Innostuin sattumalta taas perehtymään suomalaisten nettipankkien tietoturvaan. Tutkin Nordean, Osuuspankin, Sampopankin, S-Pankin, Tapiolan, Aktian, Paikallisosuuspankkien ja Säästöpankin nettipankkeja, etenkin yhteyden salausta ja sen toteutusta silmälläpitäen. Tulokset ovat kovin lohduttomia. Kaikissa tutkimissani nettipankeissa on salaus ja/tai muu seikka toteutettu siten, että sen kiertäminen ja/tai murtaminen on mahdollista.
Parhaiten, joskaan ei täydellisesti, pärjäsi Osuuspankin nettipankki, Nordean tullessa hyvänä kakkosena. S-Pankin, Tapiolan, Aktian, Paikallisosuuspankin ja Säästöpankin nettipankit ovat tietoturvattomia, mutta tietoturvassa ehdottomasti peränpitäjänä on Sampopankin nettipankki. Tosin Sampopankin nettipankki käyttää javaa-sovelmaa kirjautumisessa, enkä lähtenyt sen turvallisuutta tarkemmin tutkimaan - se voi monilta osin parantaa tietoturvaa, mutta myös toki entisestään heikentää sitä.
Ajattelin aluksi ottaa yhteyttä havaintojeni pohjalta esimerkiksi Finanssivalvontaan, mutta silloin muistinkin aikaisemmat kokemukseni ko. puljusta. Eipä taida kannattaa. Pitäisikö ottaa yhteyttä mediaan? Tuskin se hyödyttää, toimittajat eivät näistä asioista tiedä mitään eivätkä uskalla hyökätä pankkeja vastaan. Pitäisikö antaa tiedot vain pahantekijöille? No, eivätköhän he ole jo ottaneet näistä asioista selvää. Ehkä on parempi vain kertoa julkisesti kaikki havainnot.
Mutta niin, nyt havaintojeni yksityiskohtiin:
Nordean ja Sampopankin nettipankki suostuu lähettämään evästeet myöskin ei-salattua yhteyttä pitkin ja Sampopankissa myöskin muille nettisivuille Sampopankkiin. Tämä on varsin tökerö ja suuri tietoturvaongelma. Osuuspankki, S-Pankki, Tapiola, Aktia, Paikallisosuuspankki ja Säästöpankki ovat huolehtineet evästeiden turvallisesta käsittelystä esimerkillisesti näiltä osin, eikä niissä nettipankki-istunnon kaappaus onnistu noin lapsellisella tapaa...näissäkään nettipankeissa tosin evästeille ei ole asetettu vanhenemisaikaa, mikä on merkittävä tietoturvariski, jos asiakas ei jostain syystä kirjaudu palvelusta ulos sen lopetettuaan...sopii vain toivoa, että ko. palveluissa asiakas kirjataan automaattisesti ulos riittävän sukkelaan.
Nordean nettipankki tukee vain vanhakantaista SSL/TLS uudelleenneuvottelua, joka on epäturvallinen, eikä sitä pitäisi käyttää. Tuo haavoittuvuus mahdollistaa man-in-the-middle-attackin nettipankkiyhteyksiä kohtaan. Muutoin salauksessa ja sen toteutuksessa ei ole moittimista, vaikka evästeiden käsittely onkin epäturvallista ja vaarantaa nettipankin.
Osuuspankin nettipankki ei tue vanhakantaista SSL/TLS uudelleenneuvottelua, mutta eipä myöskään tue uudempaan versiota tuosta, joten tämä voi olla tietoturvariski. Muilta osin Osuuspankin nettipankki onkin esimerkillisen turvallinen!
Sampopankin RSA-avaimen pituus on vain 1024bit, eli liian heikko. Sampopankki tukee myöskin SSL2.0 protokollaa, joka on epäturvallinen eikä sitä pitäisi käyttää. Sampopankki tukee vain vanhakantaista SSL/TLS uudelleenneuvottelua, joka on epäturvallinen, eikä sitä pitäisi käyttää. Lisäksi Sampopankki tukee heikkoja 40bit ja 56bit salauksia ja MD5 tiivistettä, jotka ovat epäturvallisia. Kun tämän yhdistää jo edellä kertomaani evästeongelmaan, voi syystäkin Sampopankin nettipankkia pitää täysin epäturvallisena, amatöörimäisenä räpellyksenä.
S-Pankki ja Tapiola eivät tue vanhakantaista SSL/TLS uudelleenneuvottelua, mutta eivätpä myöskään tue uudempaan versiota tuosta, joten tämä voi olla tietoturvariski. Tämän lisäksi molemissa nettipankeissa on jostain täysin käsittämättömästä syystä mahdollista se, että pankki ei tunnistaudu itse asiakkaalle luovuttaessaan SSL/TLS avaimia (TLS_DH_anon), joten man-in-the-middle-attack on erinomaisen helppo toteuttaa! Kaupan päälle molemmat pankit tukevat vielä MD5-tiivistettä, joka on täysin epäturvallinen. Epäturvallisia sähellyksiä siis nämäkin nettipankit.
