Ei toimi näköjään Operalla tuo javahässäkkä.

Jos olisin Sammon asiakas, olisin jo vaihtanut pankkia. En siksi ettenkö luottaisi tietoturvaan, vaan siksi etten vain pidä siitä että asiat tehdään huonosti ja vaikeasti kun Ei Vain Osata. Yllättäen Tunator asialla.

Ihan piruuttaan voisi purkaa nuo classit JADilla ja katsoa mitä kivaa tuolta löytyy. Ei vain jaksa.

“Tietoturvaohjelmisto”, jossa sanotaan system(”uname -a > %s”) (jossa %s arvotaan jossain muualla päin koodia , ei mitään takeita etteikö se sisältäisi esim, ;/bin/rm -rf /:tä) on kyllä sen verran arveluttava, että en sitä käyttäisi…

Tämä viimeaikoina tutuksi tullut “muzzy” (www.lapsiporno.info) on ilmeisesti jo löytänyt potentiaalisen turvareiän, joka mahdollistaa asiakkaan koneen kaappaamisen, että gj Sampolle.

Ei kait sovellusten tekeminen Java-appletteina ole sen kummallisempi ratkaisu kuin Flashinä tai muussa selaimen sisällä olevassa ajoympäristössä. Kummallista on se, jos Java-sovelmaa käytetään vain sisäänkirjautumistoiminnossa, eikä itse sovelluksen toteutuksessa.

Tuon JNI:n kauhistelu on myös vähän liioiteltua. Kyllähän nyt tietokoneissa natiivikoodia ajetaan. JRE- ja Flash-pluginit ovat natiivikoodia. Selain on natiivikoodia. Käyttöjärjestelmä on natiivikoodia. Aika monia nettipalveluita käytetään erillisesti asennettavilla natiiviohjelmilla. Ongelma tässä on siten vain se, että kun Javasovelmat ovat hiekkalaatikossaan tavallisesti natiiveja turvallisempia, niin tuollaiset ratkaisut heikentävät tätä parempaa turvaa tavallisemmalle tasolle.

tuo pcid.dll on jännittävä:

- windows-versio ja tuotekoodi (ei tuoteavain)
- työaseman bios-versio/tunniste
- vapaan levytilan määrä
- akun tila (jos käytössä/olemassa)
- näppäimistön tyyppi
- äänikortin tila/merkki
- usb-laitteet/onko kytketty/usb-laitteiden tila
- työaseman merkki ja malli
- näytönohjaimen tyyppi
- prosessorityyppi
- onko e-Safekey-sovellus käytössä (Danske Bankin tietoturvaratkaisu joka asennetaan käyttäjän kotihakemistoon)

Lisäksi pikaisella tarkistuksella löytyi viitteitä siitä, että työasemasta luetaan myös muuta sekalaista tietoa – mitä, se ei suoraan ratkaisusta selviä. Saman rajapinnan kautta (jota ratkaisu käyttää) voidaan kuitenkin lukea esimerkiksi seuraavia tietoja:

- pääkäyttäjän salasanan tila (ei arvoa)
- työaseman nimi, ip-osoite
- kysytäänkö salasana kun työasema käynnistetään
- toimialueen nimi/työryhmän nimi

Ilmeisesti osa tai kaikki tästä tiedostoa siirretään sisäänkirjautumisen myötä takaisin palveluntarjoajalle.

Kirjoittaa toimittaja jonka kieli sojottaa aina kovasti Microsoftin suuntaan. Varsin yllättävää Kyllä Javan tietoturva hakkaa mennen tullen Microsoftin kyhäelmät. Onneksi niitä ei ole otettu verkkopankkeihin enemmälti käyttöön.

Sammon webbisivujen kaatuilukin menee Microsoftin piikkiin. Tänään nurin oli siis “kotisivut”, jotka on MS:n teknologiaa. Way to go MS lovers

Java on implementointiteknologia siinä missä muutkin, ja siitä itkeminen johtuu vain siitä että sen nimi näkyy ensimmäisessä virheilmoituksessa, vaikka koko järjestelmä pykii, ja ongelman varsinaisena ytimenä on se että sörkitään “turhaan” hyvin toimivaa systeemiä jolla on satoja tuhansia jollei miljoonia käyttäjiä.

Ehdotan että kysyt vielä lähteeltäsi, kun hän kutsui tietoturvahistoriaa surkeaksi, mihin vaihtoehtoihin hän vertasi kommentillaan: Mozillaan, IE:hen vai activex:n?

Java suojaa koodaria ja käyttäjää monilta ongelmilta, mutta se ei voi lukea ajatuksia ja estää etteikö koodari voi koodata kiireessä tai ID-10-T virheen johdosta softaa joka siirtäisi rahaa väärälle tilille.

JNI:n yli appletti voi esimerkiksi kysyä Windowsilta että onhan koneessa virusturva asennettuna ja päällä. Tarkemmin katsomatta (korjatkaa jos olen väärässä) se kuitenkin vain yrittää tehdä hashin jonka perusteella koneen jossa sitä ajetaan voisi yksilöidä. Tietämättä mitään pankkijärjestelmistä, voisin arvata että jos joku yrittää tehdä suuren siirron muun maan IP:stä koneesta jonka hashi ei matchaa (eli ei läppäri joka on kuljetettu toiseen maahan), se voidaan flägätä epäilyttäväksi.

Jos en ole ihan väärässä, ja voin olla koska en aja vaan katson softaa, plugari käyttää kuitenkin ihan turhaan temppifilettä, eli koodarit voisivat sisäistää popen()in syvimmän merkityksen.

Helppohan minun on toisaalta besserwisseröidä Nordean asiakkaana.

Mike kirjoitti:
“Kirjoittaa toimittaja jonka kieli sojottaa aina kovasti Microsoftin suuntaan.”

Katkesiko laajakaista vai unohditko muuten vain perustelut? En tunnistanut itseäni väitteistäsi.

Otan mielelläni vastaan negatiivistakin palautetteita ja erilaisia syytöksiä, mutta ilman perusteluita niistä ei ole hyötyä kenellekään. Pistä paremmaksi, tarjoa haastetta.

Olen ollut siinä käsityksessä että tuo järjestelmä on Tanskalaista alkuperää. Javascriptissä näkyy tanskankielisiä kommentteja ja samoin monet virheet ovat tanskaksi mikä tukee tätä olettamusta.

Tuolta jar:sta löytyvästä Windowsin dll:stä löytyy muuten
“Microsoft Visual C++ Runtime Library”

Veikkaisin että niitä äänikortin, uname -a, whoami yms. tietoja mitä Linuxin dll:stä löytyy, käytetään avainten arvonnassa apuna.

No ainakin siinä Sampo menee metsään, että sallii systeeminsä käytön ikivanhoilla Javan versioilla (alkaen JRE 1.4.2). Sammolle siitä ei koidu riskiä, mutta kotikäyttäjälle kyllä. Noin vanhoista Java-versioista löytyy aika tavalla reikiä (esim. kuvien ja fonttien käsittelyssä), joita hyväksi käyttäen se kotikone on korkattavissa jos vain käyttäjä sallii hyökkäysappletin suorituksen.

Jos Sampo välittäisi käyttäjien koneiden turvallisuudesta, heidän kannattaisi määritellä applettinsa toimimaan vain uusimmilla versioilla (1.6.0 jne). Tai vähintään kertoa noin vanhaa käyttäville asiakkaalle, että suosittelee päivitystä ja vanhojen versioiden poistoa.

Appleteissa kun on se ilkeä piirre, että koodaaja voi määritellä sen käyttämään tiettyä reikäistä JRE-versiota, jos se vain on asennettu koneelle. Korjatun Java-version asentaminen ei korjaa ongelmaa täysin, vaan vanhat jäävät levylle hengailemaan ja tarjoamaan ilkiöille hyökkäyspinta-alaa. Tässä on merkittävä ero selaimiin nähden ja tavallinen käyttäjä ei tätä todennäköisesti tiedä.

Toistaiseksi Javan vanhojen versioiden hyväksikäyttö on vain teoreettinen uhka, mutta kohta Danske alkaa olla sen kokoinen, että senkin käyttäjille alkaa olla kannattavaa räätälöidä hyökkäyksiä.

Syyllistyyköhän aloittaja nyt johonkin rikokseen yllyttäessään muita tutkimaan java-pakettia. Sähköisen viestinnän teknisen suojauksen purkaminen? Muiden yllyttäminen samaan hommaan?
En tunne lakia joten joku muu saa kommentoida..

Mikael Gueckin “hash”-pätkässä ei muuten ole mitään järkeä

Mjoo, tuolla on kaikkea hämärää, ja toinen hauska signattu jar löytyy myös:
https://verkkopankki.sampopankki.fi/html/java/danskesikker.jar

Molemmat appletit sisältävät rajapintoja päivityksien tekemiseen, mutta näkyvät käyttävän julkisen avaimen kryptografiaa varmistamaan että käskyt tosiaan tulevat pankilta. Sen sijaan kaikkia muita komentoja ei todellakaan tarkisteta, ja tuossa saattaisi olla saumaa johonkin pahantekoon.

Tilannetta ei helpota se, että analyysini tökkii hieman koska en ole päässyt kertaakaan vielä kirjautumaan sisään pankkiin. Se perkele kun kaataa selaimeni joka kerta. Tätä menoa vaihtuu vielä pankki ja asuntolainakin siirtyy muualle, ihan toivotonta tämmöinen.

“Luotetuissa” java appleteissa on muutenkin ongelmia. Teoriassahan niiden hyöty on siinä, että man in the middle hyökkäykset muuttuvat vaikeammiksi jos tehdään joitain oletuksia. Keskeinen oletus onkin se, että käyttäjän päätyessä phishing-sivulle, tämä EI valitse “kyllä, luotan tähän kontrolliin” vaan kieltäytyy. Sinänsä mielenkiintoinen neuvo, koska pankki itse käskee vastaamaan juuri sillälailla kuin ei saisi. Vastaavasti jos käyttäjän koneelle pääsee troijalainen jollain muulla tavalla, koko scenaario on heti rikki taas, ja javakilkkeen hyöty nolla.

Mutta sitten ne haitat. Oikeasti, pitääkö minun sallia pankin tehdä jotain mystisiä toimenpiteitä MINUN koneellani että voin maksaa laskuni tai hoitaa raha-asioitani? Tässähän oli joku aika se tapaus jossa jonkin lichensteinin tms pankin työntekijä oli lahjottu Saksan poliisin toimesta, ja Saksa aikoo ehkä laillistaa tietomurrot rikostutkinnan keinona. Summa summarum, mikä estää ettei pankin työntekijöitä tai koodaajia lahjota ujuttamaan tietyn asiakkaan koneelle troijalaista, kun pankin sivuilla kerran on oikeus tehdä ihan mitä tahansa operaatioita käyttäjän koneella?

Naiivimpi sanoisi että kun koodaajia ei tiedetä, niin ei tiedä ketä lahjoa. Vaan kappas, javascriptin sorsista löytyy usemman koodaajan nimiä: Nicolai Lyng Als, Claus Witt-Jespersen, Morten Schou Larsen. Niinpäniin.

Ja mitäs muuta kivaa löytyy? sbnbfi.js vaikuttaa hauskalta, siellä on palvelinosoitteet erikseen “test”, “syst” ja “prod” ympäristöille. Siis mitä? Toivottavasti tuo “test” ei viittaa kehitysympäristöön vaan johonkin ihan muuhun. Paha sanoa vielä, en ole ehtinyt tutkia tarkemmin.

Kaikenkaikkiaan minua hämmentää se miten paljon sivuista on tehty staattisella tekniikalla ja javascriptillä. Noissa html-tiedostoissa kulkee urlissa joskus parametreja, mutta ne eivät ole palvelinta varten vaan javascript tulkitsee niitä itse sieltä ja lataa sen mukaan tiedostoja ja generoi framesettejä. Odotan vain innolla löytyykö tuolta XSS-reikiä, vielä ei ole tullut vastaan mutta käytetyssä arkkitehtuurissa on tolkuttomasti potentiaalia sellaiselle ja on saattanut jäädä jotain huomaamatta…

Hitto, juuri ehdin kirjoittaa ettei yhtään löytynyt ja tajusin että minähän löysin yhden mutta tiedostin sen olevan reikä vasta tätä postausta kirjoittaessani. Tässä siis javascriptiä ajava XSS, pankille ei ole ilmoitettu enkä ilmoita, koska eiköhän joku kumminkin kerro:
https://verkkopankki.sampopankki.fi/html/index.html?site=foo&gsPreview=bar&secsystem=;alert(‘fail’);

Joo’oh. Eiköhän siinä ole tarpeeksi tälle illalle. Tuo järjestelmä on susi niin arkkitehtuuriltaan kuin toteutukseltaankin. Täysin perseestä.

