Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Torstai, 15.4.2004

Pankit kokoontuivat pohtimaan tietoturvaa

Pankkien tietoturva-asiantuntijat, ohjelmistoyhtiö Microsoft ja Viestintävirasto kokoontuivat eilen Helsingissä pohtimaan Internetin tietoturvariskejä. Kokoontuminen sai alkusysäyksensä, kun tietoturvayhtiö Fleasome esitti MTV3:n 45 minuuttia -ohjelmassa, miten suojatuissakin Internet-yhteyksissä voi siepata käyttäjätunnuksia ja salasanoja. "Internet-kaupankäyntiä tehdään paljon. Kaikki nämä luottokorttien numerot, käyttäjätunnukset ja salasanat ovat haittaohjelman kaapattavissa", johtava asiantuntija Pekka Niskanen Fleasome Oy:stä väittää. Fleasomen TV:ssä esittelemä menetelmä perustuu viime syksynä Internet Explorerissa havaittuun haavoittuvuuteen, joka mahdollistaa suojattujen yhteyksien salasanojen kaappaamisen.

"Ongelma ei ole iso, koska pankit käyttävät vaihtuvia salasanoja. Yhden salasanan käyttöönotto, salasanan paljastuminen ei mahdollista sen uudelleenkäyttöä", suunnittelupäällikkö Timo Ylitalo Suomen Pankkiyhdistyksestä kertoo. Haittaohjelma voi Fleasomen mukaan toimia myös niin, että pankin sivulta maksettu lasku ohjautuu haittaohjelman määräämälle nettirikollisen tilille. Ylitalo kuitenkin vähättelee uhkaa. "Meillä on ollut 200 miljoonaa yksityisasiakkaan tapausta ja tähän mennessä ei ole yhtään tämäntyyppistä rikollista ilmentymää tullut vastaan", Ylitalo kertoo. Microsoft julkaisee Fleasomen esille nostaman asian takia lisäohjeita selaimen käyttäjille.

Lue juttu K2, 15.4.2004 00:05. Lähde: MTV3

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 36 uutta / 36 )
pistettä.
Näytä vain kommentit joilla on vähintään
grhm..
Anonyymi kommentoija, 15.4.2004 01:45:37		 Pisteet: 0
Katsoin ko. ohjelman ja minulta meni hieman ohi, että oliko kysessä oikeasti Internet Explorerin reikä. Haittaohjelma josta puhuttiin muistutti lähinnä perinteistä keyloggeria. Noh, luultavasti jotain on olemassa, tuskin herrat muuten viitsisivät asiasta kokoontua keskustelemaan?

Joka tapauksessa, itse vältän nettipankkiasioimista yleisillä koneilla viimeiseen asti juuri noiden keyloggereiden takia ja koti koneellakin toki ajetaan viimeisimmät päivitykset omaavaa virustorjuntaohjelmaa. Tuntuu hieman turhalta kohdistaa ongelmaa yhteen selaimeen, etenkin kun iso osa ihmisistä asioi nettipankissa kouluissa, kirjastoissa, töissä jne. paikoissa joissa myös muilla on pääsy koneelle. Vaikka tunnuksella ja salasanalla ei mitään radikaaleja juttuja päästäkään tekemään, niin mielestäni ne ovat kuitenkin asioita joita ulkopuolisten ei tarvitse tietää.
Re: grhm..
Anonyymi kommentoija, 15.4.2004 03:29:54		 Pisteet: 0
Katsoin ko. ohjelman ja minulta meni hieman ohi, että oliko kysessä oikeasti Internet Explorerin reikä. Haittaohjelma josta puhuttiin muistutti lähinnä perinteistä keyloggeria. Noh, luultavasti jotain on olemassa, tuskin herrat muuten viitsisivät asiasta kokoontua keskustelemaan? Joka tapauksessa, itse vältän nettipankkiasioimista yleisillä koneilla viimeiseen asti juuri noiden keyloggereiden takia ja koti koneellakin toki ajetaan viimeisimmät päivitykset omaavaa virustorjuntaohjelmaa. Tuntuu hieman turhalta kohdistaa ongelmaa yhteen selaimeen, etenkin kun iso osa ihmisistä asioi nettipankissa kouluissa, kirjastoissa, töissä jne. paikoissa joissa myös muilla on pääsy koneelle. Vaikka tunnuksella ja salasanalla ei mitään radikaaleja juttuja päästäkään tekemään, niin mielestäni ne ovat kuitenkin asioita joita ulkopuolisten ei tarvitse tietää.
Oma kone. Mozilla selaimena ja sähköpostina (tai sen kevytversiot) ja ajan tasalla oleva virustorjunta kunnollisella palomuurilla. Sekä käydä läpi lisäsoftilla silloin tällöin troijalaisten varalta.
Ei julkisilla koneilla niin turvallistahan toi on.
Suurempaa varmuutta hakiessa listaa kaikki ajettavat ohjelmat ja niiden tarkisteet jota tarkistetaan silloin tällöin.
Eikä live-cd käyttökään huonompaa ole jos täysin varma haluaa olla että kone on aina puhdas.

