Sammon tietoturvaratkaisusta

Palisko

Kokonaisuudessaan sammon verkkopankkiratkaisu on ad hoc-meiningillä toteutettu amatöörimäinen sotku, joka on sekä tietoturvastrategian että toteutuksen kannalta täydellisen luokaton, eikä mitenkään verrattavissa muihin suomalaisiin verkkopankkeihin.

Toisin kuin moni muu taho, Sammon verkkopankki toimii käyttäjän koneelle ladattavalla appletilla ( http://kks.cabal.fi/SampoApplet ). Ajatus appletin käytössä on se, että man in the middle-tyyppiset hyökkäykset voidaan eliminoida (esim.salasanoja ja tunnuksia kalasteleva feikki verkkopankkisivusto ). Ajatuksen taustalla on kuitenkin olettamus, että käyttäjä tajuaa olla hyväksymättä itse applettiin vaikuttavia hyökkäyksiä. Joko verkon yli tai muuta kautta käyttäjän koneelle päätyvä troijalainen voi korkata appletin ja ottaa näin haltuunsa koko käyttäjän pankkitilin.

Hyvällä toteutuksella tämä voisi olla vaikeaa, mutta Sammon ratkaisu ... huh-huh. Mikä tahansa sivusto voi käyttää Danske Bankenin allekirjoittamia appletteja, joista löytyy kenen tahansa käytettävissä olevia rajapintoja, joista kuka vain pääsee käyttämään mitä vain. Koodi on niin avutonta, että saattaa jopa olla mahdollista tehdä edellä mainittu man in the middle-hyökkäys ihan pankin oman appletin avulla.

Appletissa on myös paljon muuta todella epäilyttävää. Se selvittää useita tietoja käyttäjän koneesta ja lähettää ne Sammolle:
- Windows-versio ja tuotekoodi (ei tuoteavain)
- työaseman bios-versio/tunniste
- vapaan levytilan määrä
- akun tila (jos käytössä/olemassa)
- näppäimistön tyyppi
- äänikortin tila/merkki
- usb-laitteet/onko kytketty/usb-laitteiden tila
- työaseman merkki ja malli
- näytönohjaimen tyyppi
- prosessorityyppi
- onko e-Safekey-sovellus käytössä (Danske Bankin tietoturvaratkaisu joka asennetaan käyttäjän kotihakemistoon)
- pääkäyttäjän salasanan tila (ei arvoa)
- työaseman nimi, ip-osoite
- kysytäänkö salasana kun työasema käynnistetään
- toimialueen nimi/työryhmän nimi

Verkkopankissa oleva JavaScript lähettää myös jokaisella sivunlatauksella TNS Gallupin palvelimelle osoitteeseen statistik-gallup dot net seuraavaa dataa:

- Päivämäärä ja kellonaika
- Käyttäjän IP-osoite ja hostname
- Ladatun sivun otsikko, esimerkiksi "Uusi maksu" tai "Lainahakemus"
- Selaimen nimi ja versio
- Käyttäjän monitorin resoluutio ja värimäärä
- Istunnon tunniste (session id) ja muita vastaavia tietoja

Summa summarum: Sampo siirtää turvallisuusriskit asiakaspäähän, ja kokematon käyttäjä on varsin helppo saada lankaan ja korkata. Verkkopankkiratkaisussa ei ole yksittäisiä tietoturva-aukkoja, vaan sen koko toteutus on hiukset pystyyn nostattavan kammottava ja amatöörimäinen ja varsinainen aarreaitta tihulaiselle. Pankkisalaisuuden säilyttämisen kannalta käyttäjän koneen tietojen lähettäminen Sammolle ja TNS Gallupille ... laitonta?

9

763

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • Appletti Appelsiini

      " Sampo siirtää turvallisuusriskit asiakaspäähän, ja......"