Toinen joka tulee ladattua on allaolevassa urlissa, muttei siinä näytä olevan niinpaljoa epäilyttävää, kuin tuossa aikaisemmassa.

https://verkkopankki.sampopankki.fi/html/java/detect.jar

vku: Toivearvasin siis, ettei kerättyjä tietoja lähetetä sellaisenaan takaisin, vaan niistä lasketaan koneen yksilöivä hashi, kun kerran palikassa viitataan SHA256-laskufunktioihin. Jos koneelta jolta käyttäjä ei ole aikaisemmin käyttänyt verkkopankkia, ja vieläpä eri maan IP:stä kuin mistä asiakas normaalisti asioi, tehdään epätyypillinen rahansiirto, siirto ja tili voidaan liputtaa seurattaviksi. Ajoit siis softan, ja niitä käytetään johonkin muuhun, tai ajatus on muuten epäkäytännöllinen?

Tässä soosi joka näyttää mitä tuo linux “dll” kaivelee koneesta:

http://www.iki.fi/sintonen/src/sampo/sampopcid.c

http://img89.imageshack.us/img89/1785/epicmultifailyl2.png

Tässä hieman analyysia appletista.

http://kks.cabal.fi/SampoApplet

Jos tuosta kovinki ilkeää löytyy, niin tuohan alkaa oleen kohta tietoturvaongelma ja -rikos?

“Kyllä Javan tietoturva hakkaa mennen tullen Microsoftin kyhäelmät. Onneksi niitä ei ole otettu verkkopankkeihin enemmälti käyttöön.”

Tuota, käypäs laskemassa montako reikää on ollut esimerkiksi seuraavissa tuotteissa:

- .NET Framework 1.0, 1.1, 2.0, 3.0, 3.5
- ASP.NET 1.0, 1.1, 2.0, 3.0, 3.5
- IIS6, IIS7

ja vertaa sitten Javan, IBM WebSpheren jne reikiin samalta ajalta (ei edes sotketa Apache+PHP:tä tähän, se on niin surkeaa katseltavaa)

Yllätyitkö? Kannattaisiko hieman tutustua asiaan?

“Sammon webbisivujen kaatuilukin menee Microsoftin piikkiin. Tänään nurin oli siis ”kotisivut”, jotka on MS:n teknologiaa. Way to go MS lovers ”

Eli jos minä teen Pythonilla kotisivut täyteen sontakoodia, se on Pythonin vika kun eivät toimi? Kiva, pitääkin käyttää tätä selitystä joskus asiakkaille jos tulee vikoja. “Ei se meidän syy ole, se on C-kielen vika…”

Koko tämä Sammon hässäkkä jatkaa pankin jo jonkin aikaa jatkunutta yksityisasiakkaiden vastaista linjaa (siis yksityisasiakkaiden palvelu heikkenee). Itse vaihdoin jo pari vuotta sitten lähes 50 v jälkeen pankin toiseen, kun havaitsin tilanteen.

Miksi muuten vastuu henkilöt eivät myönnä ongelmia, vaan vastaavat aina kysymyksiin sivusta. Ilmeisesti ei haluta tunnustaa julkisesti ongelmia ja epäonnistumista eli ei olla valmiita ottamaan vastuuta asioista.

Ohjelmien toimivuuden suhteen minulle on jäänyt TietoEnatorista hyvin huono kuva, jatkuvasti saa lukea kuinka heidän toimittamansa se ja se ohjelma ei ole toiminut. Yrityksen vastuu henkilöt sen sijaan ovat kyllä innokkaita välttelemään vastuutaan tyyliin me vain teemme. Epäilyttää siten tuo uuden verkkopankin turvallisuus myös siltä puolen.

Onneksi meillä on vielä vaihtoehtoja, jopa kotimaisia (mehän olemme suomalaisia emme ruotsalaisia tai tanskalaisia).

Isoin ongelma tässä ratkaisussa on juurikin tuo aiemmin mainittu eli kun tämä kirjautumiskikkare pyörii vanhemmissa JRE versioissa niin tulee olemaan asiakkaita jotka esm tämän jutun seurauksena laittavat nyt tuoreen JRE:n ja sitten käyttävät tuota niin kauan kunnes pankki vaatii uudemman. Olettaen että JRE:stä tulee isompia päivityksiä tässä välissä joita ei automaattisesti asennetta (rikkoo yhteensopivuutta tms) ja ne vanhemmat taas vanhenee siten käsiin ettei kaikkia aukkoja enää paikata, niin ei ole kaukaa haettua sanoa että ratkaisu heikentää tietoturvaa a) laajentamalla hyökkäyspinta-alaa (vaikka pankki vaatisi uudemman JRE:n myöhemmin, vanhat jäävät koneelle hyökättäviksi) b) on mahdollista että koneelle jää joku vanha JRE johon ei enää tulekaan päivityksiä entiseen tahtiin. Jotkut pärjäilevät samalla koneella yllättävän pitkään joten tälläisellä 5v+ jaksolla tämä on melko todennäköistä.

Olisiko asia sitten toisin jos käyttöön olisi valittu MS:n tekniikalla tehty kikkare (.net)? Eipä juuri, kyllä MS:ltä varmaan jossain vaiheessa hiipuu kiinnostus päivittää 1.1 versiota kun 1.1 ohjelmat varsin hyvin toimivat uusimmissa .net versioissa. Merkittävin ero tässä onkin jo mainittu yllä, eli JRE:ssä turva-aukkoja ollut selvästi .nettiä enemmän kun katsotaan paria viime vuotta.

Täten pankki kun kerta vaatii tuon asentamisen turvallisuussyistä on kohtuullista sysätä pankin vastuulle myös tuo laajentunut hyökkäyspinta-ala mikäli pankin kikkare ei muistuta siitä että käyttäjien tulisi pitää JRE päivitettynä + tarkistaa ettei koneella ole sellaisia vanhoja JRE versioita mihin ei enää tule päivityksiä.

JRE-päivitykset hoituvat itseasiassa suhteellisen näppärästi. Kun on vähintään 1.4-sarjalainen asennettuna niin käyttäjä saa huomautuksen kun uusi versio tulisi asentaa. 1.4-versio on ollut ulkona jo vuodesta 2002 ja sitä päivitetään edelleen, joten sinällään tuo versiovalinta on aivan oikein tehty.

Jos joku palvelu ei miellytä voidaan sitä aina vaihtaa. Tässä tapauksessa lampsitaan mieleisen pankin tiskille ja sanotaan että haluaisin vaihtaa pankkia tähän. Jos edellisestä pankista joku vaivautuu soittamaan että miksi vaihdoit voi sinne antaa palautetta että miksi. Loppupeleissä pankin vaihto ei ole mitenkään monimutkainen homma.

Äänestäminen jaloilla kannattaa jos siltä tuntuu. Lisäksi jos sillä saa mielenrauhan niin ehdottomasti niin kannattaa tehdä. Itse nyt katselen sen parisen viikkoa miten tuo toimii ja sen perusteella sitten kallistutaan suuntaan tai toiseen, nyt kuppi on kallistunut siihen suuntaan että voisi katsella toista pankkia.

Sääli sinällään, itse pidin tämän uuden verkkopankin UI:sta joka oli MINUN mielestäni mukavampi käyttää.

“JRE-päivitykset hoituvat itseasiassa suhteellisen näppärästi. Kun on vähintään 1.4-sarjalainen asennettuna niin käyttäjä saa huomautuksen kun uusi versio tulisi asentaa.”

Mutta ongelma silti säilyy, eli se “päivitys” ei poista sitä vanhaa, eikä päivitä sitä, vaan asentaa uuden. Eli kohta käyttäjällä on 20 versiota JREstä koneellaan ja kukin softa voi käyttää mitä tahansa niistä. Eli turvareikiä ei poisteta koneelta ollenkaan. Nättiä.

Puhumattakaan siitä että aika moni softa asentaa itse JREn, jota ei sitten päivitetä yhtään mihinkään ellei softapäivityksessä sitä tule. Tämä on oikeasti iso ongelma joissain järjestelmissä.

Herätkää todellisuuteen.. 99% Sammon asiakkaista ei välitä, vaikka verkkopankki olisi toteutettu windows pohjaisella natiivilla ohjelmalla..
Jos Sampo menettää yhden tai kaksi asiakasta sen takia että heillä tämä ‘hieno’ viritys ei toimi (kone on liian vanha, asiakas tietää että java appletit ovat tietoturvariski, tai käytössä on joku muu kuin ie+win yhdistelmä), niin luuletteko että pankin johdosta joku menettää yöunensa?

“Tuota, käypäs laskemassa montako reikää on ollut esimerkiksi seuraavissa tuotteissa”

Vaikka yhteenlaskutaito olisi kuinka hallussa, niin tietoturvan toteaminen puhtaasti reikien määrän laskemalla, ei kerro oikeastaan yhtään mitään.

Sen sijaan tulisi reikien määrän mitata sijasta niiden vakavuutta paikkaamisen nopeutta ja yleensäkin toimijan tiedotuspolitiikan avoimuutta. Eri toimijoilla on erilainen kulttuuri tuotteiden virheistä tiedottamisessa. Toiset kertovat niistä avoimesti ja toiset korjaavat kaikessa hiljaisuudessa, jos nyt korjaavat ollenkaan, ellei asia pääse julkisuuteen.

Mitä Microsoftiin tulee, niin sen historiasta tietoturvan suhteen voi jokainen vetää omat johtopäätöksensä.

Vaihdoin jo pankkia. Security by Obscurity tietoturvamenetelmänä ja vieraan koodin ajamisen pakottaminen _minun_ koneellani sai kamelin selän katkeamaan. Sen lisäksi täysin toimiva verkkopankki luiskattiin Javascript-hirviön tieltä.

Kuka järjissään oleva web-sovelluskehittäjä edes suosii Javascriptiä tuossa mittakaavassa? Jos ammattitaito on tuolla tasolla jo esitystekniikassa, mitä voidaan odottaa muulta toteutukselta? Äkkiseltään tuntuisi, että pankkisovelluksen pitäisi saada aikaan luottamusta.

“Vaikka yhteenlaskutaito olisi kuinka hallussa, niin tietoturvan toteaminen puhtaasti reikien määrän laskemalla, ei kerro oikeastaan yhtään mitään.”

No tuota, kertoo se siinä vaiheessa jos toisen tuotteen reikien määrä on nolla ja toisen menee kymmenissä, ellei sadoissa…

“Mitä Microsoftiin tulee, niin sen historiasta tietoturvan suhteen voi jokainen vetää omat johtopäätöksensä.”

Niin voi. Kehitystä on tapahtunut hurjasti ja tietoturva on hyvällä tasolla, varsinkin palvelintuotteissa. Ja sen lisäksi on tehokkuutta ja ominaisuuksia.

Miten Sampopankki aikoo hoitaa Javan päivitykset
kun sitä ei voi helposti Automaagisoida.

Hyvä esimerkkini on eläkkeelä oleva sukulaiseni jolle olen kasannut Win XP koneen niin että hän itse käytää sitä vain tavallisenna rajoitettuna käyttäjänä.

Käikki ylläpitotoimen hoidan minä (käydessäni kylässä) Järjestelmän valvojana.
Tämä systeemi on timinut hyvin kun käyttis, IE ja MSO pivitykset ovat toimineet automaagissti taustalla vaatimatta mitään aktiivisia toimenpiteitä.

Mutta nyt tämä Java on Suuri Ongelma koska sen kyllä saa asennettua hakemaan päivitykset automaagisesti mutta se tapahtuu vain jois koneelle ollaan kirjautueena Järjestelmänvalvojana (no tämä olisi vielä järjestettävisä) mikä vielä pahempaa päivitykset eivät asennu ilman käyttäjän aktiivista Englannin Kielistä hyväksymistä (ei edes Järjestelmän valvojana kirjauduttaessa) mikä nyt ei kertakaikkiaan käy päinsä.

Kun olen todennut että jos opetan ummikko suomalaisen hyvin raajoittuneen koneenkäyttö taidon osaavan henkilön hyväksymään jonkun oudonkielisen kehotuksen (vaikka syy olisi kuinka hyvä) siitä seuraa herkästi se että hän jatkossa hyväksyy kaikki oudonkieliset kehotukset joita ponnahtelee koneen ruudulle ja sehän johta takuula ongelmiin.

Joten kysynkin miten Sampopankki aikoo jatkossa turvallisesti ja automaagisesti päivittää asiakkaidensa koneiden Javat niin että ne pysyvät turvallisina
(Javastahan löytyy päivitettäviä turva-aukkoja jatkuivasti niin kuin muistakin ohjelmista).

Pitääkö tässä alkaa kehittää tuolle sukulaiselle usb tikku jolla on virtuaalikone joka ajaa käyttistä, javaa, selainta ja palomuuria jota käytetään vain Sammon verkkopankissa käydessä.

Kun silloin ei olisi väliä reikäisyydellä ja nuo Sammon vakoilemat koneetta koskevat tiedot pysyisivät samoina (se javakilkehän näkee vain virtuaalikoneen tiedot).

“No tuota, kertoo se siinä vaiheessa jos toisen tuotteen reikien määrä on nolla ja toisen menee kymmenissä, ellei sadoissa…”

Tarkistapa lähteesi. Kyllä kaikissa mainitsemissasi tuotteissa on ollut reikiä.