Julkisissa tiloissa kun konsteja on vaikka kuinka paljon mitä käyttää. Hulluinta on kirjautumispakot unohtaen silti estää buuttaus cd-levyiltä, levykkeiltä tai usb muistilta joko unohtaen estää moinen biossista tai unohtaa bios ilman salasanaa.
Äkkiäkös moisessa tuuppaa omat tavarat koneelle pääkäyttäjänä.
Puhumattakaan tavoista mitä turva-aukkojen kautta on käytettävissä.
Re: grhm..
Anonyymi kommentoija, 15.4.2004 10:04:03		 Pisteet: 0
Katsoin ko. ohjelman ja minulta meni hieman ohi, että oliko kysessä oikeasti Internet Explorerin reikä.
Microsoftin edustaja sanoi että se ei ole reikä tai haavoittuvuus vaan ominaisuus. Ilmeisesti dokumentoitu piirre jolla voidaan jotain lisähärpäkettä ohjata HTML session päällä/sivussa.

Mutta se toimii vain Explorerissa, Operassa (esim) ei ole samaa toiminnallisuutta. Joten lisätään aiemmin luetelluihin turvallisuustoimenpiteisiin vielä turvallisen selaimen käyttö.
Joopa joo...
Anonyymi kommentoija, 15.4.2004 03:10:37		 Pisteet: 0
Minäkin katsoin ohjelman ja se oli kai jonkinlainen keyloggerin ja välimies-hyökkäyksen yhdistelmä. En tiedä että oliko siinä myös se reikä kysymyksessä missä voidaan osoiterivillä oleva osoite väärentää toiseksi kuin se sivu millä ollaan.

Tässä pari vuotta sitten yksi kaveri kyseli nettipankin luotettavuudesta ja yhden kaverin kanssa sille yritettiin kertoa että tämän tapainen hyökkäys teoriassa mahdollista mutta aika hankala toteuttaa. Kaveri ei uskonut meitä ja oli soittanut pankkiin, pankkivirkailija oli tyrmännyt tälläisen mahdollisuuden suoralta kädeltä niin kuin asiaan kuuluu. Eihän se virkailija tietenkään voi sanoa että tommoinen olisi edes teoriassa mahdollista jos haluaa pitää työnsä. Mutta kiinnihän tollaisesta jää, ainakin jos siirtää rahat omalle tilille.

Minä ainakin maksan kortilla automaatilla kaikki laskut vaikka on kotonakin kone. En siksi että pelkäisin tuollaista, vaan sen takia että jos palvelupaketista maksaa niin pitää pankilla jotain kulujakin olla kun ei enään kerran pankkisaleistakaan vuokraa maksa :).

Kyllä noi yleisten paikkojen koneet on vähän niin ja näin. Yhtenä päivänä tyttöystäväni totesi että kun meni eräälle yleisessä käytössä olevalle koneelle, niin kun hän meni webbimailiin niin ei tarvinnut salasanaa ollenkaan. Ja tätä ei aiheuttanut mikään virus, bugi tai haitta-ohjelma. Käsittämätöntä että ohjelmissa on ominaisuutena tälläinen salasanojen muistaminen taikka ainakin huonoa ylläpitoa.
Re: Joopa joo...
Anonyymi kommentoija, 15.4.2004 08:39:45		 Pisteet: 0
Minä ainakin maksan kortilla automaatilla kaikki laskut vaikka on kotonakin kone. En siksi että pelkäisin tuollaista, vaan sen takia että jos palvelupaketista maksaa niin pitää pankilla jotain kulujakin olla kun ei enään kerran pankkisaleistakaan vuokraa maksa :).
Näin on, satojen tuhansien asiakkaiden verkkopalveluiden pyörittäminen on tunnetusti ilmaista.
Saunikselta saa nettipuhan EUR 39/kk ja servun voi tunkea vaikka ylläpitäjän sängyn alle...

Käsittämätöntä että ohjelmissa on ominaisuutena tälläinen salasanojen muistaminen taikka ainakin huonoa ylläpitoa.
Käsittämätöntä että kukaan käyttää julkisia koneita minkään kirjautumista vaativan palvelun käyttöön.

Englanninmaalla törmäsin joskus nettikahvilaan jossa koneet asennettiin uudelleen käyttäjän vaihtuessa, eli imagesta posautettiin uusi levykuva koneelle. Operaatioon meni vajaa viisi minuuttia, mutta onpahan ainakin pykälää hankalampi asentaa joukkoon keyloggereita tms (olettaen että levykuva on puhdas). :)
Re: Joopa joo...
Anonyymi kommentoija, 15.4.2004 14:10:45		 Pisteet: 0
Minä ainakin maksan kortilla automaatilla kaikki laskut vaikka on kotonakin kone. En siksi että pelkäisin tuollaista, vaan sen takia että jos palvelupaketista maksaa niin pitää pankilla jotain kulujakin olla kun ei enään kerran pankkisaleistakaan vuokraa maksa :).
Näin on, satojen tuhansien asiakkaiden verkkopalveluiden pyörittäminen on tunnetusti ilmaista.
Saunikselta saa nettipuhan EUR 39/kk ja servun voi tunkea vaikka ylläpitäjän sängyn alle...
Tuskimpa se sentään noin halvaksi pankille tulee, mutta luutavasti paljon halvempaa kuin maksaa työntekijöiden palkat, kiinteistöjen vuokrat ja muut kulut.