      Ymmärrän hyvin vähän näistä asioista. Kuitenkin kommenteista on tullut sellainen käsitys, että Danske Bankenin (Sammon) verkkopankissa myös itse tiedonkäsittely painottuu enemmän käyttäjän omalle koneelle. Tämän lisäksi ko nettipankki tuntuu vaativan käyttäjältään aivan tiettyä käyttöjärjestelmää, selainta ja muita ohjelmia.

      Moni hiemankin poikkeavalla koneella yrittänyt on huomannut nettipankkiyhteyden takerrelleen tai jumittuneen kokonaan.

      Toivottavasti suomalaisia nettipankkeja voi tulevaisuudessakin käyttää monenlaisilla kotitietokoneilla.

      • puhetta,

        näillä palstoilla liikkuu. Vaikuttaa välillä vähän hysterialta. Kyllä laskun maksu onnistui oikein hyvin Linuxilla, ei mitään ongelmia.


    • Applettí Appelsin

      " Sampo siirtää turvallisuusriskit asiakaspäähän, ja ... ... ... "

      Ymmärrän hyvin vähän näistä asioista. Kuitenkin kommenteista on tullut sellainen käsitys, että Danske Bankenin (Sammon) verkkopankissa myös itse tiedonkäsittely painottuu enemmän käyttäjän omalle koneelle. Tämän lisäksi ko nettipankki tuntuu vaativan käyttäjältään aivan tiettyä käyttöjärjestelmää, selainta ja muita ohjelmia.

      Moni hiemankin poikkeavalla koneella yrittänyt on huomannut nettipankkiyhteyden takerrelleen tai jumittuneen kokonaan.

      Toivottavasti suomalaisia nettipankkeja voi myös tulevaisuudessa käyttää monenlaisilla kotitietokoneilla.

    • artikkeli

      jos muut eivät tiedottaisi, itse en tietäisi.

    • Mietin vaan

      Jos verkkopankin käyttö haluttaisiin rajoittaa turv.syistä siten, että VAAN sillä yhdellä ja samalla kotikoneella pääsee OMAAN verkkopankkiin, niin silloin ymmärtäisin, miksi Sammon yhteysohjelma yksilöi käyttäjän tietokoneen mm. bios-version ymv. kautta. Silloinhan rikollisen olisi tosi vaikeaa päästä eri koneella (eri bios, äänikortti ym) toisen tilille.
      Mutta ei kait tästäkään ole kyse. Silloinhan osittain vesittyisi koko internetin idea: mpankkiin mistä tahansa, milloin tahansa...

      • kotikoneelta

        Jäljillä olet varmaankin, turvallisinta hoitaa verkkopankkiasiat siltä omalta kotikoneelta.


    • Käyttöoikeus

      Ainakin Business Onlinen appletti (luultavasti yritys- ja yksityispuoli käyttävät samoja appletteja) tuntuu luovuttavan tietokoneesi kovalevyn luku- ja kirjoitusoikeuden Danske Bankille. Nimittäin kun pankista haetaan tai sinne lähetetään eräsiirtoaineistoa ne vain tulla tupsahtavat tietokoneesi kovalevylle, oletuksena hakemistoon C:\Aineiston noudot pankista. Tuo säädetään Business Onlinen asetuksissa ja selain ei missään vaiheessa kysele että ladataanko jotain tiedostoja. Myös tiedostojen lähetys pankkiin menee samalla logiikalla joskin päinvastaisessa järjestyksessä.

      Minusta on jo riittävän kammottava ajatus se, että Danske pääsee minne vain minne minulla on luku/kirjoitusoikeus, mutta suostun vielä uskomaan ettei heillä ole varsinaisesti aikomusta murtautua koneelleni.

      Mutta kuka takaa että tuo Appletti on riittävän hyvin koodattu ettei kuka tahansa hakkeri joka ajaa joltakin haittasivulta samaa Sammon allekirjoittamaa applettia lue vaikka koko My Documents kansiotasi ? Tai sitten vastaavasti asenna appletin kautta koneellesi jotain spammigeneraattoria ?