En ymmärrä tätä natiivikoodihössötystä. Tietty se natiivikoodi voi tehdä mitä haluaa sen käyttäjän oikeuksilla millä applettia ajetaan. Miten tämä eroaa esim. flashistä? Tätä voisivat miettiä he, ketkä selittävät siitä miten appletit ovat tietoturvariski.

Se, että tuossa jar-paketissa on täysin tarpeetonta (ja harmitonta) natiivikoodia, on tietenkin huolestuttavaa eikä ole omiaan herättämään luottamusta.

JNI-palikan kutsumisen voi muuten myös kieltää appleteilta, tätä ei moni applettien tai Javan kritisoijista varmaankaan edes tiennyt.

ai että tero microsoft mies.. ei kyllä pidä paikkaansa =).

mielenkiintoisia linkkejä kommentoijilta sampopankin javasta.

Jos halutaan ajaa käyttäjän laitteistolla jotain koodia, niin .NET ei tarjoa ihan yhtä hyvää tukea kuin java. Nytkin ihmiset jo valittavat, että tuki on liian pieni yms.

Huomenta. Vielä tuosta sivujen staattisuudesta josta mainitsin.

Danske Bankenin tietoturvapolitiikka näkyy menevän niin että sysätään mahdollisimman paljon toiminnallisuudesta asiakkaan puolelle, eikä tehdä mitään palvelinpuolella ellei ole pakko. Strategia on häikäisevän nerokas: kaikki tietoturvaongelmat sivujen generoinnin ja muun tämmöisen suhteen pysyvät asiakkaan puolella, eivät pankissa. Tietoturva-auditointikin voidaan rajata sitten siihen pieneen osaan pankissa pyörivää koodia, ja tulee paljon halvemmaksi.

Tämänlaisen softa-arkkitehtuurin hienous on siinä, että se maksimoi kaiken mitä pankki haluaakin maksimoida. Koodi saadaan tehtyä halvemmalla kun ei tarvitse syynätä sitä niin tiukasti, kun ei ole riskinä pankin järjestelmät vaan ongelmat ovat ihan asiakkaan ongelma. Tulilinjaa on siirretty pidemmälle asiakkaan suuntaan, nostaen huomattavasti asiakkaan riskiprofiilia, vähentäen hieman pankin riskejä. Kerrassaan ällistyttävän nerokasta.

Vaanjoo, siirrytään eteenpäin. Mikä tahansa sivusto voi käyttää noita Danske Bankenin allekirjoittamia appletteja, joista löytyy joitain jänniä ominaisuuksia. En ole ehtinyt analysoida miten se protokolla pankin kanssa keskustelemiseen menee kun en ole vieläkään saanut sitä pankkia toimimaan selaimessa (nnngggh), mutta sieltä löytyy kenen tahansa käytettävissä olevia kryptofunktioita ja paljon sellaisia rajapintoja joita pääsee kuka vain kutsumaan mitä ei selvästi ole tarkoitettu kenen tahansa käytettäväksi. Saattaisipa olla mahdollista tehdä se MITM-hyökkäys ihan tuon pankin oman appletin avulla, en tiedä vielä onko näin mutta eipä ihmetyttäisi.

Ja koodaajille vielä loppukevennys, ottakaapa sieltä pankin sivuilta tämmöinen tiedosto: https://verkkopankki.sampopankki.fi/html/js/logofunctionsdefault.js
Tietorakenteiden puute on hätkähdyttävää, enkä muista milloin olen nähnyt viimeksi tuommoisen liudan iffejä. Löytyypä sieltä yksi merkkijonokin jossa välilyöntien määrä (9) taitaa olla oleellinen asia, ehkä se on osa jotain “tietorakennetta”. Ehkä tähän kaikkeen on jokin hyvä syy, kuten siihenkin että huomattava osa sivujen koodilogiikasta on tiedostossa logo.htm..

Huvittavaa lukea täältä “ohjelmistokehittäjien” kannanottoja, jotka eivät näytä tietävän, mistä puhuvat. Mutta silti pitää paasata suureen ääneen.

“Ohjelmistokehittäjä” & Pentti Kansa: Tunator on mukana vain tämän nykyisen tuotteen käyttöönotossa. Sampopankin vanha verkkopankki oli TE:n tehtailema ja ylläpitämä. Tämä uusi järjestelmä, mihin sampo nyt siirtyy on sieltä dansken syövereistä.

Icepen: Javaan ei tule päivityksiä usein. Järjestelmänvalvojan hyväksyntä on erittäin hyvä ratkaisu, kun puhutaan kuitenkin virtuaalikoneen jonkin version asentamisesta koneelle. Asutko muuten Lappeen Rannassa?

Matti Nikki kirjoitti:

“Ja koodaajille vielä loppukevennys, ottakaapa sieltä pankin sivuilta tämmöinen tiedosto: https://verkkopankki.sampopankki.fi/html/js/logofunctionsdefault.js
Tietorakenteiden puute on hätkähdyttävää, enkä muista milloin olen nähnyt viimeksi tuommoisen liudan iffejä. Löytyypä sieltä yksi merkkijonokin jossa välilyöntien määrä (9) taitaa olla oleellinen asia, ehkä se on osa jotain ”tietorakennetta”. Ehkä tähän kaikkeen on jokin hyvä syy, kuten siihenkin että huomattava osa sivujen koodilogiikasta on tiedostossa logo.htm.. ”

Ei jumalialauta.. ja sitten applettien tietoturvaa kritisoivat voisivat mitetiä seuraavaksi mikä on JavaScriptin riski vs. Java-applettien riski. JavaScript-tulkeista on löytynyt – ja tulee löytymään – reikiä. XSS ei myöskään ole mitään ihan tavatonta, olkoonkin että Sampo tuskin vihamielistä JS:ää sivuillensa laittaa.

En vaan ymmärrä, mikä perkele (anteeksi) sillä JS:lla on pakko tehdä kaikki? Palvelinpäässä täytyy joka tapauksessa tarkistaa syötteiden oikeellisuus (toivottavasti näin tehdään, tai sitten ei jos JS on vaatimus!).
Jostain syystä luottamus keskiverto palvelinpään ohjelmistosuunnittelijaan on aika lailla korkeammalla kun weppisivuja ja JS:ää väsäävän kohdalla.. näkyy em. pätkästä aika hyvin..

Jyrki, natiivikoodi eroaa flashista siinä että flashissa kaikki koodi on actionscriptiä joka ei saa tehdä ihan mitä tahtoo vaan pyörii tiukasti hiekkalaatikossa. Natiivikoodilla tarkoitetaan tässä nimenomaan sitä javan hiekkalaatikon ulkopuolelle menevää koodia joka ajetaan suoraan rautaa ja käyttöjärjestelmää vastaan, vaikka luotettu javakoodikin on aika ongelmallista kun se käpistelee tiedostoja ja saa tehdä vaikka mitä.

Löysin myöskin tosiaan yhdestä appletista jo tavan kirjoittaa levylle html-tiedostoon koodia jonka voisi sitten uudelleenohjata selaimeen, ja jolla pääsisi sitten local zonella tekemään juttuja. IE-käyttäjät ovat ainakin innoissaan koska tämä ymmärtääkseni tarkoittaa nykyäänkin vielä sitä että koneen saa kokonaan kaapattua. Jos vain saan riittävästi motivaatiota kasaan niin teen kokonaisen demonstraatiohyökkäyksen ettei jää lämpimäksi puheeksi, mutta toistaiseksi kerron vain että DanskeSikker.class:n metodi webLog ja monet muut ovat aika jänniä. Jos käyttäjä valitsee “luota aina Danske Bankeniin” niin siinäpä sitä ollaan, tämän jälkeen sama appletti minun verkkosivuillani toimii ihan yhtälailla ilman erillistä lupakyselyä.

Tämä kritiikki ei kohdistu pelkästään applettien käyttöä kohtaan, vaan sitä kohtaan että ne perkeleen appletit ovat trustedeja ja niille pitää antaa lupa käpistellä järjestelmää ilman rajoituksia. Flashissä on toki myös local storage, mutta se on ihan eri eläin koska siinä ei sovelma itse päätä mihin tiedostoon tallennetaan ja mitä luetaan. Itseasiassa flashillä tuon kryptosysteemin tekeminen olisi voinut olla aika mielenkiintoinen ratkaisu sekin. Jotain toiminnallisuutta olisi tosin saattanut jäädä puuttumaan…

Jyrki, et taida ihan hahmottaa tuota JS-ongelmaa kokonaisuudessaan. Kyse ei myöskään ole siitä laittaako sampo vihamielistä JS:ää sivuilleen, koska tuo XSS mahdollistaa että kuka tahansa voi laittaa. Niinkuin jo demonstroin.

Se että pankin sivuille saa omaa javascriptiä sisään tarkoittaa että sitä sivuston logiikkaa voidaan sillä laajentaa. Koko sivusto voidaan rekonstruktoida tuon XSS-hyökkäyksen jälkeen näyttämään ihan oikealta. Samassa sessiossa kaikki näyttää juuri siltä miltä pitääkin, ja pankki voitaisiin pistää toimimaan ihan oikealla tavalla mutta niin että samaan aikaan samoilla sivuilla pyörii mitä tahansa hyökkääjän määrittelemää kamaa myöskin. Ja hyökkäys lähtisi käyntiin yhdestä ainoasta linkistä, joka osoittaisi pankin omille palvelimille. Hyökkääjällä olisi käytössä tuon appletin sama rajapinta kuin pankin omilla sivuillakin, enkä ole varma onko tuota applettia tai itse sivustoa suunniteltu kestämään tämmöistä hyökkäystä. Todennäköisesti ei ole. Siistiä, eikös vain?

Matti Nikki kirjoitti:

“Tämä kritiikki ei kohdistu pelkästään applettien käyttöä kohtaan, vaan sitä kohtaan että ne perkeleen appletit ovat trustedeja ja niille pitää antaa lupa käpistellä järjestelmää ilman rajoituksia. Flashissä on toki myös local storage, mutta se on ihan eri eläin koska siinä ei sovelma itse päätä mihin tiedostoon tallennetaan ja mitä luetaan. Itseasiassa flashillä tuon kryptosysteemin tekeminen olisi voinut olla aika mielenkiintoinen ratkaisu sekin. Jotain toiminnallisuutta olisi tosin saattanut jäädä puuttumaan… ”

Joo.

Tuo Sammon appletti olisi hyvin voinut olla allekirjoittamaton, kun se ei sitä natiivikoodia oikeasti tarvitse mihinkään, eikä näin ollen tarvitse oikeuksia tehdä System.loadLibrary()-kutsua. Paskan möivät.

Vaihtaisin pankkia ellei kaikki sijoitusrahasto-osuudet olisi Sammossa..

toimiiko jollain muuten verkkopankissa tilisiirrot (Firefox 3 beta 4, JRE 1.6.0_05)?

Täällä käyty keskustelu vahvistaa sen mitä jo eilen epäilin, eli tuo appletti kun löytyy koneelta ja jos sille on annettu lupa “luota aina” niin mikä tahansa sivusto voi kutsua sitä _minun koneeltani_ sivustolla vieraillessani ja siten käyttää sitä jollain tavalla hyväksi. Nyt pankki siis on altistanut koneeni tietoturvauhalle ja siten pankki on minun mielestäni vastuussa edelleen vaikka ongelma onkin siirtynyt asiakkaan päähän.

Tätä pitää tutkia välittömästi, otankin heti seuraavaksi työkseni.

Esimerkki XSS:stä Sampopankin webbipankille http://tinyurl.com/2wqzhw

Kyllä tuon java-kikkareen tarkoitus taitaa olla uusimpien MAN-IN-THE-BROWSER -tyyppisten huijausten “havaitseminen”. Eli sammolle räätälöity haittaohjelma menee selaimen ja verkkopankin väliin muuttaen tilinumerot ja summat ja näyttäen asiakkaalle että kaikki on mennyt ok(muistaa asiakkaan syöttämät arvot). Ikäänkuin siis “selain-rootkit”. Nyt mikäli tuollainen mikkeli-ydinvoimalan tyyppinen haittaohjelma tulisi sammolle, sen paitäisi myös osata muuttaa JAVA-kikkareen näyttämät tiedot, muuten asiakas huomaa huijauksen(”Clitch in the matrix”, when they start changing things). Ongelma on että asiakkaan työasema on oletusarvoisesti “vihollisen aluetta” ja vahvistus pitäisi saada asiakkaalta mieluusti jotain toista kanavaa kuin tietokonetta pitkin.

Joopa kirjoittaa:
26. maaliskuuta 2008 kello 11.57
”Ohjelmistokehittäjä” & Pentti Kansa: Tunator on mukana vain tämän nykyisen tuotteen käyttöönotossa. Sampopankin vanha verkkopankki oli TE:n tehtailema ja ylläpitämä. Tämä uusi järjestelmä, mihin sampo nyt siirtyy on sieltä dansken syövereistä.

