Kokonaisuudessaan sammon verkkopankkiratkaisu on ad hoc-meiningillä toteutettu amatöörimäinen sotku, joka on sekä tietoturvastrategian että toteutuksen kannalta täydellisen luokaton, eikä mitenkään verrattavissa muihin suomalaisiin verkkopankkeihin.
Toisin kuin moni muu taho, Sammon verkkopankki toimii käyttäjän koneelle ladattavalla appletilla ( http://kks.cabal.fi/SampoApplet ). Ajatus appletin käytössä on se, että man in the middle-tyyppiset hyökkäykset voidaan eliminoida (esim.salasanoja ja tunnuksia kalasteleva feikki verkkopankkisivusto ). Ajatuksen taustalla on kuitenkin olettamus, että käyttäjä tajuaa olla hyväksymättä itse applettiin vaikuttavia hyökkäyksiä. Joko verkon yli tai muuta kautta käyttäjän koneelle päätyvä troijalainen voi korkata appletin ja ottaa näin haltuunsa koko käyttäjän pankkitilin.
Hyvällä toteutuksella tämä voisi olla vaikeaa, mutta Sammon ratkaisu ... huh-huh. Mikä tahansa sivusto voi käyttää Danske Bankenin allekirjoittamia appletteja, joista löytyy kenen tahansa käytettävissä olevia rajapintoja, joista kuka vain pääsee käyttämään mitä vain. Koodi on niin avutonta, että saattaa jopa olla mahdollista tehdä edellä mainittu man in the middle-hyökkäys ihan pankin oman appletin avulla.
Appletissa on myös paljon muuta todella epäilyttävää. Se selvittää useita tietoja käyttäjän koneesta ja lähettää ne Sammolle:
- Windows-versio ja tuotekoodi (ei tuoteavain)
- työaseman bios-versio/tunniste
- vapaan levytilan määrä
- akun tila (jos käytössä/olemassa)
- näppäimistön tyyppi
- äänikortin tila/merkki
- usb-laitteet/onko kytketty/usb-laitteiden tila
- työaseman merkki ja malli
- näytönohjaimen tyyppi
- prosessorityyppi
- onko e-Safekey-sovellus käytössä (Danske Bankin tietoturvaratkaisu joka asennetaan käyttäjän kotihakemistoon)
- pääkäyttäjän salasanan tila (ei arvoa)
- työaseman nimi, ip-osoite
- kysytäänkö salasana kun työasema käynnistetään
- toimialueen nimi/työryhmän nimi
Verkkopankissa oleva JavaScript lähettää myös jokaisella sivunlatauksella TNS Gallupin palvelimelle osoitteeseen statistik-gallup dot net seuraavaa dataa:
- Päivämäärä ja kellonaika
- Käyttäjän IP-osoite ja hostname
- Ladatun sivun otsikko, esimerkiksi "Uusi maksu" tai "Lainahakemus"
- Selaimen nimi ja versio
- Käyttäjän monitorin resoluutio ja värimäärä
- Istunnon tunniste (session id) ja muita vastaavia tietoja
Summa summarum: Sampo siirtää turvallisuusriskit asiakaspäähän, ja kokematon käyttäjä on varsin helppo saada lankaan ja korkata. Verkkopankkiratkaisussa ei ole yksittäisiä tietoturva-aukkoja, vaan sen koko toteutus on hiukset pystyyn nostattavan kammottava ja amatöörimäinen ja varsinainen aarreaitta tihulaiselle. Pankkisalaisuuden säilyttämisen kannalta käyttäjän koneen tietojen lähettäminen Sammolle ja TNS Gallupille ... laitonta?
Sammon tietoturvaratkaisusta
9
763
Vastaukset
- Appletti Appelsiini
" Sampo siirtää turvallisuusriskit asiakaspäähän, ja......"
Ymmärrän hyvin vähän näistä asioista. Kuitenkin kommenteista on tullut sellainen käsitys, että Danske Bankenin (Sammon) verkkopankissa myös itse tiedonkäsittely painottuu enemmän käyttäjän omalle koneelle. Tämän lisäksi ko nettipankki tuntuu vaativan käyttäjältään aivan tiettyä käyttöjärjestelmää, selainta ja muita ohjelmia.
Moni hiemankin poikkeavalla koneella yrittänyt on huomannut nettipankkiyhteyden takerrelleen tai jumittuneen kokonaan.
Toivottavasti suomalaisia nettipankkeja voi tulevaisuudessakin käyttää monenlaisilla kotitietokoneilla.- puhetta,
näillä palstoilla liikkuu. Vaikuttaa välillä vähän hysterialta. Kyllä laskun maksu onnistui oikein hyvin Linuxilla, ei mitään ongelmia.
- Applettí Appelsin
" Sampo siirtää turvallisuusriskit asiakaspäähän, ja ... ... ... "
Ymmärrän hyvin vähän näistä asioista. Kuitenkin kommenteista on tullut sellainen käsitys, että Danske Bankenin (Sammon) verkkopankissa myös itse tiedonkäsittely painottuu enemmän käyttäjän omalle koneelle. Tämän lisäksi ko nettipankki tuntuu vaativan käyttäjältään aivan tiettyä käyttöjärjestelmää, selainta ja muita ohjelmia.
Moni hiemankin poikkeavalla koneella yrittänyt on huomannut nettipankkiyhteyden takerrelleen tai jumittuneen kokonaan.
Toivottavasti suomalaisia nettipankkeja voi myös tulevaisuudessa käyttää monenlaisilla kotitietokoneilla. - artikkeli
jos muut eivät tiedottaisi, itse en tietäisi.