Käsittämätöntä että ohjelmissa on ominaisuutena tälläinen salasanojen muistaminen taikka ainakin huonoa ylläpitoa.
Käsittämätöntä että kukaan käyttää julkisia koneita minkään kirjautumista vaativan palvelun käyttöön.
Kaikilla ei ole omia koneita ja ilman konetta voi olla käsittämättömän vaikea lähettää edes webbimailia :).
jampstamp Re: Joopa joo...
jampstamp, 16.4.2004 01:01:34		 Pisteet: 0
Englanninmaalla törmäsin joskus nettikahvilaan jossa koneet asennettiin uudelleen käyttäjän vaihtuessa, eli imagesta posautettiin uusi levykuva koneelle. Operaatioon meni vajaa viisi minuuttia, mutta onpahan ainakin pykälää hankalampi asentaa joukkoon keyloggereita tms (olettaen että levykuva on puhdas). :)
Tuohonhan sopii täydellisesti joku rompulta käynnistyvä käyttis, esimerkiksi Lindows :)
"Joka maataan viljelee huolella..."
Re: Joopa joo...
mxmattil, 15.4.2004 10:36:26		 Pisteet: 0
Englanninmaalla törmäsin joskus nettikahvilaan jossa koneet asennettiin uudelleen käyttäjän vaihtuessa, eli imagesta posautettiin uusi levykuva koneelle.
Jos oikein muistan, noin helsingin yliopistonkin koneet tekivät (ainakin joskus aikoinaan 5v sitten). Siinähän sitten kivasti konejonot kyllä kasvavat kun kone ruksuttaa uutta imagea.
http://www.dvd.to - DVD hakukone
Re: Joopa joo...
Anonyymi kommentoija, 15.4.2004 10:16:25		 Pisteet: 0
Tässä pari vuotta sitten yksi kaveri kyseli nettipankin luotettavuudesta ja yhden kaverin kanssa sille yritettiin kertoa että tämän tapainen hyökkäys teoriassa mahdollista mutta aika hankala toteuttaa. Kaveri ei uskonut meitä ja oli soittanut pankkiin, pankkivirkailija oli tyrmännyt tälläisen mahdollisuuden suoralta kädeltä niin kuin asiaan kuuluu. Eihän se virkailija tietenkään voi sanoa että tommoinen olisi edes teoriassa mahdollista jos haluaa pitää työnsä. Mutta kiinnihän tollaisesta jää, ainakin jos siirtää rahat omalle tilille.
Jep, minäkin kerran kysyin ihan pankkivirkailijalta, että onko mahdollista, että kotikoneelleni on tullut virus, mutta tietenkin pankkivirkailija kertoi, ettei tietokoneelle voi viruksia mennä, enintään ihmiselle ja ehkä linnulle...

Vai oliko se kaverisi kysynyt sittenkin joltain pankin tietoturvaosaston heebolta, tuntuisi olevan enemmän heidän alaansa ;););)
weicco Re: Joopa joo...
weicco, 15.4.2004 08:36:26		 Pisteet: 0
Minäkin katsoin ohjelman ja se oli kai jonkinlainen keyloggerin ja välimies-hyökkäyksen yhdistelmä.
Tällaista pohdimme joskus tietoturvagurujemme kanssa edellisessä duunissa. Minä en niin kauheasti tuosta tietoturvasta tiedä, että sanokaa viisaammat, jos pähkäilyssä on aukkoja.

