[tilbakemelding] [Gisle Hannemyrs hjemmeside] [Opp] [forrige] [neste]

EN INTERNETT-SKANDALE?

av Gisle Hannemyr

Samme uke som den løsningen som Bankenes Betalingssentral (BBS) og Telenor har utviklet for online-banktjenester blir lansert, framkommer det at løsningen inneholder et sikkerhetshull du kan kjøre en buss igjennom. «Banker i Internett-skandale» melder Dagens Næringsliv over største delen av førstesiden.

De som først oppdaget problemer var to informatikk-studenter, Geir Rasmussen og Endre Fehn. Uten onde hensikter og uten noe annet verktøy enn en helt standard webbrowser nærmest snubler de over en konstruksjonsfeil som ga utenforstående adgang til betalingsinformasjon som inkluderte navn, adresse, postnummer til betalingsmottaker, kontonummer og eventuell meldinger fra avsender.

Det er viktig å understreke at de to informatikk-studentene som oppdaget feilen ikke bedrev aktivitet som var i nærheten av det som betegnes som datasnoking eller innbrudd i BBS' datasystem. De håndgrep de to foretok var helt normale operasjoner som de aller fleste brukere av Internett foretar fra tid til annen.

Hva var det som skjedde?

Når man bruker en webleser som Netscape eller Microsoft Internet Explorer så får den levert en strøm med data over nettet. Webleseren tolker disse dataene for å bygge opp de sidene som brukerene ser. Det er også mulig å sende data med denne strømmen som vanligvis ikke skal vises fram. Det kan man for eksempel gjøre ved å merke såkalte «skjulte» data med ordet HIDDEN. Men data som er merket på denne måten er imidlertid ikke mer skjult enn at de blir gjort synlig dersom man i sin webleser velger en funksjon som kalles for View Document Source (dersom du bruker vanlig Netscape finner du denne funksjonen i View-menyen). Folk som arbeider med utvikling av programmer for web, som de to Bergens-studentene, gjør flittig bruk av denne funksjonen for blant annet å studere og lære av håndverket til andre web-programmerere.

Slik BBS' betalingssystem var konstruert returnerte den informasjon om siste transaksjon i et slikt «skjult» felt. Fordi web-protokollen i utgangspunktet er tilstandsløs gikk denne informasjonen både til de som rettmessig skulle ha en kvittering, og til alle andre. Og dermed lå den altså synlig og i klartekst for alle som tok en kikk på kildedataene for websiden gjennom bruk av View Document Source-funksjonen.

Internett og betalingsformidling

Aviser og fjernsyn har så langt kalt dette for en «Internett-skandale». Når folk flest hører at personinformasjon fra betalingstransaksjoner ligger åpent tilgjengelig på Internett så er dette enda en bekreftelse på at Internett er usikkert og at: «Betalingsformidling over Internett, det er fali', det …»

Jeg synes det vil være synd dersom dette inntrykket fikk feste seg. Det som er avdekket her, er en alvorlig svakhet hva angår i design, utførelse og kvalitetssikring i prosessen fram mot å realisere én bestemt tjeneste. I detaljene framstår imidlertid BBS' og Telenors tjeneste som solid. Det er tenkt mye og godt omkring kryptering og autentisering. Men på et punkt har man altså foretatt et galt valg av metode og materialer og dermed svikter helheten. På mange måter ligner det man har konstruert på et hvelv der gulv, tak og vegger er av uigjennomstrengelig panserstål – og døren av papp.

Når slikt som dette skjer, og en skal vurdere sikkerheten til Internett-baserte løsninger, er det viktig å kunne skille mellom egenskaper ved teknologien og konsekvenser av inkompetent bruk av den. Den voldsomme økningen i aktivitet omkring Internett som vi har vært vitne til de siste årene har ført til at en lang rekke nye mennesker har blitt rekruttert til feltet og er nå sysselsatt med utvikling av avanserte nettbaserte tjenester uten å ha den nødvendige bakgrunn i form av utdannelse og erfaring.

Når man samtidig opplever en beinhard konkurranse på dette markedet, hvor enkelte aktører nærmest oppfører seg som om det dreier seg om et idrettsstevne, så kan det altså gå galt. Sist uke var det i visse deler av media tilløp til cupfinale-stemning om hvem som skulle være «først» ute med betalingstjenester på nettet. Resultatet er kanskje den «Internett-skandale» som media kan fortelle om i dag.

Jeg synes det er betimlig å minne resten av bransjen om at det vi egentlig steller med er komplisert og kraftig teknologi. Prisen for å bruke den feil kan bli høy. Å vinne idrettstevner er kanskje noe vi bør overlate til de som i første rekke er flinke til å underholde.


Creative Commons License Først publisert i: SN Direkte, 10. oktober 1996
Copyright © 1996 Gisle Hannemyr. Noen rettigheter reservert.
Dette verk gjøres tilgjengelig under en Creative Commons Attribution-NonCommercial-ShareAlike 2.5 License.

[Engelsk innholdsfortegnelse] [Norsk innholdsfortegnelse]
[tilbakemelding] [Gisle Hannemyrs hjemmeside] [Opp] [forrige] [neste]