3. elokuuta 2012

Nordean verkkopankin tietoturvaongelmat

Kirjoitin jo yli vuosi sitten suomalaisissa nettipankeissa muhivista tietoturvaongelmista. Mitään ei ole näköjään opittu noista hetkistä ja löydöistä. Päinvastoin. Sain uusimmalla Opera-selaimellani jo varoituksen Nordean nettipankin tietoturvattomuudesta: Koko yhteyden sisältö ei ole salattu ja palvelin ei myöskään tue turvallista TLS-uudelleenneuvottelua. Niin, puhumattakaan, että palvelin tukisi TLS 1.0, TLS 1.1 tai TLS 1.2 protokollia. Vain vanhaa SSL3:a ja RC4 salausta.

Asiakkaiden niskaan tietysti kaadetaan kakat, mikäli jotakin menee vikaan. Muistetaan varoitella virustentorjunnan tarpeellisuudesta ja varoa huijausviestejä jne. Mutta itse ei pankki näköjään viitsi tehdä mitään tietoturvansa eteen, vaan käyttää antiikinaikaisia bugisia ja tietoturvattomia suojausmenetelmiä, eikä viitsi edes niidenkään aukkoja paikata.

Kenellä on vastuu tässä tapauksessa, kysyn vaan?


PS. Otin yhteyttä Nordeaan asian tiimoilta. Luultavasti vastausta ei kuulu, mutta jos sellainen ihme tapahtuu, ilmoitan asiasta kyllä blogissani.


Päivitystä 12.8.2012:Sain Nordealta vastauksen sähköpostilla 8.8.2012, jossa he kertovat seuraavaa (lihavoinnit minun):

Kiitokset arvokkaasta palautteestanne.
Olemme tietoisia kyseistä TLS uudelleenneuvottelu haavoittuvuudesta ja siihen löytyy suoja meidän sovelluspuolelta. Valitettavaa on että Opera selain varoittaa turhaan asiasta.
TLS 1.1 ja 1.2 tuki ei ole vielä laajamittainen selaimissa. Palvelumme käyttämien salaustekniikoiden täytyy olla niin yhteensopivia kuin mahdollista kaikkien selaimien ja käyttöjärjestelmien kanssa. Siitä johtuen odotamme aina laajaa tukea selaimilta ennen kuin siirrymme vahvempaan salaukseen. Toki jos haavoittuvuus olisi vakava, emme voisi jäädä odottelemaan laajaa selaintukea, vaan joutuisimme pyytämään asiakkaitamme päivittämään selaimensa.
Suoranaista vaikutusta verkkopankin turvallisuuteen näillä kahdella asialla ei ole. Olemme aikoinaan lähteneet rakentamaan verkkopankin ja maksuprosessien turvallisuutta siitä näkökulmasta, että asiakkaan päätteen ja verkkoliikenteen turvallisuus ei ole täysin vedenpitävä. Näin ollen olemme kiinnittäneet huomiota pankin omiin prosesseihin joilla ei ole suoranaista tekemistä verkon turvallisuuden kanssa. Tästä yhtenä esimerkkinä maksun lisävahvistus, jossa tavallisuudesta poikkeavat maksut tulee vahvistaa puhelimitse, joko SMS viestillä tai soittamalla asiakaspalveluun. Näiden lisäksi meillä on muitakin sisäisiä tarkistuksia joilla pyritään estämään väärinkäytökset palvelussamme.
Ystävällisin Terveisin,
Nordea asiakaspalvelu

Netistä löytyy kasapäin testejä, jotka testaavat, onko palvelin haavoittuvainen tuolle TLS uudelleenneuvotteluhyökkäykselle vaiko ei. Jokainen palvelu, jolla olen Nordean nettipankkia testannut, on ilmoittanut, että palvelu on altis tuolle hyökkäykselle. Joko kaikki näistä palveluista valehtelevat, tai Nordea valehtelee. Tehkää omat johtopäätöksenne. Ottakaapa myös huomioon, että mikäli Nordea olisi korjannut ko. haavoittuvuuden, ei ole mitään syytä eikä käytännössä paljon keinojakaan, miten ja miksi Nordean palvelin ei siitä kertoisi...