Mennään johonkin kirjaston koneelle ja säädetään konffista se käyttämään meidän proxyamme. Kun asiakas ottaa yhteyden kirjastosta pankkiin, näytellään asiakkaalle pankkia. Annetaan asiakkaalle Osuuspankk.fi niminen sertifikaatti, asiaks tod. näk. hyväksyy sen mukisematta. Kysytään asiakkaalta normaalisti tunnus ja salasana. Otetaan yhteys pankkiin ko. tunnuksilla. Lopuksi muutetaan saajan tilinumero omaan Sveitsiläiseen tilinumeroomme ja hymyillään :)
Join me! Together we can rule the galaxy as father and son.
jst Re: Joopa joo...
jst, 15.4.2004 09:24:47		 Pisteet: 0
Mennään johonkin kirjaston koneelle ja säädetään konffista se käyttämään meidän proxyamme. Kun asiakas ottaa yhteyden kirjastosta pankkiin, näytellään asiakkaalle pankkia. Annetaan asiakkaalle Osuuspankk.fi niminen sertifikaatti, asiaks tod. näk. hyväksyy sen mukisematta. Kysytään asiakkaalta normaalisti tunnus ja salasana. Otetaan yhteys pankkiin ko. tunnuksilla. Lopuksi muutetaan saajan tilinumero omaan Sveitsiläiseen tilinumeroomme ja hymyillään :)
Tuohan kuulostaa käytännölliseltä. Itsellä lähinnä tuossa uutista lukiessa liikkui seuraava mielessä: Virustellussa koneessa Osuuspankki -sivustolle mentäessä formin kentästä "saajan tilinumero" postataan eteenpäin se oma sveitsiläinen, ja vaihdetaan näyttöön aito. Enpäs tiedä toimisiko.
THE GOAT CAN BE CANCELLED
Andronikos Re: Joopa joo...
Andronikos, 15.4.2004 13:41:46		 Pisteet: 0
Tuohan kuulostaa käytännölliseltä. Itsellä lähinnä tuossa uutista lukiessa liikkui seuraava mielessä: Virustellussa koneessa Osuuspankki -sivustolle mentäessä formin kentästä "saajan tilinumero" postataan eteenpäin se oma sveitsiläinen, ja vaihdetaan näyttöön aito. Enpäs tiedä toimisiko.
Paitsi että pitäisi saada se vaihtuva avainluku jollain tapaa tietoonsa. Sampopankki ainakin käyttää aina tilisiirtojen ja maksujen yhteydessä tällaista 12345678-muotoista salaista numeroa, joka pitää sýöttää annetun avainluvun jälkeen. Käyttäjän on melkoisen mahdotonta pätevää tilisiirtoa tehdä, jos tätä lukua ei kysytä. Lisäksi itsensä lisääminen maksujen saajaluetteloonkaan ei onnistu ilman tällaista avainlukua.
"I am angry, but fools seldom fail to draw my ire."
Re: Joopa joo...
Anonyymi kommentoija, 15.4.2004 16:09:39		 Pisteet: 0
Tuohan kuulostaa käytännölliseltä. Itsellä lähinnä tuossa uutista lukiessa liikkui seuraava mielessä: Virustellussa koneessa Osuuspankki -sivustolle mentäessä formin kentästä "saajan tilinumero" postataan eteenpäin se oma sveitsiläinen, ja vaihdetaan näyttöön aito. Enpäs tiedä toimisiko.
Paitsi että pitäisi saada se vaihtuva avainluku jollain tapaa tietoonsa. Sampopankki ainakin käyttää aina tilisiirtojen ja maksujen yhteydessä tällaista 12345678-muotoista salaista numeroa, joka pitää sýöttää annetun avainluvun jälkeen. Käyttäjän on melkoisen mahdotonta pätevää tilisiirtoa tehdä, jos tätä lukua ei kysytä. Lisäksi itsensä lisääminen maksujen saajaluetteloonkaan ei onnistu ilman tällaista avainlukua.
Eri pankkien nettipalveluissakin on pieniä eroja. Osuuspankki kysyy ensin tunnuksen ja salasanan, jonka jälkeen pitää syöttää nelinumeroinen kertakäyttöinen tunnus, että pääsisi tilitietoihin käsiksi. Sen jälkeen ei enää kyselläkään mitään.

Säästöpankit ja paikallisosuuspankit taas päästävät tutkimaan tilitietoja pelkällä tunnuksella ja salasanalla. Laskunkin voi kirjoittaa, mutta raha ei lähde tililtä minnekään ennen kuin naputtelee 6-numeroisen vahvistustunnuksen joita on muistaakseni satakunta erilaista. Vahvistustunnukset eivät ole kertakäyttöisiä. Salasanaa kehoitetaan vaihtamaan noin kuukauden välein.

Nordealla on tunnus ja kertakäyttöinen nelimumeroinen salasana, joilla pääsee tutkimaan tilitietoja. Raha lähtee tililtä vasta erillisen vahvistustunnuksen (4 merkkiä) syöttämisen jälkeen. Vahvistustunnukset eivät ole kertakäyttöisiä.

Mutu-tuntumalta voisi arvioida, että Nordean ratkaisu on näistä turvallisin, mutta loppujen lopuksi se suurin kaikki turvallisuutta kohottavat tekijät eliminoiva tietoturvareikä istuu tuolin ja näppiksen välissä. Nettipankkeja voisi kuitenkin pitää melko turvallisina. Suurempi riski on automaatilla joutua ryöstön uhriksi.
Andronikos Näinhän se on
Andronikos, 15.4.2004 16:43:29		 Pisteet: 0
Mutu-tuntumalta voisi arvioida, että Nordean ratkaisu on näistä turvallisin, mutta loppujen lopuksi se suurin kaikki turvallisuutta kohottavat tekijät eliminoiva tietoturvareikä istuu tuolin ja näppiksen välissä. Nettipankkeja voisi kuitenkin pitää melko turvallisina. Suurempi riski on automaatilla joutua ryöstön uhriksi.
Näinhan se on. On hyvä pitää mielessä, ettei kukaan ole Suomessa vielä todistettavasti joutunut kuvatunlaisen verkkokavalluksen kohteeksi. Paljon suurempi riski on maksaa ihan vapaaehtoisesti jollekin huijarille palvelusta, jota ei tule koskaan saamaan tai jonka toiminnasta ei anneta minkäänlaisia takuita.
"I am angry, but fools seldom fail to draw my ire."
weicco Re: Joopa joo...
weicco, 15.4.2004 18:16:34		 Pisteet: 0
Paitsi että pitäisi saada se vaihtuva avainluku jollain tapaa tietoonsa. Sampopankki ainakin käyttää aina tilisiirtojen ja maksujen yhteydessä tällaista 12345678-muotoista salaista numeroa, joka pitää sýöttää annetun avainluvun jälkeen. Käyttäjän on melkoisen mahdotonta pätevää tilisiirtoa tehdä, jos tätä lukua ei kysytä. Lisäksi itsensä lisääminen maksujen saajaluetteloonkaan ei onnistu ilman tällaista avainlukua.
No eihän se ole temppu eikä mikään odotella, että pankki kysyy meiltä sitä tunnusta, jonka jälkeen kysytään se uhrilta, kun kerran olemme siinä välissä :)
Join me! Together we can rule the galaxy as father and son.