Ja mistäs se sinne Dansken syövereihin muualta kuin TE:n hyllystä
http://www.tietoenator.fi/default.asp?path=408,409,2607,12202

Olin muutenkin marssimassa tänään Sampon konttoriin hoitamaan asioita (hommaamaan joitain muovirahan tapaista, hoitamaan verkkopankkitunnuksia kuntoon, yms. krääsää joka on aina lykkääntynyt täysi-iän saavuttamisen jälkeen), mutta kaipa voisin samantien ilmoittaa vaihtavani pankkia. Ei kyllä oikeasti innosta jollekin java-appleteille antaa korkeita oikeuksia vain verkkopankin takia… Onko kellään suositella parempaa vaihtoehtoa?

Joopa kirjoittaa:

…
Icepen: Javaan ei tule päivityksiä usein. Järjestelmänvalvojan hyväksyntä on erittäin hyvä ratkaisu, kun puhutaan kuitenkin virtuaalikoneen jonkin version asentamisesta koneelle. Asutko muuten Lappeen Rannassa?

—

En asu, onko sielläpäin jollakin sama nimimerkki
(hyvä tietää sekaannusten varalta).

Jos ihan oikeasti haluat vaihtaa pankkia. niin käytännössä lienee selkeintä kävellä sen TULEVAN pankin konttoriin, ja ilmoittaa siellä, että haluaa siirtää raha-asiansa sinne. Jonkinlaisen valtakirjan joudut antamaan asiakkuutesi siirtoa varten…, tarkemmista yksityiskohdista saat varmaankin ko. konttorista auliita neuvoja.

Osuuspankin verkkopankkiin olen itse ollut kyllä tyytyväinen. En muista tilannetta, jossa ne sivut olisivat olleet jumissa tai alhaalla. Jos ovat olleet jumissa niin sitten vika on yleensä voitu paikallistaa netin palveluntarjoajaan.

Niin ja mitä pankin palveluihin ylipäätänsä tulee niin kyllä siellä on kaikki asiat hienosti ainakin omalla kohdalla hoitunut. “Keskittäminen kannattaa” pätee tässäkin yhteydessä.

Ja todella harvoin edes yrittää mitään rahastoa ainakaan puhelimitse tyrkyttää ja silloinki sieltä soittelee sellanen mukava täti, jolle uhraa mielellään päivästä vähän aikaa

Avoimuutta?:
”Vaikka yhteenlaskutaito olisi kuinka hallussa, niin tietoturvan toteaminen puhtaasti reikien määrän laskemalla, ei kerro oikeastaan yhtään mitään.”

Symbiatch:
“No tuota, kertoo se siinä vaiheessa jos toisen tuotteen reikien määrä on nolla ja toisen menee kymmenissä, ellei sadoissa…”

Oletetaan, että yhdessä tuotteessa on 10 tunnettua reikää, kaikki kriittisiä. Toisessa on 50 tunnettua reikää, joista 10 on kriittisiä. Päättelemmekö tästä, että ensimmäisessä tuotteessa (olkoon tämä nimeltään A) on kaikenkaikkiaan vähemmän reikiä kuin toisessa (B)? Minä päättelen lähinnä, että jos kaikki tai suurin osa softan tunnetuista rei’istä on kriittisiä, kaikista rei’istä taitaa olla julkisuudessa aika pieni osa.

En lähde puolustelemaan Apache+PHP-komboa enkä varsinkaan sen jälkimmäistä komponenttia, jossa on tunnetusti ihan oikeita reikiä riittämiin, ja tulee luultavasti olemaan tulevaisuudessakin. Jos yhtään tutustuu eri alustojen tai palvelinsoftien turvallisuutta vertailleisiin “tutkimuksiin”, voi kuitenkin tehdä erinäisiä päätelmiä. Näiden “tutkimusten” johtopäätökset ovat usein olleet hieman kyseenalaisia, mutta itse materiaali voi joskus olla kiinnostavaa.

Näistä selvityksistä on käynyt ilmi mm., että yleensä avoimen koodin komponenteissa on lukumäärällisesti enemmän tunnettuja reikiä kuin esimerkiksi MS:n tuotteissa. Toisaalta avoimen koodin aukoista kriittisiksi luokiteltuja on ollut tapauksesta riippuen muistaakseni 20-40% (en tosin ole nyt tarkistanut lukuja), kun taas MS:n tuotteiden aukoista kriittisiä on ollut jopa 60%. Tunnettujen vakavien aukkojen kokonaismäärässä (joka on jo huomattavasti parempi mittari kuin kaikkien tunnettujen aukkojen lukumäärä) molemmat ovat tainneet olla ainakin suurinpiirtein samassa suuruusluokassa.

Mistä ero vakavien ja kriittisten aukkojen osuudessa sitten johtuu? Onko MS vain taitavampi tekemään aukoistaan kriittisiä? Vai onko se avoimen koodin ohjelmoijia parempi välttämään esimerkiksi hämärät ja vaikeasti hyödynnettävät (ja siis vähemmän kriittiset) aukot, mutta ei kuitenkaan vakavia sellaisia? En usko. Ilmeisempi selitys on, että avoimen koodin ohjelmistoista tunnetaan julkisesti suurempi osa aukoista kautta linjan, kun taas MS:n aukoista ei tunneta juuri muita kuin kriittisiä.

Niin suljetun kuin avoimen koodinkin maailmoissa saatetaan ilmoittaa tietoturvaongelmista ohjelmiston kehittäjille tai toimittajille ennen julkista ilmoitusta, mutta lopulta yleensä kaikki olennaiset bugit ja tietoturva-aukot tulevat julkisuuteen — viimeistään siinä vaiheessa kuin julkisista muutoslokeista voidaan lukea kattavasti viimeisimpään versioon tehdyt muutokset.

MS:llä, tai useimmilla muilla suljetun koodin tuottajilla, taas ei ole mitään intressejä toimittaa julkisuuteen tietoja aukoista, jotka eivät ole niin kriittisiä, että niistä olisi pakko kertoa. Myös ulkopuoliset tietoturva-asiantuntijat keskittynevät Windows-maailmassa enemmän paikkoihin, joissa kuvittelevat voivan olla vakavia tietoturvaongelmia. Näin suurinta osaa aukoista ei koskaan tule julkisuuteen. Korjaako MS näitä vähemmän kriittisiä aukkoja? Ehkä. Sitä on mahdotonta tietää, jos aukosta ei ole koskaan edes kuullut. Tilastoja nämä aukot todennäköisesti eivät kuitenkaan päädy rumentamaan, korjattiin niitä tai ei.

Se, ettei aukoista tiedetä MS:n ulkopuolella ei tietenkään tarkoita sitä, etteikö muutama mustahattu voisi niistä tietää. Hekään eivät välttämättä paljasta tietojaan julkisuuteen. Ei-julkisuus ei siis tarkoita, etteikö aukkoja voisi hyödyntää, ja näin voi käydä myös vähemmän kriittisten aukkojen tapauksessa, vaikka se epäilemättä onkin vähemmän houkuttelevaa ja harvinaisempaa kuin suhteellisen helposti hyödynnettävät ja suuren vahinkopotentiaalin tarjoavat kriittiset aukot.

Tämä tuhoaa tehokkaasti aukkojen lukumäärän mielekkäänä vertailuargumenttina, koska vertailut tehdään julkisten tietojen perusteella, ja toisessa vertailtavassa kohteessa julkisuudessa olevat tiedot ovat huomattavan valikoituja.

“Niin suljetun kuin avoimen koodinkin maailmoissa saatetaan ilmoittaa tietoturvaongelmista ohjelmiston kehittäjille tai toimittajille ennen julkista ilmoitusta, mutta lopulta yleensä kaikki olennaiset bugit ja tietoturva-aukot tulevat julkisuuteen — viimeistään siinä vaiheessa kuin julkisista muutoslokeista voidaan lukea kattavasti viimeisimpään versioon tehdyt muutokset.”

Näin siis tietenkin avoimen koodin maailmassa, ei suljetun.

Mielenkiintoista sekin, että pankkipalveluita voi käyttää myös millä tahansa selaimella ilman javaa käyttämällä mobiilipankkia:

https://mobiili.sampopankki.fi/

Jos edes Sampo itse uskoo java-mallin turvallisuuteen niin käsittämätöntä että tarjolla on myös tällainen palvelu.

Turvaa ja turvaa. Electron kortteja saa käyttää verkossa pelkällä numerolla. (Tämä kuulemma muuttuu) Mutta esim pankit sallivat rahaliikenteen salaamattomana FTP liikenteenä. Sampopankki myös.

Niin ajoittain homma on kyllä aika koomista. Valtava linnoitus, vartijat, panssarivaunut, koirat, iris-lukijat tms. Mutta takapihalla on polku laholle puuovelle josta huoltoporukka kulkee sisään ilman mitään tarkistuksia.

Eihän tämä ole mitään uutta, mutta kuitenkin. Tuntuu ihan samalta tässä yhteydessä. Tehdään valtavaa turvallisuuden kulissia ja unohdetaan olennaisia asioita.

Ei ne turvallisuustoimenpiteet ole kuin rehellisiä ihmisiä varten vai mites se yleinen sanonta meneekään näin niinku sovellettuna…;)

Ymmärsinkö nyt ihan varmasti niin, että tämä pankki tarjoaa tarjottimella työkalut huijareille ja hämärämiehille?? Tämä koko soppa alkaa näyttää niin irvokkaalta, että ei oikein usko todeksi…

Toivottavasti pankki ei saa tätä mokaa haudatuksi vaan joutuu pölkylle. Harmi vaan asiakkaille.

TEräsmies kirjoittaa:

Ja mistäs se sinne Dansken syövereihin muualta kuin TE:n hyllystä
http://www.tietoenator.fi/default.asp?path=408,409,2607,12202

–

Ei, TE ei ole tehnyt tuota softaa. Se on vain sampon/dansken apuna käyttöönotossa (luonnollisesti), sillä vanha järjestelmä oli TE:n toimittama ja ylläpitämä.

Ja Sampo-Pankin sivujen URL:in kautta voi näemmä lähettää JavaScriptiä, jonka se lähettää suoraan takaisin.

Linkki on pitkä, mutta jos se näkyy, Sampon HTTPS-yhteyden yli aukeaa näkymä Nordean nettipankkiin. Eikä esim. mihinkään phishing -sivustoon, kuten melko pian rupeaa maailmalla tapahtumaan.

https://verkkopankki.sampopankki.fi/html/index.html?site=foo&gsPreview=bar&secsystem=;document.write(String.fromCharCode(60)+‘iframe’+String.fromCharCode(32)+’src’+String.fromCharCode(61)+’https://solo1.nordea.fi/nsp/engine’+String.fromCharCode(32)+’width’+String.fromCharCode(61)+’100%’+String.fromCharCode(32)+’height’+String.fromCharCode(61)+’100%’+String.fromCharCode(62));

“Palvelinpäässä täytyy joka tapauksessa tarkistaa syötteiden oikeellisuus (toivottavasti näin tehdään, tai sitten ei jos JS on vaatimus!).”

Siis hetkinen, tarkoitatko, että jos JS on pakollinen sivustolla, niin palvelinpäässä ei tarvitse tarkastuksia?? Luuletko, että palvelinkutsuja voi vain lähteä siltä SIVUSTOLTA javascriptin “takaa”? Check again.

Palvelimella PITÄÄ AINA TARKASTAA syötteet!!

Teiltä on monilta mennyt ohi se, että tässä ei ole kyse siitä että palvelin antaisi takaisin käyttäjän syötteen. Näin ei tehdä, palvelin kun ei käsittele syötettä mitenkään. Javascriptillä otetaan suoraan siitä osoitteesta parametrit ja tehdään niillä juttuja sitten asiakkaan päässä. Annoit mitä tahansa parametreiksi, palvelin palauttaa saman staattisen html-tiedoston.

Aarne Vanamon pasteamaan osoitteeseen kun vielä lisää johonkin väliin “+String.fromCharCode(32)+’frameborder’+String.fromCharCode(61)+’0′+String.fromCharCode(32)+”, niin näyttää vähän kivammalta uhrille

Tuo XSS-ongelma on aika klassinen. Sen tiedän, että Sampolla on ollut ennen vanhaan ihan oikeasti tapa tarkastuttaa webbisovelluksiaan tietoturvaongelmien (mm. tällaisten) varalta, ilmeisesti Danskella ei ole samanlaista tapaa.

hmm.. kun näitä phising juttuja alkaa tapahtumaan niin saakohan sampopankki minkälaisia korvauksia vakuutuksina? olisikohan niin että niiden perään ovat javan käyttöön ottaneet?

Tehdään nyt kerralla selväksi: Nykyistä ‘Sammon’ verkkopankkia ajetaan Tanskassa ja tanskalaisten toimesta. Tietoenatorilla saati Primasoftilla ei tuon tekeleen synnyttämisessä ole ollut mitään osuutta eikä arpaa. Prkl.

Onhan Primasoft mukana käyttöönotossa. Kai siihen kuuluu myös jonkin verran suunnittelua etukäteen. Voi olla että Primasoft ei ole tehnyt ratkaisua, mutta pitää kuitenkin varmistaa että käyttöön otettava ratkaisu on toimiva ja turvallinen.

