S-Pankin tietoturva-aukko käytännössä

Eilen nousi kohu S-Pankin suojatuissa pankki-istunnoissaan käyttämän Google-analytiikan aiheuttamasta tietovuodosta tai tietoturva-aukosta. Mutta jos oletetaan, että Google käyttää saamiaan tilinumeroja ja muita tietoja S-Pankin kanssa tekemänsä sopimuksen mukaisesti, niin mitä haittaa asiasta voi olla? Valitettavasti paljonkin.

Jos jollakin taholla (esim. virus, hakkeri, katkera ex-puoliso, jne.) on pääsy tietokoneellesi, se/hän voi varsin helposti ohjata esimerkiksi verkkopankkiliikenteesi johonkin ihan muuhun osoitteeseen ja yrittää toteuttaa ns. mies välissä -hyökkäyksen.

Tämä kuitenkin paljastuu nykyisin tarkkaavaiselle käyttäjälle helposti, koska kaikkien pankkien ja monien muidenkin tietoturvastaan huolehtivien sivustojen vierailijoille näkyy selaimen osoitepalkissa vihreä, yrityksen nimellä varustettu ilmoitus sivuston salauksesta. Esimerkiksi mentäessä Chromella S-Pankkiin, osoitepalkin vasemmassa reunassa on vihreällä pohjalla lukko ja teksti "S-Pankki Oy [FI]". Tällaisen SSL-sertifikaatin väärentäminen on erittäin vaikeaa. Tämä myös näkyisi pankille, koska se saisi epäilyttävää liikennettä epäilyttävästä osoitteesta eikä asiakkaan tutulta koneelta.

Mutta jos tällä tavalla suojattu sivusto lataa ulkopuolisia skriptejä käyttäjän koneelle, niin hyökkääjälle riittää tämän skriptin väliin meneminen, ja koska selain ei näytä tietoja skriptien SSL-sertifikaateista, niin tähän riittää lähes mikä tahansa sertifikaatti. Jotkut selaimet eivät tässä tilanteessa välttämättä varoita edes itseallekirjoitetusta sertifikaatista, mikä antaisi täydellisen vapaat kädet hyökkäyksen suorittamiseen.

Tällaisella välistä vedetyllä skriptillä hyökkääjä pääsee käsiksi kaikkeen verkkopankin toimintaan asiakkaan istunnossa eikä pankki huomaa mitään, koska kaikki toiminta tapahtuu asiakkaan päässä. Valitettavasti myöskään asiakas ei huomaa mitään, koska pankki oli se, joka mahdollisti hyökkäyksen.

Jos joku haluaa lisäksi sovittaa foliohattua päähänsä, niin muitakin uhkakuvia löytyy. Esimerkiksi NSA (vai tarvitaanko tähän enää sitä foliohattuakaan?) voisi pakottaa Googlen lähettämään erilaisen skriptin tietyille asiakkaille kerätäkseen tietoja näiden rahaliikenteestä. Tällöinkään pankki ei huomaisi mitään, koska haitallinen skripti menisi suoraan asiakkaille kulkematta pankin kautta, eikä pankin mahdollisiin pistotarkastuksiin tietenkään tarjoiltaisi haitallista skriptiä.

Naurettavinta tässä on se, että analytiikan keräämiseen on lukuisia ja parempiakin työkaluja, jotka toimivat palvelinpuolella ilman erillisten skriptien lataamista. Mutta S-Pankin tiedotus on ainakin Twitterissä valinnut jankuttavan linjan siitä, että mitään ongelmaa ei ole... Ei näin, ei todellakaan näin.

Leave a Reply

Your email address will not be published. Required fields are marked *