3. elokuuta 2015

Suurimpien suomalaisten verkkopankkien salaussysteemeissä vakavia tietoturvaongelmia


Lyhyesti sanottuna, vain S-Pankin verkkopankki oli miltei täydellisesti suojattu erilaisia salausjärjestelmien haavoittuvuuksia ja salauksen kiertämisiä, alentamisia ja muita temppuja vastaan. Nordean verkkopankissa oli joitain haavoittuvuuksia, jotka vaarantavat sen käytön. Osuuspankin verkkopankissa oli vielä vähän enemmän haavoittuvuuksia, jotka vaarantavat sen käytön. Pohjimmaisena tuli Danske Bankin verkkopankki, jonka salauspuolen tietoturvan toteutus oli lähinnä vitsi. Osa näistä verkkopankeista ei suostu tämän vuoksi esimerkiksi toimimaan minun opastamallani Chromen virityksellä, joka säätää Chromen turvallisemmaksi kuin mitä se oletuksena on, kun Chrome kieltäytyy käyttämästä epäturvallisia salauksia.

Jokainen voi klikata auki nuo linkit ja varmistaa itse näitä juttuja testaavan nettisivun kautta, miten asian laita on. Klikkaamalla ko sivulla oleviä lisätietojuttuja kuka tahansa saa lisää yksityiskohtaista tietoa siitä, mistä ongelmista ja haavoittuvuuksista minkäkin osan kohdalta on kysymys. Ongelmat ovat todellisia, vakavia ja ne olisivat helposti korjattavissa.

En lähde yksityiskohtaisemmin selvittämään noita ongelmia, niistä voisi kirjoittaa vaikka paksun kirjan, aikaisemmin sivusin aihepiiriä mm. tässä kirjoituksessani, sekä myös jossain määrin täällä ja täällä. Olennaista on ymmärtää, että salausjärjestelmissä, joita netissä käytetään (SSL/TLS, myös toki SSH ja erilaiset VPN-systeemit) on useita haavoittuvuuksia, joita on uusimmissa versioissa paikkailtu ja joista osaan ei ole suoranaista paikkausta olemassa, vaan ne vaatisivat erilaisia säätöjä palvelimilta. Tiivistelmän erilaisista näistä hyökkäyksistä ja riskeistä voitte lukea englanniksi esimerkiksi täältä. Lyhyesti sanottuna, ainoat tällä hetkellä turvalliset systeemit blokkaavat palvelimen virityksillä tiettyjä juttuja pois, käyttävät TLS 1.2 protokollaa, omaavat "perfect forward secrecyn", käyttävät elliptisten kurvien kryptoa PKI-avainpariinsa (tai ainakin sessioavaimen välitykseen), sekä session salauksessa AES-256-CBC, AES-128-GCM, Camelia tai CHACHA20 salaimia, sekä tiivistefunktiona / MAC:inä joko Poly1305:tä, AEAD:ta, SHA-2 tai SHA-3. Ja, mikä KAIKKEIN OLENNAISINTA YMMÄRTÄÄ: Käyttävät vain ja ainoastaan noita, eivätkä suostu käyttämään mitään muuta kuin noita missään tilanteessa. Mikäli palvelin (tai selainkin) suostuu käyttämään jotain muuta salausta, on aikalailla yhdentekevää, mitä palvelin "voisi tarjota", kun sitä ei de facto välttämättä kuitenkaan käytetä, vaan sen sijaan tulee käytetyksi jokin epäturvallinen yhdistelmä.

Otin aikaisemmin yhteyttä Nordeaan heidän verkkopankkinsa tietoturvaongelmista ja sieltä soitettiinkin minulle tänään, vakuuttaen, että esittämäni haavoittuvuudet eivät koske Solon puolta, vaan pelkästään pankin sivuja. Sikäli toki surkuhupaisaa, että näin olisi, mutta totuus on valitettavasti toinen. Jälleen kerran pankit sumuttavat kuluttajia ja suoraan sanottuna valehtelevat verkkopankkiensa tietoturvan tasosta. Ikinä yksikään pankki ei ole suostunut Suomessa myöntämään, että heidän verkkopankkinsa toteutuksessa olisi joskus ollut jotain tietoturvaongelmia. Tämä on hämmästyttävää.

Hämmästyttävämpää on kuitenkin se, että moisia, perustavaa laatua olevia ongelmia ei viitsitä korjata. Kuka tahansa palvelimen ylläpitäjä osaa (tai pitäisi osata) korjata moiset ongelmat kuntoon pienillä säätötoimenpiteillä ja päivityksillä, jotka eivät millään muotoa muuta mitään itse kuluttajan näkökulmasta, eivätkä koske ko. verkkosivujen sisältöön millään muotoa. Miksi näin ei tehdä? Onko kyse välinpitämättömyydestä, vaiko osaamattomuudesta tietoturvapuolella?

Voisin ymmärtää, että esimerkiksi "Nordean varayhteytenä" käytetty yhteys jätetään jostain syystä tukemaan "vanhoja protokollia ja salauksia", jotta varmasti se Pihtiputaan mummokin pääsee sitä käyttämään jossain bugitilanteessa. Mutta se, että pääasiallisena yhteynä käytetyt verkkopankkiosoitteet pidetään haavoittuneiden salausmenetelmien ja protokollien takana, on täysin perusteetonta ja vaarallista. On käsittämätöntä, että esimerkiksi Finanssivalvonta tai Viestintävirasto ei ole asiaan puuttunut millään muotoa. Ehkä nekään eivät tiedä eivätkä välitä näistä asioista yhtään mitään? No, pistin molemmille menemään sähköpostin, vaikka tuskin tulee mitään vastausta eikä muutosta näihin asioihin.

1 kommentti:

Anonyymi kirjoitti...

Minulle on Nordeassa valehdeltu suoraan myös pankkiasiointiin liittyvissä asioissa aivan päivänselvästi ja suoraan ainakin kolmesti.

Lisäksi on ollut tapauksia, jotka ovat tulkinnanvaraisia tai hieman epäsuorempia valheita ts. on annettu ymmärtää asian olevan toisin kuin se on, mutta ei ole sanottu ääneen aivan suoraa valetta.

Itse alan pitää todennäköisenä, että ko. pankissa on otettu ihan tietoisesti käyttöön linjaus, että valehtelu ja väärän tiedon jakaminen on ok, jos sillä saadaan siinä tilanteessa pankin etua kasvatettua. Lyhytnäköistä toimintaa kyllä, mutta ehkäpä meneillään olevan kvartaalin tulosta ajatellen noin kannattaa toimia.