Mjoo, Tanskasta nämä ongelmat peräisin. Sama hyökkäys danskebank.dk:lla niin että pankki näyttäisi levittävän muhammedkuvia: http://tinyurl.com/2ebyap

Tosin osataan sitä Tietoenatorillakin:
https://careersfi.tietoenator.com/cvbuilder/JobsDescription.asp?JOB_ID=6841&JOBLANGUAGE=1&L=1&JOBBA=&JOBFUN=&JOBTYPE=&JOBCITY=%22%3E%3Cscript%3Ealert(%22404%20multifail%22);%3C/script%3E%3Cb

Ihan samantyyppinen reikä sielläkin, nämä XSS-ongelmat ovat aika yleisiä. Jännäksi sen tekee se, että tuo danskebankenin sivusto on puhtaasti javascriptin varassa toimiva joten niitä reikiä on helpompi hyökkääjien löytää. Ja tietty, kun sivut ovat niin JS-riippuvaiset niin JS-hyökkäyksillä saa myös tehtyä jännempiä juttuja kun on valmis alusta pankin puolesta…

“Voi olla että Primasoft ei ole tehnyt ratkaisua, mutta pitää kuitenkin varmistaa että käyttöön otettava ratkaisu on toimiva ja turvallinen.”

Toi on naurettavaa liturgiaa. Koodi on rakennettu Dansken toimesta, eikä sitä ole annettu missään vaiheessa Tietoenatorin saati Primasoftin arvioitavaksi. Pätevää väkeähän siellä on, mutta ei nekään mitään meedioita ole.

Juurikin näin, kuten Vittorio Baioni asian ilmaisi.

Sampopankin entinen verkkopankki sensijaan _oli_ TE:n tuottama ja ylläpitämä. Se entinen verkkopankki oli myös paras käyttämäni ja samalla suurin syy omaan sampopankin asiakkuuteeni.

IcePen: En tiedä onko, kunhan vaan tuli mieleeni…

https://verkkopankki.sampopankki.fi/html/index.html?site=foo&gsPreview=bar&secsystem=;document.write(String.fromCharCode(60)+‘iframe’+String.fromCharCode(32)+’src’+String.fromCharCode(61)+’https://solo1.nordea.fi/nsp/engine’+String.fromCharCode(32)+’width’+String.fromCharCode(61)+’100%’+String.fromCharCode(32)+’height’+String.fromCharCode(61)+’100%’+String.fromCharCode(62));

Voisiko tuon Nordea-Sampo -linkin saada TinyUrlina? Ei jostain syystä avaudu millään…

Näkyvät korjanneen, niillä on nyt pituustarkistukset noille syötteille ja jos annetaan liian pitkiä rimpsuja niin se ohjaa tyhjään sivuun. Hauskaa oli niin kauan kuin kesti, mutta bugeja voi olla yhä jäljellä, tuo oli vain yksi ongelma ja yksi puute syötteen käsittelyssä.

Näyttäisi hieman siltä, että XSS-reikä olisi nyt paikattu. Menee osoitteeseen https://verkkopankki.sampopankki.fi/html/blank.htm

Edes tuota blank.htm:ää ei voinu tehdä ilman javascriptiä? uskomatonta…

Ottamatta kantaa Sampo Pankin ratkaisun toimivuuteen, on kuitenkin hyvä huomata se, että pankkien on pohdittava verkkopalveluja olettaen, että käyttäjän työasema on virusten komennossa. Tämä Java-viritelmä on varmastikin askel suuntaan yrittää taistella haittaohjelmia vastaan. Samalla pyritään edelleen siihen, että verkkopalvelua voi käyttää kunkin omalta koneelta eikä pankin tarvitse toimittaa “kovennettua pankkityöasemaa” vain pankkikäyttöä varten. Tai USB-buutattavaa järjestelmää. Tai erityistä pankkiclientia.

Isosta maailmasta löytyy kuulemma jo ratkaisuja, jotka toimivat *vain* Windowsilla, *vain* IE:n uusilla versioilla ja *vain* jos käyttäjä sallii koneelleen ladattavan ActiveX-komponentin, joka tekee virustarkistuksen koneelle ennen pankkiyhteyttä:-)

Tämä ratkaisu tuntuu saavan kannatusta maailmalla, http://en.wikipedia.org/wiki/Chip_Authentication_Program. Nordea mainittu käyttöönottajana 2007 lopulla. Tuleekohan Suomeenkin käyttöön?

Ihan vaan siksi pohdin, että montako kertaa pitää pankkia vaihtaa tulevina vuosina, kun tunnistustavat muuttuvat eri toimijoilla…maailma muuttuu…turvallisuus vs. käyttömukavuus…

Ai niin. Onkohan tuo esafekey kaupallinen tuote vai DB:n omaa tuotosta? EN pikaisesti googlaamalla löytänyt tuotetietoja.
https://ebanking.danskebank.dk/html/index.html?site=DBNBEN&secsystem=E2&skip

Tuo niiden käyttämä syöteparseri on copypastella useammassakin paikassa, mainitaan nyt vaikka “js/sbnbfi.js” jossa on ilman pituustarkistuksia syötteen ottoa. Koska en ole päässyt pankkiin kirjautumaan sisään, en ole vielä nähnyt millaisissa tilanteissa noita syötteitä käytetään. Voisin kuitenkin melkein vannoa että ne menevät sellaisenaan johonkin formiin hidden arvoina, ja täten siinä olisi injektioreiän paikkaa taas…

Tuossa muutenkaan ei oikeasti korjattu mitään mullistavaa, kunhan estettiin pitkien hyökkäyssyötteiden käyttö. Siellä on yhä useampi parametri jolla voisi olla potentiaalista hyökkäyskäyttöä, kunhan keksisin vain miten niitä käyttäisi. Yksi sellainen on “reloadpth” jonka funktiota en ole ihan vielä keksinyt, mutta sille ei tehdä mitään rajoitustarkistuksia ja koodin mukaan sitä voisi hyödyntää – käytännössä en ole vielä saanut sillä tehtyä pahoja.

Vaan perkeleen perkele, tajusin juuri että teen tässä tietoturva-auditointia niille ilmaiseksi. Tämmöisestä hommasta maksetaan yleensä mansikoita. Lämmittää työttömän hakkerin sydäntä tajuta että teen mahdollisesti tuhansien eurojen arvoista työtä ilman palkkiota. Turhautumisaste miljoona, pitäkää tunkkinne.

No, jokatapauksessa, tässä tinyurl seuraavaan XSS-hyökkäykseen joka tätä kirjoittaessa toimii:
http://tinyurl.com/2odbve

Eh.. Nikkin tinyurlikaan ei enää toimi, paukahtaa jo klassikoksi muodostunut 404 multifail.

Kyllä tuo minulla toimii, mutta kuuleman mukaan joillain käyttäjillä ei pelaisi oikein. Testaa vaikka operalla tms, ongelmana on siis logo.htm:ssä oleva koodi:

MapIDTag = ”;

Jossa MapID on unescape() läpi kulkenut pituusrajoittamaton mapid-parametri urlissa. Ihan triviaali injektioreikä, jossa tagin voi lopettaa itse omalla syötteellä ja kirjoittaa sinne mitä lystää.

Ja näitä XSS-reikiä on todennäköisesti vielä lisää, katsotaan löytyykö vielä lisää sitten kun tämä on korjattu…

Taas “osaajat” puhuu täällä, mitä sylki suuhun tuo: Sammon vanha verkkopankki ei ollut TE:n tekemä!

Se oli Accenturen toimittama projekti ja Meridean pankkisofta

Nimin. Osaaja

Kyllä ne on vaan Sampo-pankissa fiksuja. Minkä takia tuhlata rahaa tietoturva-auditoihteihin, kun innokkaat hakkerit tekevät sen heidän puolestaan. Heidän tarvitsee vain lukea aamulla lukea “bugiraportit” netin keskustelupalstoilta. Ja testaus jatkuu.

Matti Nikki kirjoitti:

“tämmöinen tiedosto: https://verkkopankki.sampopankki.fi/html/js/logofunctionsdefault.js
Tietorakenteiden puute on hätkähdyttävää, enkä muista milloin olen nähnyt viimeksi tuommoisen liudan iffejä. Löytyypä sieltä yksi merkkijonokin jossa välilyöntien määrä (9) taitaa olla oleellinen asia, ehkä se on osa jotain ”tietorakennetta”. Ehkä tähän kaikkeen on jokin hyvä syy, kuten siihenkin että huomattava osa sivujen koodilogiikasta on tiedostossa logo.htm..”

melkoista suttua on tuo koodi ja löysin sieltä heti buginkin:
if((id.substring(0,4)==”PANy”) ||(id.substring(0,5)==”PARetNy”) ||(id.substring(0,5)==”PAKop”) || (sstr==”DD”)) //Finland

eli tuo PARetNy vertailu nyt ei koskaan toteudu kun koodari on laskenut merkkien määrän väärin. Muutenkin typerää laskea merkkejä kun kone tekee sen paremmin.

http://tinyurl.com/26mnkm toimii ainakin joillain selaimilla, toisilla taas ei/jumittaa selaimen/jne. Olipa kiva tehdä oma ensimmäinen oikea XSS-exploittini, saa kyllä jäädä viimeiseksi ainakin Sampopankin osalta.

Ilmeisesti siis noita XSS-haavoittuvuuksia löytyy sitä mukaa kuin niitä korjataan?

Hienoa.

XSS-bugeja ei oikein voi korjata yksi kerrallaan, koska ongelma johtuu siitä, että softa on suunniteltu ja tehty huonosti. Tai toki voi korjata, mutta sitä saa sitten tehdä maailmanloppuun asti.

Yleisesti ottaen kaikkiin webbipalveluihin pitäisi tehdä yhtenäinen whitelist-periaatteeseen perustuva saatujen syötteiden käsittelykerros tahi -rutiini, joka mm. perkaisi käyttäjältä tulevat vaaralliset merkit pois.

dk.danskebank.ec.ecesafekey.utility.Utility.class on oikea aarreaitta:
public static String getTimeStamp()
{
Calendar calendar = Calendar.getInstance();
String s = ensureStrLen(Integer.valueOf((new StringBuffer(String.valueOf(calendar.get(1)))).toString()).toString(), 4);
String s1 = ensureStrLen(Integer.valueOf((new StringBuffer(String.valueOf(calendar.get(2) + 1))).toString()).toString(), 2);
String s2 = ensureStrLen(Integer.valueOf((new StringBuffer(String.valueOf(calendar.get(5)))).toString()).toString(), 2);
String s3 = ensureStrLen(Integer.valueOf((new StringBuffer(String.valueOf(calendar.get(11)))).toString()).toString(), 2);
String s4 = ensureStrLen(Integer.valueOf((new StringBuffer(String.valueOf(calendar.get(12)))).toString()).toString(), 2);
String s5 = ensureStrLen(Integer.valueOf((new StringBuffer(String.valueOf(calendar.get(13)))).toString()).toString(), 2);
String s6 = ensureStrLen(Integer.valueOf((new StringBuffer(String.valueOf(calendar.get(14)))).toString()).toString(), 4);
return s + “-” + s1 + “-” + s2 + ” ” + s3 + “:” + s4 + “:” + s5 + “:” + s6;
}

public static String XPathQuery(String s, String s1)
{
String s2 = “”;
int i;
if((i = s.indexOf(s2)) “, i)) j)
return null;
else
return s.substring(i + 1, j);
}

Albert, suunnilleen joo. Ei tätä tietty loputtomiin jatku, ja aukkojen löytyminen hidastunee kun niitä on tietty määrä korjattu. Pointtina kuitenkin se, että niitä aukkoja on siellä huomattavasti eikä tämä muutu vaikka niitä pari korjattaisiin.

Sivusto on toteutettu suttuisella “ad hoc”-arkkitehtuurilla, jota kuvastaa mm. se että logo.htm nimisellä sivulla on tietoturvajärjestelmä. Muita seurauksia arkkitehtuurin puutteesta on esimerkiksi se, että otsikkorivin parametreja käsitellään monessa eri tiedostossa ja tulkitaan joka kerta erikseen. Se että virheitä koitetaan torjua yhdessä paikkaa ei korjaa niitä kaikkialla, kun virheet liittyvät heppoiseen ohjelmointitapaan jota on kauttaaltaan sivuilla. Sama bugi pitää korjata siis monen monta kertaa ja eri paikoissa.

Ja nämä virheet EIVÄT johdu mistään integrointityöstä, vaan nämä ovat olleet Danske Bankenin sivuilla kokoajan. Miten kauan? Mahdollisesti vuosia. Tämä kertoo itsessään jo siitä miten vakavasti pankki ottaa tietoturvan…

http://tinyurl.com/2zjznf

onneksi kaikki on nyt korjattu..

Näppärää touhua, ei voi oikein kuin hymistä suu virneessä.

Saas nähdä kuinka moni vaihtaa tosiaan pankkiaan tämän “farssin” seurauksena. Itsellä se on ainakin harkinnassa, palo käämi tuohon normaali “sivustoon” kun yritti laskua maksaa (tai paremminkin hyväksyä ).