- artikkeli
Täältäkin voi lukea asiaa, jos tajuaa vaan noita tekniikan sanoja http://blogit.tietokone.fi/tietojakoneesta/?p=345
- Mietin vaan
Jos verkkopankin käyttö haluttaisiin rajoittaa turv.syistä siten, että VAAN sillä yhdellä ja samalla kotikoneella pääsee OMAAN verkkopankkiin, niin silloin ymmärtäisin, miksi Sammon yhteysohjelma yksilöi käyttäjän tietokoneen mm. bios-version ymv. kautta. Silloinhan rikollisen olisi tosi vaikeaa päästä eri koneella (eri bios, äänikortti ym) toisen tilille.
Mutta ei kait tästäkään ole kyse. Silloinhan osittain vesittyisi koko internetin idea: mpankkiin mistä tahansa, milloin tahansa...- kotikoneelta
Jäljillä olet varmaankin, turvallisinta hoitaa verkkopankkiasiat siltä omalta kotikoneelta.
- Käyttöoikeus
Ainakin Business Onlinen appletti (luultavasti yritys- ja yksityispuoli käyttävät samoja appletteja) tuntuu luovuttavan tietokoneesi kovalevyn luku- ja kirjoitusoikeuden Danske Bankille. Nimittäin kun pankista haetaan tai sinne lähetetään eräsiirtoaineistoa ne vain tulla tupsahtavat tietokoneesi kovalevylle, oletuksena hakemistoon C:\Aineiston noudot pankista. Tuo säädetään Business Onlinen asetuksissa ja selain ei missään vaiheessa kysele että ladataanko jotain tiedostoja. Myös tiedostojen lähetys pankkiin menee samalla logiikalla joskin päinvastaisessa järjestyksessä.
Minusta on jo riittävän kammottava ajatus se, että Danske pääsee minne vain minne minulla on luku/kirjoitusoikeus, mutta suostun vielä uskomaan ettei heillä ole varsinaisesti aikomusta murtautua koneelleni.
Mutta kuka takaa että tuo Appletti on riittävän hyvin koodattu ettei kuka tahansa hakkeri joka ajaa joltakin haittasivulta samaa Sammon allekirjoittamaa applettia lue vaikka koko My Documents kansiotasi ? Tai sitten vastaavasti asenna appletin kautta koneellesi jotain spammigeneraattoria ?
Tuon kotihakemistoon tulevan e-safe kansion osaan toki poistaa itsekin, mutta millä hävitän tuon Appletin koneesta joka yhteydenoton jälkeen ? Menee vielä ainakin pari viikkoa ennenkuin Nordeasta saadaan kortit tms ja lisäksi Sampoon on vielä tulossa joitakin suorituksia, eli lopullisen ratkaisun voin tehdä vasta sitten...- javaa...
välttämättä pitää selaimen asetuksista päällä ollenkaan silloin, kun ei kirjaudu verkkopankkiin?
Itse yksityiskäytössä en pidä javaa päällä muuta kuin silloin kun kirjaudun pankkiin ja poistuttuani laitan sen heti pois päältä.
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Putin hoiti Suomen natoon ja myös Ruotsin
Iso kiitos Vladimir Putinille. Hänen ansiosta pääsemme nyt Natoon. Putin halusi Naton lähelle ja nyt sai. Voimme tästä kiittää vain Putinia.6507975Niinistö teki hetkessä Suomesta Venäjän ydinaseiden maalitaulun
Kaiken lisäksi mies vielä lällätteli Putinille eilisessä tiedotustilaisuudessa ja käski katsomaan itseään peiliin. Kyllä vähän asiallisempaa käytöstä4662259Voi Stefu ja sun kiivas luonteesi
Sielä lentelee ullakkohuoneiston ikkunasta daamin vaatteet ja matkalaukut pitkin pihaa. Toisaalta,en ihmettele yhtään että tämä suhde päättyi näin,kyl2322178- 1461746
Ohhoh! Martina Aitolehti ja seurapiirihurmuri-Jesper ekassa yhteiskuvassa - Sutinaa Mallorcalla!
Martina Aitolehti ja seurapiirijulkkis-Jesper nauttivat toisistaan varsin vauhdikkaissa merkeissä Mallorcalla. Aitolehti ei ole esitellyt rakastaan vi251243Veikkaus: Miten The Rasmus pärjää Euroviisuissa?
Euroviisuhuuma on ylimmillään, kun Suomi ja The Rasmus taistelee biisillään Jezebel. Bändi on tikissä, kunhan Lauri Ylösen ääni kantaa. Mitä veikka511233Stefanilta tuli taas karu totuus Sofiasta
Marokkolainen h*o*ra! Voi tsiisus kun mulla on hauskaa! Lumput lentää ikkunasta kun Stefu raivoaa h*uralleen🤣🤣🤣 Nyt ne popparit tulille, tästä tule1081135Ootko onnellinen kun ei tarvitse
nähdä tätä tyhmää naamaa enää koskaan? Multa se särkee sydämen, mutta minkäs teen. Vaikka olisi kuinka sinnikäs eikä hellittäisi, se ei aina auta.65842Steppuli veressä
Seiskan lööpissä Steppulilla naama ja nyrkit veressä. Ei tainnut ihan kamojen pihalle paiskominen riittää. Onkohan pistänyt kämpän tuusannuuskaks.58790Oletko nähnyt eroottiset kohuleffat? Fifty Shades Of Grey -trilogia tv:stä
Fifty Shades -trilogia starttaa, kun nuori opiskelijanainen Anastasia tapaa rikkaan liikemiehen. Seksisuhdehan siitä starttaa, höystettynä sadistisill7744