Aktian RSA-avaimen pituus on vain 1024bit, eli liian heikko. Aktia ja Paikallisosuuspankki tukevat vain vanhakantaista SSL/TLS uudelleenneuvottelua, joka on epäturvallinen, eikä sitä pitäisi käyttää. Lisäksi Aktia ja Paikallisosuuspankki tukevat heikkoja 56bit salauksia ja MD5 tiivistettä, jotka ovat epäturvallisia. Eipä ole siis kehumista näissäkään nettipankeissa.
Säästöpankki ei tue vanhakantaista SSL/TLS uudelleenneuvottelua, mutta eipä myöskään tue uudempaan versiota tuosta, joten tämä voi olla tietoturvariski. Lisäksi Säästöpankki tukee heikkoja 40bit ja 56bit salauksia ja MD5 tiivistettä, jotka ovat epäturvallisia. Ei saa kehuja Säästöpankkikaan.
On suorastaan ihme, ettei ole vielä tullut julki tapauksia, joissa näihin nettipankkeihin olisi murtauduttu tässä kuvaamiani haavoittuvuuksia hyödyntäen. Luultavasti onkin, mutta tapaukset on vain selitetty "käyttäjän huolimattomuudella" tai "saastuneella kotitietokoneella" tms. Asioista tietämättömät ja väliinpitämättömät toimittajat ja ylläpitäjät eivät tee tietenkään mitään ongelmien korjaamiseksi.
Siitä sitten vaan nettipankkeilemaan ja toivomaan parasta, ettei käy huonoa tuuria omalle kohdalle! Jos nettipankkiasi väärinkäytetään, älä niele pureksimatta pankin selityksiä siitä, että kyseessä on SINUN vikasi. On tietysti mahdollista, että tietokoneesi on saastunut jostain pankkitunnuksia väärinkäyttävästä haittaohjelmasta tai joku on urkkinut muulla tapaa tunnuksesi selville. Vähintään yhtä todennäköisesti vika on kuitenkin pankissa itsessään ja sen lapsellisissa SSL/TLS toteutuksissa.
Lisäys 25.6. klo 15:50:
Liitetty myös Aktian ja Paikallisosuuspankin nettipankkien tietoturva-arviot kirjoitukseen.
Lisäys 25.6. klo 22:45:
Liitetty myös Säästöpankin nettipankin tietoturva-arvio kirjoitukseen.
Parhaiten, joskaan ei täydellisesti, pärjäsi Osuuspankin nettipankki, Nordean tullessa hyvänä kakkosena. S-Pankin, Tapiolan, Aktian, Paikallisosuuspankin ja Säästöpankin nettipankit ovat tietoturvattomia, mutta tietoturvassa ehdottomasti peränpitäjänä on Sampopankin nettipankki. Tosin Sampopankin nettipankki käyttää javaa-sovelmaa kirjautumisessa, enkä lähtenyt sen turvallisuutta tarkemmin tutkimaan - se voi monilta osin parantaa tietoturvaa, mutta myös toki entisestään heikentää sitä.
Ajattelin aluksi ottaa yhteyttä havaintojeni pohjalta esimerkiksi Finanssivalvontaan, mutta silloin muistinkin aikaisemmat kokemukseni ko. puljusta. Eipä taida kannattaa. Pitäisikö ottaa yhteyttä mediaan? Tuskin se hyödyttää, toimittajat eivät näistä asioista tiedä mitään eivätkä uskalla hyökätä pankkeja vastaan. Pitäisikö antaa tiedot vain pahantekijöille? No, eivätköhän he ole jo ottaneet näistä asioista selvää. Ehkä on parempi vain kertoa julkisesti kaikki havainnot.
Mutta niin, nyt havaintojeni yksityiskohtiin:
Nordean ja Sampopankin nettipankki suostuu lähettämään evästeet myöskin ei-salattua yhteyttä pitkin ja Sampopankissa myöskin muille nettisivuille Sampopankkiin. Tämä on varsin tökerö ja suuri tietoturvaongelma. Osuuspankki, S-Pankki, Tapiola, Aktia, Paikallisosuuspankki ja Säästöpankki ovat huolehtineet evästeiden turvallisesta käsittelystä esimerkillisesti näiltä osin, eikä niissä nettipankki-istunnon kaappaus onnistu noin lapsellisella tapaa...näissäkään nettipankeissa tosin evästeille ei ole asetettu vanhenemisaikaa, mikä on merkittävä tietoturvariski, jos asiakas ei jostain syystä kirjaudu palvelusta ulos sen lopetettuaan...sopii vain toivoa, että ko. palveluissa asiakas kirjataan automaattisesti ulos riittävän sukkelaan.
