3. elokuuta 2012

Nordean verkkopankin tietoturvaongelmat

Kirjoitin jo yli vuosi sitten suomalaisissa nettipankeissa muhivista tietoturvaongelmista. Mitään ei ole näköjään opittu noista hetkistä ja löydöistä. Päinvastoin. Sain uusimmalla Opera-selaimellani jo varoituksen Nordean nettipankin tietoturvattomuudesta: Koko yhteyden sisältö ei ole salattu ja palvelin ei myöskään tue turvallista TLS-uudelleenneuvottelua. Niin, puhumattakaan, että palvelin tukisi TLS 1.0, TLS 1.1 tai TLS 1.2 protokollia. Vain vanhaa SSL3:a ja RC4 salausta.

Asiakkaiden niskaan tietysti kaadetaan kakat, mikäli jotakin menee vikaan. Muistetaan varoitella virustentorjunnan tarpeellisuudesta ja varoa huijausviestejä jne. Mutta itse ei pankki näköjään viitsi tehdä mitään tietoturvansa eteen, vaan käyttää antiikinaikaisia bugisia ja tietoturvattomia suojausmenetelmiä, eikä viitsi edes niidenkään aukkoja paikata.

Kenellä on vastuu tässä tapauksessa, kysyn vaan?


PS. Otin yhteyttä Nordeaan asian tiimoilta. Luultavasti vastausta ei kuulu, mutta jos sellainen ihme tapahtuu, ilmoitan asiasta kyllä blogissani.


Päivitystä 12.8.2012:Sain Nordealta vastauksen sähköpostilla 8.8.2012, jossa he kertovat seuraavaa (lihavoinnit minun):

Kiitokset arvokkaasta palautteestanne.
Olemme tietoisia kyseistä TLS uudelleenneuvottelu haavoittuvuudesta ja siihen löytyy suoja meidän sovelluspuolelta. Valitettavaa on että Opera selain varoittaa turhaan asiasta.
TLS 1.1 ja 1.2 tuki ei ole vielä laajamittainen selaimissa. Palvelumme käyttämien salaustekniikoiden täytyy olla niin yhteensopivia kuin mahdollista kaikkien selaimien ja käyttöjärjestelmien kanssa. Siitä johtuen odotamme aina laajaa tukea selaimilta ennen kuin siirrymme vahvempaan salaukseen. Toki jos haavoittuvuus olisi vakava, emme voisi jäädä odottelemaan laajaa selaintukea, vaan joutuisimme pyytämään asiakkaitamme päivittämään selaimensa.
Suoranaista vaikutusta verkkopankin turvallisuuteen näillä kahdella asialla ei ole. Olemme aikoinaan lähteneet rakentamaan verkkopankin ja maksuprosessien turvallisuutta siitä näkökulmasta, että asiakkaan päätteen ja verkkoliikenteen turvallisuus ei ole täysin vedenpitävä. Näin ollen olemme kiinnittäneet huomiota pankin omiin prosesseihin joilla ei ole suoranaista tekemistä verkon turvallisuuden kanssa. Tästä yhtenä esimerkkinä maksun lisävahvistus, jossa tavallisuudesta poikkeavat maksut tulee vahvistaa puhelimitse, joko SMS viestillä tai soittamalla asiakaspalveluun. Näiden lisäksi meillä on muitakin sisäisiä tarkistuksia joilla pyritään estämään väärinkäytökset palvelussamme.
Ystävällisin Terveisin,
Nordea asiakaspalvelu

Netistä löytyy kasapäin testejä, jotka testaavat, onko palvelin haavoittuvainen tuolle TLS uudelleenneuvotteluhyökkäykselle vaiko ei. Jokainen palvelu, jolla olen Nordean nettipankkia testannut, on ilmoittanut, että palvelu on altis tuolle hyökkäykselle. Joko kaikki näistä palveluista valehtelevat, tai Nordea valehtelee. Tehkää omat johtopäätöksenne. Ottakaapa myös huomioon, että mikäli Nordea olisi korjannut ko. haavoittuvuuden, ei ole mitään syytä eikä käytännössä paljon keinojakaan, miten ja miksi Nordean palvelin ei siitä kertoisi...

6 kommenttia:

Anonyymi kirjoitti...

Käytän yleensä Operaa ja minulle tuli Nordean sivulla samanlainen viesti (suomeksi). Lukkoa ei näy www-osoitteen edessä, mutta sen sijaan s-kirjain kyllä on http-tunnuksen perässä. Onko yhteys siis salattu vai ei? Voiko lukko välillä näkyä ja välillä ei? Kyselee tällainen täydellinen atk-tumpelo. Itse asiassa lukkoa ei tällä hetkellä näy millään Operan kautta selatuilla sivuilla, joiden pitäisi olla salattuja.

Jos käytän Firefox-selainta, lukko näkyy Nordean ja muilla sivuilla normaalisti.

Osuin blogiisi kun yritin etsiä tietoa tuosta Operan ilmoituksesta.

Anonyymi kirjoitti...

pankkia on onneksi suhteellisen helppo vaihtaa :)

Anonyymi kirjoitti...

Pankeissa on useita salauksia käytössä.
Se että TSL ei ole ei tarkoita etteikö pankin käyttö olisi tältäosin turvallinen koska niitä muita turvatekniikoita on siellä palvelinpäässä, joita ei käyttäjät kykene edes omin avuin selvittämään.

Ei siis tarvitse tuon vuoksi foliohattua kaapista kaivaa.

Markus Jansson kirjoitti...

> Pankeissa on useita salauksia
> käytössä. Se että TSL ei ole ei
> tarkoita etteikö pankin käyttö
> olisi tältäosin turvallinen
> koska niitä muita
> turvatekniikoita on
> siellä palvelinpäässä, joita ei
> käyttäjät kykene edes omin avuin
> selvittämään.

Salaus ei toimi turvallisesti. Tiedot eivät välity turvallisesti nettipankkiin ja nettipankista. Salauksen voisi helposti laittaa toimimaan turvallisesti, jotta tiedot välittyisivät turvallisesti nettipankkiin ja nettipankista. Onko tuossa jotain, mitä et ymmärrä?

Anonyymi kirjoitti...

Unohtakaa koko pankkijärjestelmä ja siirtykää Bitcoin-systeemiin.

http://fi.wikipedia.org/wiki/Bitcoin

Anonyymi kirjoitti...

Entäs muut suomalaiset pankit? En usko, että Nordea on tässä suhteessa ainakaan heikommasta päästä. Käytettävyydessäkin on verkkopankkipalveluiden välillä suuria eroja. Sampo-pankin Java-sidonnaisuus on surkuhupaisuuden huippu paitsi Javan jatkuvien tieturvaongelmien vuoksi myös sen rasittavan käyttävyyden vuoksi. Miettikääpä kielitaidotonta eläkeläistä, jolta Java alkaa kyselemään oikeuksia englannin kielellä, kun jo suomenkielisen verkkopankin käytössä sinänsäkin voi olla melkoisesti haastetta.