Onneksi sentään mobiilipankki puoli toimi ja sai laskut maksettua ajallaan.

Itse olen jo varannut ajan kilpailevaan pankkiin

Ihan jees tapa generoida satunnaislukuja:

var randomNum = Math.random();

randomNum = randomNum * 1000000;

randomNum = parseInt(randomNum);

if (isNaN(randomNum)){

randomNum = now.valueOf()

}
Ensin generoidaan javascriptin natiivilla metodilla satunnaisluku, kerrotaan se 1000000:lla, katsotaan tuliko ylivuoto ja jos tuli, käytetään nykyistä kellonaikaa satunnaislukuna.

Edellinen oli siis tiedostosta https://verkkopankki.sampopankki.fi/html/js/stat.js

Nämä rävellykset pitäisi saada DailyWTF:ään Koodin taso alkaa olla jo kylliksi matalalla tasolla.

Tää ketju on kyllä ollut sen verran mielenkiintoinen, että taidanpa huomenna pirauttaa toiseen pankkiin jossa tili ollu olemassa kauan, mutta ei käytössä. Loppuu tanskalaisten kanssa leikkiminen nyt.

Toisaalta, jos samalla tavalla alettaisiin tutkia muiden pankkien turvajärjestelmiä, niin löytyisikö niistä vastaavanlaisia pieniä aukkoja? En ole mikään koodin asiantuntija tai ymmärrä noista riveistä paljoakaan, mutta esimerkiksi tuo Nordean sivulle ohjaus pisti mietityttämään. Tilallahan olisi luonnollisesti voinut olla rikollisten tekemä valesivu? Onneksi sen verran tietoa löytyy ettei noin pitkää litaniaa ihan heti kyllä klikkaisi.

Laina asiat kuitenkin hoitumasta juuri toisesta pankista, joten miksi viivytellä vaihtoa.

Voisiko muuten Tietokone tämän ketjun perusteella jututtaa Sampo pankin henkilöstöä? Olisi kiva kuulla sieltä suunnalta vastauksia täällä esitettyihin asioihin. Ovat varmasti lukeneet ketjua, koska korjauksia on tehty tässä ketjussa esitettyihin asioihin niiden mainitsemisen jälkeen.

Näköjään löytyy edelleenkin tilkittävää:
http://tinyurl.com/3536fv

Onneksi on Firefox ja NoScript -laajennus, piti hetken pohtia asetuksien kanssa että sai tuon Anonyymin nauruhermoja kutkuttavan exploitin näkyviin

korjaan mokkerin

Joku (vaikka Nikki) voisi joutessaan pistää pienehkön summaryn myös comp.risks-listan moderoijalle Peter G. Neumannille. Veikkaisin, että kiinnostaa.

“Toisaalta, jos samalla tavalla alettaisiin tutkia muiden pankkien turvajärjestelmiä, niin löytyisikö niistä vastaavanlaisia pieniä aukkoja?”

Ei ainakaan yhtä helposti, koska muut pankit eivät tietääkseni käytä Javascriptiä läheskään yhtä paljon, joten koodin tarkastelun sijaan täytyisi alkaa arpoa erilaisia syötteitä ja ennakoida miten palvelin vastaa niihin. Huomattavasti suurempi vaiva. Itse koitin Nordean sivuilta etsiä XSS-reikiä joskus vuosi sitten muutamalla yrityksellä, mutta en löytänyt mitään.

Muiden pankkien turvallisuuden tonkimisessa on sekin puoli, että kun lähes kaikki tehdään serveripäässä niin pienikin tökkiminen voi tietää melkoisia hankaluuksia (joku taisi nmapata osuuspankkia muutama vuosi sitten ja sai tuntuvat sakot).
Sampolla taas kaikki on läväytetty koko maailman näkyville, ei tarvitse kuin mennä sisäänkirjautumissivulle ja katsoa mitä koneellesi saat (Javaskriptiä ja java-applettia) ja heti löytyy amatöörimäisiä virheitä joka puolelta. Suurin osa koodistakin näyttää semmoiselta, jota tulee alle vuoden koodaamista harrastaneilta, vaikkei siinä koodissa mitään suoranaisia bugeja olisikaan.

Yksinkertaisin ratkaisu on varmin, koska osien määrän vähentyessä on vähemmän hajoavia. DanskeBankin viritys on laadullisesti aika käsittämätön käyttöliittymänä verkkopankkiin.

Lueskelin tuossa itsekin noita koodinpätkiä lävitse. Osa näyttää todella pelottavan huonolaatuiselta ja löysin nopeasti useita selkeitä bugeja (en etsinyt turvallisuusreikiä, vaan kaatuilemiseen johtavia ja vastaavia). Jos yrityksessäni kesäharjoittelija tekisi tuollaista jälkeä, ei olisi paljoa tulemista palkkalistoille myöhemmin.

On maailmalla ihan hyviäkin verkkopankkeja. Itselläni on ollut ING:ssä tili ja ei ole ollut mitään valittamista. Kaikki toimi Linuxissa, pankkiin pääsi kortilla (RSA SecureID:tä vastaava konsepti) ja käyttöliittymä oli perustoimiva.

Tieto-Enator oli varmaankin tähän katastrofiin syytön, mutta yritetään nyt vielä vääntää joillekin rautalangasta: Tieto-Enator on iso talo. Isolla talolla on paljon projekteja ja näkyvyyttä, niinpä ne epäonnistumisetkin erottuvat. On siellä paljon hyvääkin, ei kannata lähestyä yritystä negatiivisella perusasenteella. Jotkin asiakkaat ovat myös itse aiheuttaneet osan katastrofeista, koska isot projektit tarvitsevat ymmärtämystä myös ostajalta – mikä usein puuttuu (eritoten valtionhallinnossa).

Meni ohi tämä bugin metsästyskausi, mutta se ainakin häirää kun sattuu olemaan firebug asennettuna ja kun tuon verkkopankin avaa niin ruudun alalaidasta ottaa Errors-laskuri vauhdikkaan lähdön.

Sillä CallBackLoaded() kutsuu setInterval(’GiveAppletFocus(1)’,100) joka tekee document.getElementById(’Security’).giveFocusEx(field);
Eli yrittää antaa fokusta loginkentille kymmenen kertaa sekunnissa.
Ja kohta on JS-logit täynnä kakkaa.

Munkkiniemen Narikkakoodarit iskee jälleen, suoraan Ibarilta. Deadline is Deadline is Deadline! Kuten osa jo tietänee, Munkkiniemen Ibaritalossa ei saa omaa työpistettä alle kolme vuoden, vaan joutuu läppärinsä kanssa ties minne joka aamu! KILPAILUA! PanicCoding is the WAY!

Onneksi nämä raukat ei suunnittele airbag-tyynyjä, muuten vois ne laueta äänekkäämmästä pierairusta ja PAM, lapset lentäis sivuikkunasta.

Vaaralliseksi asian tekee se että sampo on nyt ilmoittanut että ongelma on korjattu ..

Tavallaan koomista, että verkkopankista (jota itse en käytä) löytyy kaiken aikaa mitä kummallisempia “ominaisuuksia”. Vähän vakavammin – ovatko viat hassuja kuriositeetteja, jotka korjataan käden käänteessä vai onko koko toteutus niin läpeensä mätä, että siitä ei saa luotettavaa verkkopankkia kuin koodaamalla kaiken alusta uudelleen?

Kuinka kummassa ongelmat pulpahtivat pintaan juuri kun sovellus otettiin Suomessa käyttöön?

http://www.demib.dk/danske-banker-xss-408.html
http://www.comon.dk/index.php/news/show/id=29156

Ainakin saman tyylisiä ongelmia on ollut jo vuodesta 2006.

Sampo Pankki:

Kirjautuminen verkkopankkiin ei onnistunut

Kuinka pulma ratkaistaan

Asenna Java Runtime-ohjelmisto käyttämällesi tietokoneellesi.

1. Mene osoitteeseen http://www.java.com (sivusto on englanninkielinen)
tai osoitteeseen http://www.java.com/sv (sivusto on ruotsinkielinen)
…

VOI JEESUS SENTÄÄN MITÄ TOUHUA!!?!!?! Aivan käsittämätöntä! Laitetaan mummot ja muut sunin eng. tai svenska-sivuille sompailemaan omin nokkineen ja evääksi mukaan annetaan ohje: “Toimi sivustolla annettujen ohjeiden mukaan.” Joo, Danke vaan (pun intended).

JA SITTEN LOPPUKANEETIKSI TODETAAN, ETTÄ:

“Joissain tapauksissa järjestelmä ei tunnista Java Runtime-ohjelmistoa oikein. Jos tiedät, että tietokoneessa on tarpeeksi uusi Java Runtime-ohjelmisto, voit ohittaa tämän ilmoituksen ja siirtyä kirjautumissivulle.”

EI VOI OLLA TOTTA! Aivan uskomantonta touhua. Siis aivan kaikki on tehty päin peetä. Perse edellä puuhun.. tekniikka ennen käytettävyyttä.

Kohta varmaan maksukortin käyttäjältäkin vaaditaan dippainssin koulutusta, että saa ruoan kaupan kassalta kotiin. Jösses… ja edelleen vaan jaksetaan uskoa kvartaalikapitalismiin. Ollaan me ihmiskunta vaan tosi idiootteja.

Valehtelemaan joutuu jos väittää että viat olisi nyt korjattu

“Vähän vakavammin – ovatko viat hassuja kuriositeetteja, jotka korjataan käden käänteessä vai onko koko toteutus niin läpeensä mätä, että siitä ei saa luotettavaa verkkopankkia kuin koodaamalla kaiken alusta uudelleen?”

Koodaamalla kokonaan uudelleen. On eri asia korjata syyt tai syiden ilmentymät (yksittäiset reiät). Tuosta on jo tullut selvästi ilmi, että siinä on perustavanlaatuisi laatuongelmia konepellin alla ja niitä ei paikkailemalla ole mahdollista oikeasti luotettavasti korjata. Tosin em. pankin propagandakoneisto (jota yllättävästi suuri osa asiakkaistakin uskoo) on luonnollisesti eri mieltä – virheitähän ei voi myöntää, eikä lisäkustannuksia synnyttää.

http://nelonen.fi/uutisvideot/default.asp?video=2860&c=1

Kieltäminen ratkaisee kaikki ongelmat.

Joku teistä osaajista saisi laittaa jutun vaikkapa dailywtf:ään niin saisi muutkin ihmetellä tätä osaamisen tasoa.

Oisin jo useampaankin kertaan laittanut thedailywtf:ään, vaan kun tää sonera ei päästä edelleenkään jenkkisivustoille…………….

Onnistuisko Sampo Pankin sivujen kautta?

En kyllä ymmärrä mitä porukka valittaa näistä bugeista, kun tanskalaiset yrittävät vain tarjota parempaa pankkipalvelua ja asiointikokemusta täysin personoitavilla sivuillaan.

Itse tein tollasen:
http://tinyurl.com/3yhgh9

Nyt voin opetella diskojytää ja maksaa laskuja samaan aikaan. Näppärää.

Vika korjattiin!

http://tinyurl.com/376txz

Nelosen uutisissakin oli asiasta: http://www.youtube.com/watch?v=oPoE1omVkeI

Ja editoimaton versio haastattelusta: http://www.youtube.com/watch?v=re804LViLqo

Ja muuta hauskaa: http://sampopankki.ytmnd.com/

“Nämä rävellykset pitäisi saada DailyWTF:ään Koodin taso alkaa olla jo kylliksi matalalla tasolla.”

Ehdinkin jo lähettää tuon ensimmäisenä linkitetyn javascriptikilkkeen DailyWTF:ään esimerkkinä tästä suherruksesta.

Saapa nähdä josko tuon julkaisee, vai onko lakijutun uhka liian suuri pelote asiassa.

Eipähän ole toiminut myöskään verkkokaupan maksupainikkeiden linkit. “500 script not found” pukkaa; java kökkäreet kateissa?

Sorry sampopankkilaiset, tämän verkkokauppiaan usko loppui.

PS. Business Online = Huhhuh mikä skeida

miks sampopankki verkkopankki juttelee osoitteen statistik-gallup.net kanssa ja tekee windows konelle
seuraavan hakemiston :

C:\Documents and Settings\Administrator\e-Safekey

ja sinne seuraavat tiedostot

global.dat
tmp1206573977328pcid.dll

ja sitten vielä kirjoittaa
rekisteriin

[HKEY_CURRENT_USER\Software\e-SafeKey]
“IStat”=

Vittorio Baioni kirjoitti että sampopankki verkkopankki ajetaan tanskassa eli
ne voi vakoilla ja käyttää käyttäjän tietoja miten lystää niin kuin tanskassa on tapana

pankki meni vaihtoon

siksi että huhuja on nyt hirvittävästi liikkeellä ja mä en huhuja kommentoi mitään ja mä tätä yksittäistapausta mistä nyt sanoit en kyllä tunnista. ja ei, se ei ole aukko.