Nordean nettipankki tukee vain vanhakantaista SSL/TLS uudelleenneuvottelua, joka on epäturvallinen, eikä sitä pitäisi käyttää. Tuo haavoittuvuus mahdollistaa man-in-the-middle-attackin nettipankkiyhteyksiä kohtaan. Muutoin salauksessa ja sen toteutuksessa ei ole moittimista, vaikka evästeiden käsittely onkin epäturvallista ja vaarantaa nettipankin.
Osuuspankin nettipankki ei tue vanhakantaista SSL/TLS uudelleenneuvottelua, mutta eipä myöskään tue uudempaan versiota tuosta, joten tämä voi olla tietoturvariski. Muilta osin Osuuspankin nettipankki onkin esimerkillisen turvallinen!
Sampopankin RSA-avaimen pituus on vain 1024bit, eli liian heikko. Sampopankki tukee myöskin SSL2.0 protokollaa, joka on epäturvallinen eikä sitä pitäisi käyttää. Sampopankki tukee vain vanhakantaista SSL/TLS uudelleenneuvottelua, joka on epäturvallinen, eikä sitä pitäisi käyttää. Lisäksi Sampopankki tukee heikkoja 40bit ja 56bit salauksia ja MD5 tiivistettä, jotka ovat epäturvallisia. Kun tämän yhdistää jo edellä kertomaani evästeongelmaan, voi syystäkin Sampopankin nettipankkia pitää täysin epäturvallisena, amatöörimäisenä räpellyksenä.
S-Pankki ja Tapiola eivät tue vanhakantaista SSL/TLS uudelleenneuvottelua, mutta eivätpä myöskään tue uudempaan versiota tuosta, joten tämä voi olla tietoturvariski. Tämän lisäksi molemissa nettipankeissa on jostain täysin käsittämättömästä syystä mahdollista se, että pankki ei tunnistaudu itse asiakkaalle luovuttaessaan SSL/TLS avaimia (TLS_DH_anon), joten man-in-the-middle-attack on erinomaisen helppo toteuttaa! Kaupan päälle molemmat pankit tukevat vielä MD5-tiivistettä, joka on täysin epäturvallinen. Epäturvallisia sähellyksiä siis nämäkin nettipankit.
Aktian RSA-avaimen pituus on vain 1024bit, eli liian heikko. Aktia ja Paikallisosuuspankki tukevat vain vanhakantaista SSL/TLS uudelleenneuvottelua, joka on epäturvallinen, eikä sitä pitäisi käyttää. Lisäksi Aktia ja Paikallisosuuspankki tukevat heikkoja 56bit salauksia ja MD5 tiivistettä, jotka ovat epäturvallisia. Eipä ole siis kehumista näissäkään nettipankeissa.
Säästöpankki ei tue vanhakantaista SSL/TLS uudelleenneuvottelua, mutta eipä myöskään tue uudempaan versiota tuosta, joten tämä voi olla tietoturvariski. Lisäksi Säästöpankki tukee heikkoja 40bit ja 56bit salauksia ja MD5 tiivistettä, jotka ovat epäturvallisia. Ei saa kehuja Säästöpankkikaan.
On suorastaan ihme, ettei ole vielä tullut julki tapauksia, joissa näihin nettipankkeihin olisi murtauduttu tässä kuvaamiani haavoittuvuuksia hyödyntäen. Luultavasti onkin, mutta tapaukset on vain selitetty "käyttäjän huolimattomuudella" tai "saastuneella kotitietokoneella" tms. Asioista tietämättömät ja väliinpitämättömät toimittajat ja ylläpitäjät eivät tee tietenkään mitään ongelmien korjaamiseksi.
Siitä sitten vaan nettipankkeilemaan ja toivomaan parasta, ettei käy huonoa tuuria omalle kohdalle! Jos nettipankkiasi väärinkäytetään, älä niele pureksimatta pankin selityksiä siitä, että kyseessä on SINUN vikasi. On tietysti mahdollista, että tietokoneesi on saastunut jostain pankkitunnuksia väärinkäyttävästä haittaohjelmasta tai joku on urkkinut muulla tapaa tunnuksesi selville. Vähintään yhtä todennäköisesti vika on kuitenkin pankissa itsessään ja sen lapsellisissa SSL/TLS toteutuksissa.
Lisäys 25.6. klo 15:50:
Liitetty myös Aktian ja Paikallisosuuspankin nettipankkien tietoturva-arviot kirjoitukseen.
Lisäys 25.6. klo 22:45:
Liitetty myös Säästöpankin nettipankin tietoturva-arvio kirjoitukseen.
Mielenkiintoista.
VastaaPoistaMiten pärjää pienemmät puljut?
http://www.aktia.fi/
https://www.poppankki.fi/
Tämä on varmaan turvallisimmasta päästä?
VastaaPoistahttps://www.saastopankki.fi/
Laitatko vielä tilaston siitä, miten paljon ihmisiltä varastetaan rahaa vuodessa näitten "tietoturvaongelmien" takia?
VastaaPoistahttp://www.iltasanomat.fi/kotimaa/varo-tata-royhkea-temppu-paljastui-taas---katso-kuvakaappaus/art-1288401136175.html
VastaaPoista