Anonyymi kommentoija, 15.4.2004 08:27:25		 Pisteet: 0
tietoturvayhtiö Fleasome esitti MTV3:n 45 minuuttia -ohjelmassa, miten suojatuissakin Internet-yhteyksissä
voi siepata käyttäjätunnuksia ja salasanoja.
Vaan kun ei voi kun se yhteys on ssl -rotokollalla salattu.
Sen sijaan Fleasome on rakennellut oman häkkyrän jolla tunnukset saadaan urkittua *ennen* niiden salausta.

Eli https on turvallinen yhteystapa, mutta jos koneella on ajossa tietoja keräävä haittaohjelma niin tietoturva on kyllä ollut menneen päivän lumia jo aiemmin.

Mielestäni suojatun pankkiyhteyden käyttäminen on aivan yhtä turvallista kuin ennenkin, kunhan työasemalla on virusturva ja päivitystaso ajantasalla, ja käyttäjä ei itse asenna/aja tuntemattomia ohjelmia.

Missähän se uutisarvo tässä oli?
Re:
Anonyymi kommentoija, 15.4.2004 14:08:44		 Pisteet: 0
SSL-protokolla on altis man-in-the-middle -hyökkäyksille eikä
siten täysin turvallinen. kyseinen hyökkäys ei vaadi mitään haittaohjelmia itse yhteyden muodostavalle koneelle. Joskin hyökkääjällä on kuitenkin oltava pääsy, jollekin koneelle, josta tuon "uhrin" liikennettä voidaan salakuunnella ja siihen väliin päästä.
Re:
Anonyymi kommentoija, 15.4.2004 14:16:20		 Pisteet: 0
Vaan kun ei voi kun se yhteys on ssl -rotokollalla salattu. Sen sijaan Fleasome on rakennellut oman häkkyrän jolla tunnukset saadaan urkittua *ennen* niiden salausta.
Eli https on turvallinen yhteystapa, mutta jos koneella on ajossa tietoja keräävä haittaohjelma niin tietoturva on kyllä ollut menneen päivän lumia jo aiemmin.
Mielestäni suojatun pankkiyhteyden käyttäminen on aivan yhtä turvallista kuin ennenkin, kunhan työasemalla on virusturva ja päivitystaso ajantasalla, ja käyttäjä ei itse asenna/aja tuntemattomia ohjelmia.
Missähän se uutisarvo tässä oli?
Eipä tuo SSL peruskäyttäjällä väärinkäytöksiä estä. Jos siihen proxyn saa väliin, niin sen jälkeen saattaa hieman selain nikotella, kun on sertifikaatti vaihtunut, mutta peruskäyttäjä hakkaa yes-nappulaa niin kauan, kun päästään eteenpäin. Loppu onkin sitten proxyn tekijän mielikuvituksesta kiinni. HST-kortin kaltaisella client side-sertifikaatilla olisi oikeastikin käyttöä.
Grep
Anonyymi kommentoija, 15.4.2004 08:45:24		 Pisteet: 0
Tämä nyt oli taas näitä MTV3:n itse itselleen tekemiä uutisia. Keyloggereissa nyt ei ole mitään uutta.
Re: Grep
Anonyymi kommentoija, 15.4.2004 09:18:59		 Pisteet: 0
Tämä nyt oli taas näitä MTV3:n itse itselleen tekemiä uutisia. Keyloggereissa nyt ei ole mitään uutta.
Suurin uutinen tuossa oli että Suomessa on myös Fleesome niminen tietoturvayritys, se taisi olla koko jutun pointti?
Re: Grep
Anonyymi kommentoija, 15.4.2004 12:58:31		 Pisteet: 0
Tämä nyt oli taas näitä MTV3:n itse itselleen tekemiä uutisia. Keyloggereissa nyt ei ole mitään uutta.
Tuo uutinen oli Savon-Sanomissa joku aika sitten.
"What if..."
Anonyymi kommentoija, 15.4.2004 11:43:56		 Pisteet: 0
Huvittavaa lähinnä
Anonyymi kommentoija, 15.4.2004 17:36:00		 Pisteet: 0
Huvittavaa kuinka Microsoft tunkee nyt jokaiseen paikkaan mukaan "tietoturvan kohottamisprojekteihin" sekä valtionhallintoon että yritysmaailmaan. Oikein kummisetä-meininki. Hyvä hetki kunnon propagandalle ja mainospuheille. Pankitkin menevät näemmä vaikka mihinkä lankaan täysin sinisilmäisesti.. puuh.

