet.

 

Vi setter opp en proxy på vår egen maskin og kjører henvendelsene til systemet via denne. Da kan vi fore serversiden med all mulig input som den kanskje ikke forventer. Målet er hele tiden å få noe til å feile eller virke annerledes enn det er ment å virke, forteller han.

 

 

Vær obs – hold koder og passord for deg selv!

Et system kan være kjempetrygt i seg selv, men det finnes feller som også brukerne selv må være obs på. Harboe understreker hvor viktig det er å ikke gi fra seg koder og passord til andre, og han ber også brukerne passe på at de er på det ekte nettstedet de skal bruke.

 

‒ Det er eksempler på at noen lager falske nettsider hvor man utgir seg for å være et nettsted som for eksempel ber deg taste inn dine BankID-hemmeligheter. Dette kalles fishing. En enkel måte å sjekke dette på er å se at adressen til nettstedet er identisk med den du forventer skal være adressen til stedet du skal bruke.

Banker og andre steder som bruker sikker innlogging har også en indikator i starten av webadressen som angir at du er kommet inn på en sikker side. Ulike nettlesere viser dette på forskjellig måte.

 

‒ Du kan se etter om adresselinjen blir grønn og/eller markeres med en hengelås. Det er en bekreftelse på at nettstedet er verifisert av en sertifikatutsteder på Internett. Ved å trykke på hengelåsen, kan du få opp hva som er verifisert av hvem, forteller Harboe.

 

 

Om Mnemonic

Mnemonic as er Nordens største leverandør innen IT- og informasjonssikkerhet. De leverer produkter og tjenester til de største virksomheter innen privat og offentlig sektor. Mnemonic er i dag 120 fagpersoner og har kontorer i Oslo, Sandnes og Stockholm.

 

 

Om BankID 2.0

BankID 2.0 er en løsning som ikke krever Java på kundens maskin. Løsningen lanseres høsten 2014. BankID gjør alltid eksterne sikkerhetsgjennomganger av nyutvikling for å kvalitetssikre løsningene best mulig.