      Tuon kotihakemistoon tulevan e-safe kansion osaan toki poistaa itsekin, mutta millä hävitän tuon Appletin koneesta joka yhteydenoton jälkeen ? Menee vielä ainakin pari viikkoa ennenkuin Nordeasta saadaan kortit tms ja lisäksi Sampoon on vielä tulossa joitakin suorituksia, eli lopullisen ratkaisun voin tehdä vasta sitten...

      • javaa...

        välttämättä pitää selaimen asetuksista päällä ollenkaan silloin, kun ei kirjaudu verkkopankkiin?
        Itse yksityiskäytössä en pidä javaa päällä muuta kuin silloin kun kirjaudun pankkiin ja poistuttuani laitan sen heti pois päältä.


    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Luetuimmat keskustelut

    1. Putin hoiti Suomen natoon ja myös Ruotsin

      Iso kiitos Vladimir Putinille. Hänen ansiosta pääsemme nyt Natoon. Putin halusi Naton lähelle ja nyt sai. Voimme tästä kiittää vain Putinia.
      Maailman menoa
      650
      7975
    2. Niinistö teki hetkessä Suomesta Venäjän ydinaseiden maalitaulun

      Kaiken lisäksi mies vielä lällätteli Putinille eilisessä tiedotustilaisuudessa ja käski katsomaan itseään peiliin. Kyllä vähän asiallisempaa käytöstä
      Maailman menoa
      466
      2259
    3. Voi Stefu ja sun kiivas luonteesi

      Sielä lentelee ullakkohuoneiston ikkunasta daamin vaatteet ja matkalaukut pitkin pihaa. Toisaalta,en ihmettele yhtään että tämä suhde päättyi näin,kyl
      Kotimaiset julkkisjuorut
      232
      2178
    4. Poliisi otti Stefun kiinni!

      Seiska tietää kertoa.
      Kotimaiset julkkisjuorut
      146
      1746
    5. Ohhoh! Martina Aitolehti ja seurapiirihurmuri-Jesper ekassa yhteiskuvassa - Sutinaa Mallorcalla!

      Martina Aitolehti ja seurapiirijulkkis-Jesper nauttivat toisistaan varsin vauhdikkaissa merkeissä Mallorcalla. Aitolehti ei ole esitellyt rakastaan vi
      Kotimaiset julkkisjuorut
      25
      1243
    6. Veikkaus: Miten The Rasmus pärjää Euroviisuissa?

      Euroviisuhuuma on ylimmillään, kun Suomi ja The Rasmus taistelee biisillään Jezebel. Bändi on tikissä, kunhan Lauri Ylösen ääni kantaa. Mitä veikka
      Viihde ja kulttuuri
      51
      1233
    7. Stefanilta tuli taas karu totuus Sofiasta

      Marokkolainen h*o*ra! Voi tsiisus kun mulla on hauskaa! Lumput lentää ikkunasta kun Stefu raivoaa h*uralleen🤣🤣🤣 Nyt ne popparit tulille, tästä tule
      Kotimaiset julkkisjuorut
      108
      1135
    8. Ootko onnellinen kun ei tarvitse

      nähdä tätä tyhmää naamaa enää koskaan? Multa se särkee sydämen, mutta minkäs teen. Vaikka olisi kuinka sinnikäs eikä hellittäisi, se ei aina auta.
      Ikävä
      65
      842
    9. Steppuli veressä

      Seiskan lööpissä Steppulilla naama ja nyrkit veressä. Ei tainnut ihan kamojen pihalle paiskominen riittää. Onkohan pistänyt kämpän tuusannuuskaks.
      Kotimaiset julkkisjuorut
      58
      790
    10. Oletko nähnyt eroottiset kohuleffat? Fifty Shades Of Grey -trilogia tv:stä

      Fifty Shades -trilogia starttaa, kun nuori opiskelijanainen Anastasia tapaa rikkaan liikemiehen. Seksisuhdehan siitä starttaa, höystettynä sadistisill
      Suhteet
      7
      744
    Aihe