Ei Microsoft kaikkeen syypää ole, en minä sillä. Keskimäärin teknisesti jopa löytyy laatuakin. Mutta jos joku ei korjaa niitä asioita, jotka voisi helposti korjata, .. Sen sijaan tehdään lisäbisnes ja tuupataan PR:llä koko asia melkein nurinkuriseksi. Hahhah
Vanha juttu
Anonyymi kommentoija, 18.4.2004 21:37:58		 Pisteet: 0
Tuo IE:n kaappauksen mahdollsitava OnBeforeNavigate2 event on vanha juttu. Se toimii http ja https protkollille suoraan. Sillä saa suoraan mm. lomakkeiden POST datan. Hyvää ja ilmaista mainosta fleasomelle! Mutta, jonkun pitää aina avata ensin suu, että asiat tulevat julkisiksi. Kuka keksii vielä näppäimistohookin vaarallisuuden ja mainostaa omaa tuotetta siinä rinnalla?

Ihmeellistä asiassa on kyllä pankkien suhtautuminen asiaan. Mm nordean solo-palvelun tunnistautuminen vaatii tunnuksen ja vaihtuvan salasanan sisäänkirjautumisessa. Miten käy skenaariossa, jos ilkeä sovellus on koneessa ja käyttäjä syöttää virheellisesti tunnuslukutaulukosta liian suuren luvun esim. seuraavan mikä ei ole vielä vuorossa. Sen voi kaapata ja joku voi käyttää tuota tunnusta käyttäjän nimissä asiointiin. No nordealla on kyllä vahvistustunnukset mutta käsittääkseni niitä kierrätetään, eli voivat olla joskus samoja. Mutta tili ja asiakastietoihin pääse ilman vahvistuksia kiinni.

-jokainen sovellus on tietoturvariski
Kauhea hälinä ..
mxmattil, 15.4.2004 09:19:23		 Pisteet: 0
.. ei yhtään mistään. Pankkien nyt varmaan piti kuitenkin jotenkin reagoida kun julkisessa sanassa esitetään tällaisia älyttömyyksiä mutta kuitenkin..

Kun kaikki pankit käyttävät kertakäyttöisiä tunnuksia, ei ole mitään väliä vaikka hurrja krakkeri keyloggerillaan saakin kertakäyttöisen salasanan varastettua. Siinä tilanteessa se on jo käytetty. Ja tämäkin vaatii että käyttäjä on _itse asentanut_ koneelleen vakoilu-ohjelman. Onko ihme jos vakoilua varten asennettu ohjalma vakoilee käyttäjän näppäimenpainlluksia?

Muutenkin tuo "paljastus" oli selvästi suunniteltu enemmänkin tietoturvafirman omaksi mainokseksi kuin vakavasti otettavaksi kommentiksi. Firma kun "ihan vaan sattumalta" valmistaa palomuureja ja tietoturvan tarkistustuotteita.
http://www.dvd.to - DVD hakukone
Re: Kauhea hälinä ..
mxmattil, 15.4.2004 10:41:25		 Pisteet: 0
Tämmöinenkin vielä yrityksestä löytyi. Ovat pojat löytäneet uuden kanavan mainostaa nähtävästi (spammin lisäksi siis).

http://www.cis.hut.fi/kaip/spam/spammerit.html#fle...
http://www.dvd.to - DVD hakukone
Hypnos Re: Kauhea hälinä ..
Hypnos, 15.4.2004 11:15:42		 Pisteet: 0
Kun kaikki pankit käyttävät kertakäyttöisiä tunnuksia, ei ole mitään väliä vaikka hurrja krakkeri keyloggerillaan saakin kertakäyttöisen salasanan varastettua. Siinä tilanteessa se on jo käytetty. Ja tämäkin vaatii että käyttäjä on _itse asentanut_ koneelleen vakoilu-ohjelman. Onko ihme jos vakoilua varten asennettu ohjalma vakoilee käyttäjän näppäimenpainlluksia?
Esitettiinhän myös "man in the middle" implementaatio, joka nyt mielestäni on jo turvaongelma, joka tulisi huomioida. Pankkiyhteys nojaa mielestäni liikaa 3-party selaimiin, joiden "ominaisuuksien" ansiosta näiden "haittaohjelmien" (45min suomennus) valmistus on mahdollista. Verkkopankit voisivat harkita oman yhteysohjelman rakentamista.

Ehkä ongelma on suurempi verkkomaksu palvelujen kanssa, jotka eivät käytä vaihtuvia salasanoja. Muuten en kyllä ymmärrä mitä ihmeellistä on keyloggerissa joka osaa lähettää kaappaukset verkkoon, virusskanneri tunnistaa mokomat demonit... Paljon melua tyhjästä.

Itse maksan kyllä laskuni tulevaisuudessakin netissä.
Re: Kauhea hälinä ..
Anonyymi kommentoija, 15.4.2004 13:42:06		 Pisteet: 0
Verkkopankit voisivat harkita oman yhteysohjelman rakentamista.
Toivottavasti tuohon pisteeseen ei tulla koskaan enää. Näitähän yhteen aikaan kovasti oli, enkä minkään muun softan kanssa ikinä ole joutunut yhtä paljon mikrotukea antamaan.

Parempaan turvallisuuteen en usko, luotan kumminkin siihen että Microsoftin ja Netscapen/Mozilla.orgin ja Operan väki on astetta pätevämpää kuin jonkun Novon tai Tietoenatorin, jonka ne pankit luultavasti palkkaisivat clienttiään vääntämään. Niihin pankkisoftiinhan siis pikapikaa haittasovellus ilmestyisi.