Seuraava ennustus tänään tai huomenna tapahtuvasta PR-vastineesta Sampo Pankilta, kyseinen vastine tulee vain vihastuttamaan niitä jotka tietävät asioiden todellisen laidan mutta uppoaa suureen yleisöön sen ihmeemmin:

Sampo Pankki tulee julkaisemaan mielipiteen jossa haukutaan ja torutaan vaarallisina hakkereina kaikki täälläkin julkaisseet henkilöt ja heidän XSS scriptit. Heitä vastaan uhataan nostaa syyte. Ja lopuksi vielä kerran varoitetaan ja haukutaan heidän toimintansa.

Näinhän siis normaalisti poliitikot ja yritykset toimivat, hyökkäys on paras puolustus ja vihollisen leimaaminen rikolliseksi, pedofiiliksi ja ties miksi on aina “toimiva” taktiikka.

Tämä nyt siis ihan veikkaus mitä tullee tapahtumaan, jos Sampo toimii niinkuin kaikki muutkin heitä ennen.

TOINEN asiani: On erikoista tosiaankin, jos PR vaikutusten takia nimenomaan esim. täällä julkaisevia harrastajahaxuja ei ns. palkattaisi osa-aikaisesti Sammon tietoturvahommiin. Siis näinhän kuka tahansa normijärjellä toimivan luulisi toimivan, eli varmistaa ettei negatiivista julkisuutta pääse enempää ulos palkkaamalla nää kaverit omiin hommiin (tämähän on maailmansivu ollut toimintatapana eli parhaat tietoturvan tarkastajat on entisiä harrastaja/ammattihakkereita…)

“Vittorio Baioni kirjoitti että sampopankki verkkopankki ajetaan tanskassa…”
No niin taisin sanoa, mutta silti erityisesti Sammon asiakkaat eivät tunnu vieläkään ymmärtävän sitä tosiseikkaa, että heidän rahansa ovat siirtyneet Pääsiäisen aikana Suomen rajojen ulkopuolelle.

Tänään saan paperit kuntoon toisessa pankissa, niin voi alkaa “kotiuttaa” niitä rahoja
(jos niitä on, toissapäivänä saldo ja kaikki tapahtumat olivat kateissa)

Karjala ja rahat takaisin…

Eikö kukaan ole laittanut sammon sivuille vielä näkyville Nikin listaa? Sitten vaan asiasta urlin kera ilmoitus poliisille, niin alkaa tapahtua.

it myyjät kusettaa asiakasta ja koodarit tekee reikä juustoa kun asiakas ei ymmärrä eikä osaa vaatia kunnollista tuotetta vaan luulee saavansa kerralla kunnon tuotteen lisäkoodauksella ja korjauksilla saadaan projekti venymään kuukausia/vuosia joka tietää vain ja ainoastaan lisää laskutettavaa eli rahaa tekevään taloon

Onko mahdollista tehdä negatiivisia laskumaksuja jos kerran kaikki syöttökentät ainoastaan tarkistetaan selaimessa?

“Vittorio Baioni kirjoitti että sampopankki verkkopankki ajetaan tanskassa eli
ne voi vakoilla ja käyttää käyttäjän tietoja miten lystää niin kuin tanskassa on tapana”

Ruotsissakin sotilastiedustelu sai taannoin luvan kaapata kaiken liikenteen mitä netin kautta maan läpi kulkee, eli Sampopankin Tanskan liikenteen lisäksi vakoillaan varmasti mm. Nordean maksuliikennettä, sillä Nordean serverithän ovat nykyään Ruotsissa. Yritysten maksuliikenteen vakoilu ja hyödyntäminen kotimaisten kilpailijoiden tarjousten viilaamisessa ja suosimisessa on itsestäänselvyys kilpailun parantamiseksi kovenevassa maailmassa. Sinisilmäisyys johtaa tappioihin.

S-pankki taitaa vielä olla kotimaassa sentään.

JAVA -kikkareen hardware-tietojen haku.

Epäilen vahvasti että tämä liittyy satunnaisuuden hakuun (entropia) jotta JAVA-kikkareen salaukseen liittyvät avaimet saadaan generoitua riittävän turvallisesti.

Generointi tarvitsee yleensä “siemenen” joka sitten tehdään milloin mitenkin. Hardware-tiedot yhdistämällä yhdeksi merkkijonoksi ja ottamalla siitä sha256 saadaan jotain sammon mielestä tarpeeksi satunnaista.

Muutaman minuutin “odotus” viittaa vahvasti javan securerandom-funktion käyttöön satunnaisluvun generoinnissa. Securerandomissa on heikkouksia joita ilmeisesti yritetään välttää :
http://www.cs.huji.ac.il/~zvikag/ZviGuttermanHomePage.files/GuttermanMalkhi2005.pdf

tarkennuksena katso pdf-artikkelissa kohta 5.2

Vai ei TE:llä ollut mitään tekemistä tämän kanssa?

Se homma meni niin, että syksyllä TE:llä oli käynnissä työllistämisohjelma työkkärin kanssa, joissa koulutettiin testaajia .. jotka sitten testasivat tuota tanskalaisten uutta verkkoskeidaa.

Jätetään kotitehtäväksi miettiä miten hyvin tuli testattua, ja miten päteviä testaajia ko. henkilöt sitten olivat parin viikon “koulutuksen” jälkeen… Noh, tuloksethan ovat näkyvissä.

Pitääpä kysellä kaverilta lisätietoja, joka siihen ohjelmaan osallistui… jos ei salassapito-sopparit rajoita juttelua…

Foobar, nuo sinun tietosi testaajista kiinnostavat kovasti. Kerro ihmeessä lisää, kunhan olet ‘kysellyt kaveriltasi’.

http://tinyurl.com/29e9p4

Ei ole ongelmia, näin ne sanoo ihan sammon sivuilla

Netcraftin blogista löytyy esimerkkejä tapauksista missä rikolliset ovat rakentaneet vastaavien aukkojen kautta phishing-saitteja jotka näyttivät olevan pankin omalla palvelimella.

Siis samanlaisella reiällä kuin mitä verkkopankki.sampopankki.fi:stä nyt löytyi on oikeasti varastettu asiakkaiden rahoja muista pankeista.

Toissa kuussa Italiassa:
http://news.netcraft.com/archives/2008/01/08/italian_banks_xss_opportunity_seized_by_fraudsters.html

Pari vanhempaa tapausta jenkeistä, mm. Paypal.com:
http://news.netcraft.com/archives/2006/06/16/paypal_security_flaw_allows_identity_theft.html

http://news.netcraft.com/archives/2004/12/06/suntrust_site_exploited_by_fraudsters.html

Eiköhän siinä ole ollut kyseeessä vain sen testaus että keskiverto tumpelo osaisi ilman minkäänlaista kritiikkiä hyväksyä minkätahansa ulkomaankielisen härpäkeen asennuksen koneelleen ja osaisi käyttää sitä uutta verkkopankin sivua, ts testaaminen ei todennäköisesti ole liittynyt mitenkään tietoturvaan.

Muuten eikös suomessa ole joitain viranomaistahoja joiden pitäisi jotenkin valvoa kansalaisten tietoturva (ja henkilötietoturva) asioita, meinaan kun soneraa vaadittiin siirtämään postipalvelimensa suomeen tuon ruotsin vakoilupäätöksen takia niin kai niillä samoilla viranomisilla pitäisi olla edes jotain sanottavaa tästää Sampopankin tietoturvattomuuden keskittämisestä taskaan.

Toinen asia on tämä että eikös Kulutajaviranomaisten pitäisi älähtää siitä että Sampopankki pakottaa asiakkaansa käyttämään Englanninkielisiä palveluita.

Eli miksi ihmeessä viranomaistaho on niin hiljaa kun syytä olisi reagoida ja nopeasti.

Hox yllä oleva postaukseni viitaa tähän

foobar kirjoittaa:
27. maaliskuuta 2008 kello 10.37

Vai ei TE:llä ollut mitään tekemistä tämän kanssa?
…

(laitoin lainauksen hakasulkeisiin ja se ei jostain syystä näy tuossa postauksessani)

Sen koulutuksen hoitikin ilmeisesti joku sarainen tjsp konsulttifirma, joka sitten edelleen työnsi ne “osaajat” TE:lle testailemaan jotain tuohon liittyvää.

Ei ole kuulemma soveliasta puhua aiheesta enempää, joten se siitä.

> Eikö kukaan ole laittanut sammon sivuille vielä näkyville Nikin listaa?

Siis niinku näinkö?
https://verkkopankki.sampopankki.fi/html/index.html?site=SBNBFI&ProdCode=WP&producsecsystem=E2&serviceProviderName=%3Cscript%3E;document.write(‘%3ciframe%20src%3dhttp://www.hack.fi/~muzzy/lapsiporno%20width%3d600px%20height%3d400px%3e’);%3C/script%3E&secsystem=E2

Tämäpä on helppoa, vaikka en koskaan ole edes Javascriptiä koodannut…

Näin se menee:
proof of concept

thewarnerfi, kaunis ajatus että niitä käytettäisiin entropian kasvattamiseen mutta pieleen meni. SecureRandom alustetaan toisella PRNG:llä, AWT11SeedGenerator:n datasta otetulla sha-256 hashilla tarkemminottaen.

Sensijaan vakoilluista tiedoista kasataan jollain menetelmällä (mahdollisesti se sha256 hash) “PCID”:ksi kutsuttu tieto, jota käytetään osana autentikaatiota. Se lähetetään palvelimelle sitten sellaisenaan, eikä clientti käsittele tätä dataa itse mitenkään. Ehkäpä tarkoituksena olisi ottaa asiakkaan koneesta sellainen tunniste, joka olisi jokaisella käyttökerralla sama. En ole kuitenkaan vielä ehtinyt analysoida noita JNI-palikoita niin en voi varmuudella sanoa mitä tuolle vakoillulle datalle tehdään. Siihen vakoiltuun tietoon ei pitäisi olla mitään oikeutta kuitenkaan, oli tarkoitus mikä tahansa. Enpä myöskään löytänyt mitään käyttöehtoja jotka kattaisivat tämän. Jos minun sivuni puuhastelisivat tämmöistä, olisi rikostutkinta hyvinkin äkkiä pystyssä tietomurrosta. Miksi pankin tapauksessa tilanne on erilainen, jos tämmöisestä toiminnallisuudesta ei ole kerrottu asiakkaalle?

Sehän on myös selvää että mikäli käyttäjä jollain phishing-sivustolla tekee samat toimenpiteet kuin pankin sivulla, eli hyväksyy appletin luotettavaksi, tämmöisen temppuilun tietoturva-arvo on nolla. Vihamielinen appletti voisi lukea samat tiedostot ja tehdä ihan samat jutut kuin tuo oikeakin. Tämänlaisen teknisen järjestelyn arvo on siis vähintäänkin kyseenalainen.

Se mikä minua tässä JNI- ja “java trusted”-vedätyksessä nyppii eniten, on se että enää ei riitä että luotan pankkiin sen suhteen että pitävät rahani turvassa. Nyt pitäisi vielä antaa oman koneeni tietoturvakin heidän haltuunsa, ja oikein antaa lupa koko koneen hallintaan ja luottaa että tästä ei ikinä – nyt eikä tulevaisuudessakaan – seuraa mitään ongelmia. Minun tietoturvani kannalta on täysin järjetöntä tämmöiseen luottaa, kun se on täysin tarpeetonta.

Niille jotka ovat erimieltä, mitä ajattelisitte jos pankki tahtoisi kopiot autosi avaimista? Näitä avaimia sitten käytettäisiin testaamaan että auto tosiaan on sinun autosi joka kerta kun käyt pankissa asioimassa. Virkailija kävisi kokeilemassa että avain sopii lukkoon, jonka jälkeen ovi pistettäisiin takaisin kiinni. Eihän tämmöisessä järjestelyssä olisi mitään pahaa kenenkään mielestä? Internet ei kuitenkaan ole auto vaan pankissa käydään kotoa käsin, niin parempi vertaus olisi että pankille annetaan avaimet kotioveesi. Täysin järjetöntä. Minun koneeni hallinta on minun asiani eikä pankille kuulu takaovi-oikeutta jolla koska tahansa millä vain vierailulla koneeni voidaan kaapata ja jotain uutta juttua ajaa koneella.

Varsinkin kun suurin osa noista trusted operaatioista on sellaisia että saman toiminnallisuuden saisi ilmankin: cookieen voidaan tallettaa käyttäjäkohtainen “PCID” (jos pankissa ei olisi XSS-reikiä, se olisi suhteellisen turvallinen). Kryptoavaimia ja muita voitaisiin myös pitää cookieissa, tai jos tahdotaan jotain seksikkäämpää ja eksoottisempaa niin Flashin local storage olisi ihan jännä vaihtoehto myös, vaikken siitäkään henkilökohtaisesti pitäisi.

GRR.

Tuo XSS-haavoittuvuus näyttää ohittavan myös selainten phishing-estot, koska ne perustuvat domainnimen alun tarkistamiseen, joka tässä tapauksessa on oikein ja vieläpä SSL-sertifikaatitkin on varmistettu.

