XSS-haavoittuvuus

Ei pääse tutkimaan pankkitilin tapahtumia, sehän on kiinni pankin järjestelmistä.

Jos pääsee, niin pankin järjestelmissä on paha aukko, eli oikea osoite kritiikille olisi pankki.

Jos maksunvälittäjän systeemissä on aukko, niin ainut tietovuoto riski siinä olisi vain se maksutapahtuma, mitä olet juuri nyt tekemässä.

XSS ongelmat voi kokonaan välttää kun tietää yhden asian:

Käytä aina eri selainta ja mielellään eri konetta pankissa käyntiin. Etkä tee sillä selaimella / koneella mitään muuta, mitään muita välilehtiä ei pidetä auki kun ollaan pankissa ( paitsi nyt tietysti se pakollinen, josta tuli johdetuksi pankkiin) , tms. Siinä eri selaimessa ei pidetä mitään lisäosia asennettuna, koska erilaiset "ad blocker", "no script", virustorjjunta, jne. "avustaja" lisäosat itsessään ovat iso tietoturva / vakoilu riski.

Jos tämän tekee, niin vaikka olisi miten iso XSS reikä sivulla, siitä ei ole mitään hyötyä kenellekkään.

XSS tarkoittaa siis sitä, että olet vaikka pankissa yhdellä välilehdellä ja sinulla on sinne "sessio" auki.

Sitten olet toidella välilehdellä jollakin höpöhöpö sivulla ( tämä toinen sivu on se, missä hyökkääjä sijaitsee ). Tämä toinen höpö sivu, jonka ei pitäisi liittyä pankkiin mitenkään, voi sisältää javascriptiä, mikä lähettää pankin sivulle jonkun pyynnön. Nyt jos pankin sivulla on aukko, se toteuttaa tämän pyynnön, vaikka se ei tullut sinulta, vaan oli toisessa höpö höpö sivu ikkunassa.

Suomessa ainakin OP kyselee tunnuslukuja kesken vierailunkin aina vahvistukseksi, niin rahan menetys tämmöisen aukon takia olisi vähän vaikeampaa, toki kaikki on mahdollisa. Jotakin tilitietoja ehkä voisi mennä. Mutta siis, aukon pitäisi olla pankin järjestelmässä, eli maksunvälittäjän sivulla oleva aukko ei riitä, ja miten luotettava tuo "analyysi" ko. aukosta edes on. On kuitenkin hyvin tunnettu tietoturvaongelma kyseessä, mikä on oikeilla käytännöillä hyvin helposti vältettävissä.

Enempi ihmetyttää, että luotat tuollaisiin "No Script" lisäosiin, mistä et tiedä kuka ne on tehnyt ja kuka niitä ylläpitää. Pankissa kun käyt, jos turvallisuuden haluat maksimoida, sinulla ei pitäisi olla mitään lisäosia päällä ja mielellään tosiaan oma selain pankissa käyntiä varten, vielä parempi, oma kone koko hommaan. Silloin haitalliset sivut taustalla, eivät vaikuta pankkiasiointiin, ja koneen riski saastua laskee, kun sitä käytetään vain rajatulla alueella.

Selain lisäosat on aika iso tietoturvariski, vaikka toki erityisen törkyisillä sivuilla asioitaessa jokin No Script voi olla jollakin tavalla hyödyllinen.

Pankin sivulla sitä ei kuitenkaan tarvita, koska asioit pankin järjestelmässä ja siis luotat heihin joka tapauksessa jo. Silloin tämmöinen lisäosa selaimessa on itse enempi riski kuin suoja.

Tämmöinen tietoturvasaarna tällä kertaa. ;)

Tietoturva asioissa näköjään siis pätee vanha periaate; Pessimisti ei pety. Kaikista varminta kun ei luota kehenkään.