Tahdotko todella paluuta aikaan, jolloin olet sidottu yhteen ainoaan tietokoneeseen, johon on asennettu juuri se clientti mitä milloinkin tarvitset. Jos haluat käyttää yhteyttä muualta, on ensin selvitettävä onko käyttöjärjestelmä oikea, salliiko lisenssi clientin levittämisen yms.

Kaikenmaailman FoxPro-virityksiä ja muita perinteisen client-server mallin-ohjelmia korvataan yrityksissä muutenkin kovalla tohinalla selainpohjaisilla sovelluksilla. En näe syytä miksi pankit lähtisivät päinvastaiselle linjalle.
Hypnos Re: Kauhea hälinä ..
Hypnos, 16.4.2004 03:04:14		 Pisteet: 0
Tahdotko todella paluuta aikaan, jolloin olet sidottu yhteen ainoaan tietokoneeseen, johon on asennettu juuri se clientti mitä milloinkin tarvitset. Jos haluat käyttää yhteyttä muualta, on ensin selvitettävä onko käyttöjärjestelmä oikea, salliiko lisenssi clientin levittämisen yms.
Ehkäpä olet oikeassa. Lisessi sotkuihin en tosin näe aihetta, OS ongelman voisi ratkaista aina niin siirrettävällä Javalla... Mutta ehkä "if it ain't broken don't fix it" hokema pätee tässäkin. Odotellaan nyt ainakin sitä ensimmäistä rikosilmoitusta.

Tänään käväisin muuten veikkauksen sivuilla lyömässä vetoa. Yhteyskone sen verran avoin ja veikkauksen tilillä sen verran rahaa, että selvä turvallisuusriski... Miksi ei veikkaus järjestänyt kriisikokousta, kun mediaa pelkäävät pankit niin joutuivat tekemään?
Djadja-P Re: Kauhea hälinä ..
Djadja-P, 15.4.2004 17:51:35		 Pisteet: 0
Pankkiyhteys nojaa mielestäni liikaa 3-party selaimiin, joiden "ominaisuuksien" ansiosta näiden "haittaohjelmien" (45min suomennus) valmistus on mahdollista. Verkkopankit voisivat harkita oman yhteysohjelman rakentamista.
Ei helvetti! Ei takaisin 70-luvulle. Verkkopankit voisivat ehkä kieltää IE:n käytön selaimena. Tai ainakin ne voisivat hiukan enemmän kiinnittää huomiota systeemiensä toimimiseen muillakin selaimilla.
--
Ammutaanhan navetassakin!
Re: Kauhea hälinä ..
mxmattil, 15.4.2004 14:23:00		 Pisteet: 0
Esitettiinhän myös "man in the middle" implementaatio, joka nyt mielestäni on jo turvaongelma, joka tulisi huomioida.
Tuo mainitsemasi implementaatio oli kyllä lokaaliohjelma joka koukutti itsensä lokaalin IE:n apiin. Ei tuollainen eroa tavallisesta keyloggerista mitenkään muuten kuin implementaatiotavalla.

sellaista implementaatiota jossa itse yhteyttä olisi vakoiltu joltain muulta koneelta (eli ns. man in the middle-kone) ei ohjelmassa esitetty lainkaan. Ainoastaan local-eksploitti jossa käyttäjä oli itse asentanut vakoiluohjelman joka lähetti toiselle koneelle käyttäjän tekemät asiat.
http://www.dvd.to - DVD hakukone
jjx AUTS
jjx, 15.4.2004 16:59:55		 Pisteet: 0
Voivoi. Minä menin jo iloitsemaan viime viikolla että koko vitsi menikin suhteellisen pienellä kohulla ohi. Tietoviikko ja joku toinen lehdykkä oli mennyt lankaan ja copy pastennut fleasomen markkinointiviestin sivuilleen. Vaan eiköhän sitten pitänyt maikkarinkin tötöillä ja Iltalehti seurasi sitten tyylikkästi perässä.

Kieltäydyn uskomasta että esim. Firebirdin ja vastaavien rajapinnat olisivat niin primitiivisellä tasolla, että niihin ei voi tehdä vastaavanlaisia laajennuksia. Kyllä tuollaiselle löytyy ihan oikeitakin käyttötarkoituksia.

Firman puolustelut omalla boardillansa vetävät vähän suupieliä virneeseen: http://netti-kilpi.fleasome.com/cgi-bin/yabb/YaBB.... :
"Lisäksi KeyLoggerin asentaminen vaati jo jonkin verran (asennus)toimia - IE:n em. ominaisuuden hyödyntäminen ei välttämättä vaadi samanlaista proseduuria. "
Re: AUTS
Anonyymi kommentoija, 15.4.2004 21:00:03		 Pisteet: 0

"Lisäksi KeyLoggerin asentaminen vaati jo jonkin verran (asennus)toimia - IE:n em. ominaisuuden hyödyntäminen ei välttämättä vaadi samanlaista proseduuria. "
Juu.. Ei se keyloggerin koodaaminen ole todellakaan edes vaikeaa Windowsille. Ja niinkuin tuli jo todettua, totta helvetissä tuntemattoman ohjelman avaaminen on tietoturvaongelma..

