*

Pasi J. Matilainen "Älä anna periksi pahalle, vaan käy yhä rohkeammin sitä vastaan." --Vergilius

S-Pankin tietoturva-aukko käytännössä

Eilen nousi kohu S-Pankin suojatuissa pankki-istunnoissaan käyttämän Google-analytiikan aiheuttamasta tietovuodosta tai tietoturva-aukosta. Mutta jos oletetaan, että Google käyttää saamiaan tilinumeroja ja muita tietoja S-Pankin kanssa tekemänsä sopimuksen mukaisesti, niin mitä haittaa asiasta voi olla? Valitettavasti paljonkin.

Jos jollakin taholla (esim. virus, hakkeri, katkera ex-puoliso, jne.) on pääsy tietokoneellesi, se/hän voi varsin helposti ohjata esimerkiksi verkkopankkiliikenteesi johonkin ihan muuhun osoitteeseen ja yrittää toteuttaa ns. mies välissä -hyökkäyksen.

Tämä kuitenkin paljastuu nykyisin tarkkaavaiselle käyttäjälle helposti, koska kaikkien pankkien ja monien muidenkin tietoturvastaan huolehtivien sivustojen vierailijoille näkyy selaimen osoitepalkissa vihreä, yrityksen nimellä varustettu ilmoitus sivuston salauksesta. Esimerkiksi mentäessä Chromella S-Pankkiin, osoitepalkin vasemmassa reunassa on vihreällä pohjalla lukko ja teksti "S-Pankki Oy [FI]". Tällaisen SSL-sertifikaatin väärentäminen on erittäin vaikeaa. Tämä myös näkyisi pankille, koska se saisi epäilyttävää liikennettä epäilyttävästä osoitteesta eikä asiakkaan tutulta koneelta.

Mutta jos tällä tavalla suojattu sivusto lataa ulkopuolisia skriptejä käyttäjän koneelle, niin hyökkääjälle riittää tämän skriptin väliin meneminen, ja koska selain ei näytä tietoja skriptien SSL-sertifikaateista, niin tähän riittää lähes mikä tahansa sertifikaatti. Jotkut selaimet eivät tässä tilanteessa välttämättä varoita edes itseallekirjoitetusta sertifikaatista, mikä antaisi täydellisen vapaat kädet hyökkäyksen suorittamiseen.

Tällaisella välistä vedetyllä skriptillä hyökkääjä pääsee käsiksi kaikkeen verkkopankin toimintaan asiakkaan istunnossa eikä pankki huomaa mitään, koska kaikki toiminta tapahtuu asiakkaan päässä. Valitettavasti myöskään asiakas ei huomaa mitään, koska pankki oli se, joka mahdollisti hyökkäyksen.

Jos joku haluaa lisäksi sovittaa foliohattua päähänsä, niin muitakin uhkakuvia löytyy. Esimerkiksi NSA (vai tarvitaanko tähän enää sitä foliohattuakaan?) voisi pakottaa Googlen lähettämään erilaisen skriptin tietyille asiakkaille kerätäkseen tietoja näiden rahaliikenteestä. Tällöinkään pankki ei huomaisi mitään, koska haitallinen skripti menisi suoraan asiakkaille kulkematta pankin kautta, eikä pankin mahdollisiin pistotarkastuksiin tietenkään tarjoiltaisi haitallista skriptiä.

Naurettavinta tässä on se, että analytiikan keräämiseen on lukuisia ja parempiakin työkaluja, jotka toimivat palvelinpuolella ilman erillisten skriptien lataamista. Mutta S-Pankin viestintä on ainakin Twitterissä valinnut jankuttavan linjan siitä, että mitään ongelmaa ei ole... Ei näin, ei todellakaan näin.

Piditkö tästä kirjoituksesta? Näytä se!

2Suosittele

2 käyttäjää suosittelee tätä kirjoitusta. - Näytä suosittelijat

NäytäPiilota kommentit (2 kommenttia)

Käyttäjän pekkalampelto kuva
Pekka Lampelto

Koko tämä NSA, Google, Facebook, Internet -paletti alkaa olla niin vallitsevaa, että vastarinnan tai suojautumisen harjoittaminen alkaa näyttää jotenkin epätoivoiselta. Kaitpa sitä voisi alkaa uskoa, että Internetistä on tulossa Jahven fyysinen/digitaalinen karnaatio, jolle paree vain antaa henkisessä mielessä periksi. Tai voihan sitä luopuakin näistä kaiken maailman digitaalisista välineistä ja alkaa erakoksi.

Käyttäjän pasi kuva
Pasi Matilainen

Ei se epätoivoista ole, mutta vaatii perehtymistä ja pikkaisen vaivannäköä. Esimerkiksi NoScript-selainlaajennuksella voi estää kaikkien skriptien ajamisen selaimessa ja sitten yksitellen kliksutella niitä päälle, jotta saa nettisivuilta olennaiset osat toimimaan. Tietenkin pitää ymmärtää, että mitä kannattaa ajaa ja mitä ei.

Oikeastihan pitäisi olla muusta nettikäytöstä erillinen laite, jolla yksinomaan hoitaisi pankkiasioita ja muita sensitiivisiä juttuja, ja pitäisi siinä kaikki mahdolliset suojaukset päällä. :D

Toimituksen poiminnat