Danske Bankin turva-aukkoja on epäilty jo yli vuosi
5
Danske Bankin järjestelmään siirtyneen Sampo Pankin sivujen cross-site scripting (xss) -aukkoja on ihmetelty suuresti siksi, että nämä eivät olisi tulleet esille aiemmin. Samoja ongelmia on kuitenkin epäilty Danske Bankin web-sivuilla Tanskassa jo syksystä 2006 alkaen.
Tanskalainen Comon.de-verkkojulkaisu käsitteli cross-site scripting -asiaa jo marraskuussa 2006. Siinä todetaan, että xss-haavoittuvuus voi olla vaarallinen myös phishing- eli kalasteluhuijausten kannalta.
Samoiten tanskalainen Mikkel deMib Svendsen kirjoitti asiasta samana vuonna weblogissaan.
Tietokone-lehti yritti torstaina saada kommenttia haavoittuvuuksiin ja tietoturvatilanteeseen Danske Bankin pääkonttorista Tanskasta, mutta tähän mennessä vastausta ei ole saatu.
Cross-site-skripti hämää helposti
F-Securen tutkimusjohtaja Mikko Hyppönen korostaa Tietokone-lehdelle, etteivät julkisuuteen tulleet cross-site scripting -haavoittuvuudet tarkoita, että verkkopankin asiakkaat olisivat vaarassa.
Hyppösen mukaan riski piilee siinä, että xss-haavoittuvuuksien avulla voisi rakentaa huijaussivun, jonka osoite lukee selaimessa aivan oikein, sertifikaatti ja salaus ovat kunnossa, mutta osa sisällöstä tuleekin selaimeen muualta – hyökkääjän omilta sivuilta.
Netissä on esitetty tästä monia "proof-of-concept-tyyppisiä" toteutuksia, joissa Sammon nettipankin sivupohjaan on upotettu esimerkiksi Youtube-video tai Irakin entisen tiedotusministerin kuva. Käyttäjän pitäisi olla it-ammattilainen osatakseen selvittää, mistä eri lähteistä sisältö tulee.
Nettisivujen teknisessä toteutuksessa on ollut virheitä, kun url-osoitteen parametrien avulla on päässyt muuttamaan sivujen sisältöä. Vasta äskettäin julkisuudessa oli eduskunnan sivujen xss-tapaus, josta Digitoday kertoi tiistaina.
Sammon tapauksessa uhkakuvat eivät ole vielä toteutuneet.
"Sampo Pankin asiakkaita vastaan ei ole vielä hyökätty xss-aukkoja hyödyntäen", painottaa Hyppönen.
Pankki on myös korjannut paljastuneita haavoittuvuuksia sitä mukaa, kun suomalaiset nettiharrastajat ovat blogeissaan ja muilla sivuillaan tuoneet ongelmia julkisuuteen.
Nettipankkiin vain pankin sivujen kautta
Xss-aukkoa hyödyntävässä huijauksessa ta hyökkäyksessä linkki voidaan lähettää esimerkiksi sähköpostitse muka pankin tiedotteena. Web-sivu saadaan näyttämään verkkopankin osoitteelta.
Sampo Pankki korostaakin ohjeissaan muiden pankkien tapaan, että nettipankkiin on aina syytä mennä pankin nettisivujen kautta.
Cross-site scripting -haavoittuvuuksia on Hyppösen mukaan paljastunut laajasti suomalaisilla web-sivustoilla. Danske Bankin ja Sammon sivusto on kuitenkin tiettävästi ensimmäinen kerta, kun tällaisia haavoittuvuuksia on paljastunut Suomessa pankkien sivuilla.
"Tietääkseni tällaisia haavoittuvuuksia ei ole paljastunut muiden pankkien sivuilla", arvioi myös Hyppönen.
Julkisuudessa on keskusteltu myös siitä, onko Danske Bankin ja nyt myös Sampo Pankin asiakkaidensa koneille työntämä JNI:llä toteutettu java-sovelma uhka tietoturvalle.
Hyppönen sanoo, ettei java-appletti uhkaa nettipankin tietoturvaa. Sen sijaan se vaatii kuitenkin asiakkaan ja pankin välille korkea luottamusta, koska java-sovelma saa koneelle laajat luku- ja kirjoitusoikeudet.
Hakkerit ovat pilailleet Sampo Pankin kustannuksella. Kuvassa Irakin tiedotusministerin ja Wincapitan parodia on yhdistetty Sammon nettipankin sivupohjaan. Tavallinen käyttäjä ei näe, mistä eri lähteistä sisältö tulee.
Hakkerit ovat pilailleet Sampo Pankin kustannuksella. Kuvassa Irakin tiedotusministerin ja Wincapitan parodia on yhdistetty Sammon nettipankin sivupohjaan. Tavallinen käyttäjä ei näe, mistä eri lähteistä sisältö tulee.