Kyllä nyt sai firma hyvää mainosta kohtuullisella vaivalla. En väitä ettei heidän löytönsä olisi kiva, mutta se uutisoitiin väärin.
JuZZe Re: AUTS
JuZZe, 15.4.2004 17:46:44		 Pisteet: +1
Kieltäydyn uskomasta että esim. Firebirdin ja vastaavien rajapinnat olisivat niin primitiivisellä tasolla, että niihin ei voi tehdä vastaavanlaisia laajennuksia. Kyllä tuollaiselle löytyy ihan oikeitakin käyttötarkoituksia. "Lisäksi KeyLoggerin asentaminen vaati jo jonkin verran (asennus)toimia - IE:n em. ominaisuuden hyödyntäminen ei välttämättä vaadi samanlaista proseduuria. "
Mikäli käsitin oikein Fleasome oli kyhäänyt ActiveX komponentin joka rekisteröi itsensä Internet Explorin "työkaluksi" tai lisäpalikaksi. Tämmöisiä ovat esim. hakukoneiden hakupalkit joita voi asentaa helpottamaan surffausta.

Oma spekulaationi 45-minuuttia ohjelmassa esitellystä kyhäelmästä:

"Itsestään asentuva haittaohjelma kun CD-levyn laittaa asemaan." Eli autorun-ohjelma joka vain rekisteröi kyseisen ActiveX komponentin ilman ilmoitusta. Ei mitään uutta.

IE antaa vapaat kädet ActiveX palikoilleen koskien selainta, käyttäjän napinpainallukset ja klikkaukset voidaan napata jotta pystyisit ohjaamaan käyttäjän toimia haluamallasi tavalla. Esim. kertomalla viereisessä palkissa että "Tämän sivun kaltaisia sivustoja löytyy myös täältä.." kun käyttäjä osoittaa linkkiä.

Fleasomen viritys vain tallentaa napinpainallukset ennen kuin selain itsessään tekee yhtikäs mitään.
"Pahis" tai "kolmas osapuoli" joka haluaa saada käsiinsä nettipankin tunnukset avaa ActiveX komponentin oman pienen webpalvelimen luoman web-sivun. (tv-ohjelmassa näytetty yksinkertainen veppisivusto johon tuli uutta dataa kun käyttäjä oli painanut nappejansa). ActiveX komponentti on asetettu havaitsemaan nettipankkien sivupohjan jolloin se alkaa tallentamaan napinpainalluksia ja esittämään ne omalla sivullaan jota Pahis lukee.

Joten tässä on kyse ominaisuudesta, ei mistään tietoturvareijästä saatikka HTTPS-protokollan rakenteesta.

Mutta tässä on mahdollisuus väärinkäyttöön vaikka käytössä olisi pankin juoksevat tunnukset. Mikäli Pahis samanaikaisesti seuraa uhrinsa toimia ja IEn ActiveX rajapinta sallii komponentin puuttumisen itse sivuun, voi pahis hyväksikäyttää tiliä. Pahis koodaa palikkansa emuloimaan Nordean palvelua, kun käyttäjä syöttää tunnukset Solon kenttiin, ne eivät menekkään perille asti vaan palikka kaappaa ne ja esim. ohjaa selaimen virhesivulle "Solo on huoltotöiden takia hetkellisesti poissa käytöstä". Sitten Pahis ottaa tunnukset, kirjautuu niillä sisään ja tekee tekonsa. Onneksi tämän suojaamiseksi on maksut hyväksyttävä syöttämällä ei niin usein vaihtuva koodi erilliseltä listalta, joten Pahiksen on tiedettävä suurin osa niistä jo entuudestaan, eli pidemmän ajan vakoilun avulla.
Seuraavan kerran uhrin koittaessa kirjautua palevuun, Solo ilmoittaa että tunnus on jo käytetty, käyttäjä tuumaa "jaha" ja nappasee seuraavan listalta.


Näissä tempuissa ei ole mitään uutta eikä mullistavaa, enempi median aiheuttamaa turhaa pelkoa peruskäyttäjien silmissä. Fleasomen puolesta tämä haiskahtaa onnistuneelta mainostempulta. Väliäkö sillä tuleeko myöhemmin negatiivista palautetta, saavatpahan ainakin myytyä tuotteitansa.
Minun kantani/mielipiteeni/näkökulmani asiaan. Minä pidän siitä kiinni kunnes toisin todistetaan, korjatkaa kuitenkin jos olen väärässä.
ricardo Voiko talo palaa koskaan, jos ei aikaisemmin tiedossa?
ricardo, 20.4.2004 15:37:22		 Pisteet: 0
Suunnittelupäällikkö Timo Ylitalo Suomen Pankkiyhdistyksestä?
Miten voi asiantuntija tuollaista vääntää, lukemattomat kerrat on tapahtunut, että nämä rikolliset tapaukset tulevat tietoon vasta vuosien kuluttua, jos kerran kiistattomasti esitetään tällainen väärinkäytön mahdollisuus, siihen pitäisi saada korjaus välittömäst, ennen kuin virhe tapahtuu?

Ricardo tietoturvatutkija!