><script>alert("123")</script>

Jos skriptaus-ohjelmaan on tehty gludge, jolla se on saatu ilmoittamaan ongelmasta - ongelma on luultavasti todellinen. Ainoa tapa välttyä hyökkäykseltä on käyttää selainta, jolta ei ole tehty ainoatakaan sivuhakua aikaisemmin. Tämän lisäksi joutuu kyllä luottamaan pankin ja palveluntarjoajan järjestelmiin - että ne eivät ole saastuneita. Käytännössähän tuo tarkoittaa, että jos olet vieraillut sivulla, joka on asentanut yhteiskäyttöskriptin tarkkailemaan tuota väliä, ei mikään välillä välitetty tieto pysy salassa.
Itse jättäisin em. rahasuoritteen tekemisen suosiolla verkkopankin puolelle eli jos ainoa vaihto maksaa on tuollainen pili-pali palvelu - ei ehkä syytä ole käyttää em. palvelua edes pakon edessä. Mutinaa siitä voi tulla, mutta yleensä rahan ahneus vie voiton ja ongelma kuitenkin saadaan järjestettyä.

Vahinko, ettei tässä anneta mitään yksityiskohtia mahdolliseen XSS -haavoittuvuuteen.

Ei ole myöskään todisteita siitä, onko edes kyse XSS -haavoittuvuudesta, vai tulkitseeko tuo NoScript -laajennus sinänsä normaalin toiminnan epäillyksi haavoittuvuudeksi.

Periaatteessahan nuo verkkomaksut toimivat näin (huom: valtion tapauksessa asia on mutkallisempi, koska mikään valtion palvelu ei itse suoraan ohjaa verkkopankkiin maksamaan, vaan valtio käyttää omistamaansa suomi.fi -palvelua "välimiehenä" eli valtion muu palvelu ohjaa suomi.fi joka edelleenohjaa pankin sivulle):

1. Kauppiaan järjestelmä on valmis vastaanottamaan verkkopankkimaksun

2. Kauppiaan järjestelmä ohjaa pankin sivulle räätälöidyllä linkillä, joka sisältää tiedot maksettavasta summasta ja muistakin maksun yksityiskohdista, sekä lisäksi tarkistesumman, jonka laskemiseen on käytetty sekä maksutapahtuman tietoja että kauppiaan ja pankin "jaettua salaisuutta", jota asiakas ei tiedä.

Koska tuota "jaettua salaisuutta" ei milloinkaan siirretä tietoliikenneyhteyttä pitkin (ei edes salattuna), ei asiakas voi vakoilemalla saada siitä kopiota itselleen.

3. Pankin järjestelmä kysyy asiakastunnuksen, kiinteän salasanan ja vaihtuvan salasanan avainlukukortilta, ja nykyaikaan vielä tekstiviestillä lähetetyn vahvistuskoodin

4. Jos kaikki kohdan 3 tiedot olivat oikein, pankki maksaa asiakkaansa tililtä ko. maksusuorituksen, ja genereroi vastausdatapaketin, jonka mukana tarkistussumma, jonka laskennassa käytettiintapahtuman tietoja sekä pankin ja kauppiaan välistä jaettua salaisuutta.

5. Asiakkaan selain saa tuon vastausdatapaketin, ja välittää sen edelleen myyjän tietojärjestelmään

6. myyjän tietojärjestelmä tarkistaa vastausdatapaketin sisällöstä, että oikea maksun suuruus, oikealle tilille ja oikealla viitenumerolla on maksettu, ja laskee myös tuon vastausdatapaketin tarkisteen JA varmistaa, että se on sama kuin asiakkaan selaimelta saatu. JOS se täsmää, myyjä voi luottaa siihen, että maksu on todella maksettu.

6b. JOS tarkiste ei täsmää, kyse on joko hyvin harvinaisesta tietoliikennevirheestä ( 1/65536 -OSA KAIKISTA tietoliikennevirheistä johtaa tähän tilanteeseen) tai siitä, että kyseessä on väärinkäyttöyritys, jossa joku yrittää vain teeskennellä maksaneensa.

Koska tuossa tietoa siirrellään edestakaisin pankin, myyjän tietojärjestelmän ja asiakkaan selaimen välillä, on hyvinkin mahdollista, että NoScript virheellisesti tunnistaa tämän sinänsä aivan asiallisen tiedonsiirron mukamas haavoittuvuudeksi.