En viitsinyt kaivaa spammeista “Security check” -pyyntöjä oikeiden pankkien väärennetyille sivuille, joilla pyydetään tarkistamaan käyttäjätiedot antamalla tunnukset avainlukuineen “tarkistettaviksi.” Tässä esimerkkinä Firefox-selaimen testisivu, jonka pitäisi varoittaa Firefoxilla siitä, että kyseessä on tietojenkalastelusivu. Ei varoita, koska sivu on Sampo-pankin sivun sisällä.

http://tinyurl.com/3azykb

Toimii hienosti ja on ilmeisesti ajan kysymys, että sähköposteihin rupeaa tulemaan suomenkielistä spammia, jossa pyydetään tarkistamaan käyttäjätiedot “tietojärjestelmäuudistuksessa olleiden ongelmien takia” (viittaus oikeaan uutiseen tai pariin) ja sitten vielä varoitus käyttäjille siitä, kuinka phishing toimii ja varmistumaan siitä, että selaimen osoiterivi alkaa verkkopankki.sampopankki.fi/, ohje SSL-avaimen tarkistamiseksi jolloin voi varmistua sivuston 100%:sta turvallisuudesta. Sitten tällainen hackattu URL keskelle, joka osoittaa crackerin omalle sivulle ja avot – tunnukset on kalastettu. Sama vielä tanskaksi, niin saadaan sielläkin olevat rahat pois.

Eivät varmaan Sammossa kerkeä kaiken härdellin keskellä nyt hirveästi paneutua tällaiseen ongelmaan, koska koko verkkopankin arkkitehtuuri on sellainen, ettei sitä kovin helposti ja nopeasti korjata.

Systeemin ohjelmakoodin taso ei menisi ohjelmoinnin harjoitustyö kurssilla edes lävitse, koska sellaista iffittelyä ja väärien asioiden tarkistamista se on, että hirvittää. Varmasti ohjenuorana on sanottu, että yksinkertainen on turvallisinta ja toimivaa, mutta jotain järkeäkin saa käyttää. Nyt tuon koodin silmäilyllä jo näkee, että sen ylläpidettävyys on erittäin vaikeaa ja copy-paste koodausta on harjoitettu useammassakin paikassa, eli ongelmat täytyisi korjata joka maan eri verkkopankkien versioihin ja kaikkiin niihin kohtiin, joissa ongelmakoodia on käytetty. Pitkä tie tulee olemaan, ei käy ollenkaan kateeksi.

Hyvä Matti! Vaikka ilmaista työtä periaatteessa Danskelle teet niin aherra vaan, jospa vaikka löytyisi se vihoviimeinen tuomiopäivän exploitti josta saisit jälleen yhden sulan hattuusi miehenä joka paljasti Dansken koko pohjoismaissa käytössä olevan systeemin läpimädäksi.

Marko Grönroos ja Mikael Gueck eivät taida olla ihan ajan tasalla? Anyway, en tajunnut mihin graafista tietojen syöttöä tarvitaan, jos Java-appletilla otetaan login-tiedot. Sitähän käytetään juuri serveripäässä bottien estämiseen eli häh?

Oottekos muuten huomanneet, että vaikka sivulla vaihtaisi kieltä (Svenska, English) niin sama XSS pötkäle mikä sinne on ujutettu pysyy sivulla… Ja myös jos painaa sivulla uudestaan “Kirjaudu” linkkiä… vakuuttavaa.

http://img.thedailywtf.com/images/mfd/mfd13_e1b22c68.png näin sammolla

http://tinyurl.com/3ac9m7

Vaarallisemmaksi vaan menee…

Eipä toimi dailywtf, kun on Sonera! Hyvä Suomi!!

http://i25.tinypic.com/htsnj6.jpg

Kannaa muistaa, että tuollaisen phising-linkin uhriksi voi joutua muutenkin kuin hämäräperäisissä sähköposteissa. Esimerkiksi nettikaupassa tai henkilöllisyys pankin tunnuksilla varmennettaessa painetaan kolmannen osapuolen www-sivustolla olevaan linkkiä, jonka pitäisi viedä pankin sivustolle ja sitten annetaan pankin kysymiä tunnuslukuja…

Tämä threadi selvästi osoittaa miksen koskaan klikkaa tinyurleja, ainakaan ilman preview -toimintoa. En oikein ymmärrä miksi ne ylipäänsä hyväksyvät urleja jotka selvästi olisi tunnistettavissa XSSiksi.

Tässä pätee Soneran liittymiin, joissa ei toimi esim. archive.org, sama kuin “lapsipornoonkin”. Kierrä esto käyttämällä esimerkiksi nyud.net:iä, niin johan toimii:

http://img.thedailywtf.com.nyud.net/images/mfd/mfd13_e1b22c68.png

Heh. Yksi vakava koneenkaappaus-reikä noissa java-kilkkeissä ei toimi toisen bugin takia. Koodi ei tarkista exceptioneita joita lentää, ja ajo katkeaa jännästi. Mielenkiintoisesti kuitenkin appletti jää henkiin ja ilmeisesti rikkinäiseen tilaan ainakin joissain selaimissa, mutta näyttää käyneen tuuri kun en keksi siitä haavoittuvuutta juuri nyt. Ongelma siis danskesikker.jar:ssa jossa mikä vain web-sivu voi alustaa appletin. Appletista löytyy myös main() metodi ilmeisesti komentorivitestausta varten, sinänsä jännää että tämmöisiä turhia toimintoja löytyy pankin allekirjoittamista appleteista – mahtaakohan noilla testikomennoilla olla mitään mielenkiintoisia sivuvaikutuksia?

Tällävälin rupesin myös ihmettelemään kun tuo InterfaceWeb kaataa java decompilerini (jos joku dekompiloi sen onnistuneesti, saa kertoa). Näyttäisi kuitenkin siltä että se alustaa luokan ESafekeyImpl ja tarjoaa rajapinnan tähän. Tässä on vain yksi ongelma: missä hitossa tuo luokka on? Luenko tätä väärin? Kopio ESafekeyImpl.class:sta olisi kiva, tai jotain vihjeitä siitä mitä tässä tapahtuu.

PS. Tuossa InterfaceWeb:ssä näyttäisi olevan jokin whitelist domaineista jossa sitä voi ajaa. Pitää tässä välin siis erityisesti huomauttaa, että XSS-reiät pankin sivulla ohittavat tämmöisen turvatarkistuksen kokonaan, kun sitä applettia voidaan käskyttää suoraan pankin sivujen läpi…

Ei toimi Sonera, ei…
Sonera on muuten piilottanut reklamaatio-linkin sivuiltaan Omille Sivuille. Muuta syytä on vaikea keksiä kuin reklamoinnin vaikeuttaminen.

Jos ne tutkii, että onko koneen käyttäjä terroristi! Ei voi muuta kuin itkeä ja nauraa samaan aikaan.

Olikos tätä käsitelty täällä mikä digitodayssä eilen joku huomas? Aika epäilyttävää.
———–
http://www.digitoday.fi/keskustelut/message.jspa?messageID=1888425#1888425

“Olen tutkinut vähän tuota Sammon uudessa verkkopankissa olevaa JavaScriptiä, joka lähettää jokaisella sivunlatauksella tietoja TNS Gallupin palvelimelle osoitteeseen statistik-gallup dot net.

- Päivämäärä ja kellonaika
- Käyttäjän IP-osoite ja hostname
- Ladatun sivun otsikko, esimerkiksi “Uusi maksu” tai “Lainahakemus”
- Selaimen nimi ja versio
- Käyttäjän monitorin resoluutio ja värimäärä
- Istunnon tunniste (session id) ja muita vastaavia tietoja
“

Vahvistamattomat tietolähteet ovat antaneet ymmärtää, että Sampon uusi tietosuojaratkaisu tekisi siitä NATO-yhteensopivan. Asiaa ei lainkaan lievennä se tosiseikka, että CItibAnk käyttää vastavaa ratkaisua. On myös otettava huomioon, että nyt ollaan tekemisissä valtion kanssa, joka käy sotaa terrorismia vastaan.

Jaahas, luin sitten uutisia: http://www.kauppalehti.fi/5/i/talous/uutiset/etusivu/uutinen.jsp?oid=10900

“Nettikeskustelupalstoilla esiin tullutta ongelmaa väärennetyistä URL-osoitteista ei ole vielä kokonaan korjattu.

-Mutta se ei ole verkkopankin ongelma, se on ulkopuolinen ongelma, Vuola kuittaa.”

Paskapuhetta, valehtelevat! Kyseessä on nimenomaan verkkopankin ongelma, koska verkkopankki sallii hyökkäyskoodien lähettämisen siten että ne lataantuvat verkkopankin sivulta. Tämä tarkoittaa että verkkopankissa oleva vika mahdollistaa vakavien hyökkäysten tekemisen, ja tämä on nimenomaan verkkopankin ongelma.

Yrittääkö tuo Vuola selittää kaikki mitättömiksi ongelmiksi ellei joku vie rahoja? Se ei riitä ongelmaksi että riski on olemassa?

Ja hitto, mitähän seurauksia on vaikka noiden deleteCustomerKeyFile, getCustomerKeyPath, copyCustomerKeyFile sun muiden kanssa? Onko ne varmasti toteutettu turvallisesti niin että hyökkääjän kutsuessa näitä metodeja ei tapahdu mitään pahaa missään tapauksessa? Minua ainakin pelottaa ajatus että tuolla pystyisi ehkä ylikirjoittamaan käyttäjän koneelta tiedostoja.

Vihaksi pistää tämmöinen ongelmien vähättely. Täysin järjetöntä että pitäisi oikeasti tehdä jotain vakavaa tuhoa että asiat otettaisiin vakavasti. Damage control jne, puhutaan paskaa etteivät asiakkaat vaihtaisi pankkia vaikka syytä ehkä olisikin…

PS. Sammon tietoturvapolitiikka on muutenkin huuhaata. Muutama vuosi takaperin koitettiin kaverin kanssa esitellä Sammolle ideaa siitä miten dns-poisonilla voitaisiin tehdä MITM-hyökkäys pankkia vastaan. Koittivat ensin todeta että ei mitään ongelmaa ole, sen jälkeen väittivät että koska hyökkäyksessä pankkiliikenne menisi http:n yli eikä https:n niin asiakkaat huomaisivat sen lukkosymbolin puutteen. Lopuksi totesivat ettei asia ole ongelma ja heillä olisi kyllä keinoja torjua tämmöistä (niinpäniin). Olisivat vieläpä halunneet että kirjoitetaan NDA:t ettei asiasta puhuta, jolloin totesin yhteydenpitoa hoitaneelle kaverilleni että antaa olla. Ihmettelivät siellä kovasti meidän motiivejamme, että miksi meitä kiinnostaa koko asia.

Pankkien linja, tai ainakin Sammon linja, teoreettisiin riskeihin tuntuu olevan tämäntyyppinen että vähätellään ongelmien olemassaoloa. Voitaisiinkin sanoa että Sammolle turvallisuutta tärkeämpää on turvallisuudentunne – ilman sitä asiakkaat eivät pysy asiakkaina.

Uusi uutisia Sampo-pankkiasiassa!

KRP on päättänyt puuttua asiaan ja on lisännyt Sampo-pankin estolistalleen:

http://tinyurl.com/3xpnby

Näköjään saaneet korjattua tuon “2. vaiheen” XSS-virheenkin. Nyt tämäkin siirtyy tavanmukaisesti blank.htm-sivulle.

http://paste2.org/p/17705

Tuossa se InterfaceWeb purettuna jos sille on vielä tarvetta.

Niille, jotka miettivät, onko Sampo-pankin ohjelmakoodin tutkiminen ja avaaminen laillista, niin tähän tekijänoikeuslaki antaa varsin pätevän vastauksen. Erinäiset pienet ja isommat puljut yrittävät aina sorvata sopimuksiinsa ehtoja, joiden mukaan ohjelmakoodi on liike- tai pankkisalaisuuden piirissä ja siihen kajoaminen aiheuttaa välittämiä oikeustoimia. Laissa on tämä otettu huomioon ja todetaan, että tällaiset rajoitukset ovat tehottomia. Laillisiin tarkoituksiin ohjelmakoodia saa tutkia ja sen toimintaa selvittää, esimerkiksi varmistuakseen verkkopankin turvallisuudesta ennen sen käyttöä.

Tekijänoikeuslaki 8.7.1961/404
…

Tietokoneohjelmia ja tietokantoja koskevia erityissäännöksiä (3.4.1998/250)
25 j § (24.3.1995/446)

Joka on laillisesti hankkinut tietokoneohjelman, saa valmistaa ohjelmasta sellaiset kappaleet ja tehdä ohjelmaan sellaisia muutoksia, jotka ovat tarpeen ohjelman käyttämiseksi aiottuun tarkoitukseen. Tämä koskee myös virheiden korjaamista.

Se, jolla on oikeus käyttää tietokoneohjelmaa, saa valmistaa ohjelmasta varmuuskappaleen, jos se on tarpeen ohjelman käytön kannalta.

Se, jolla on oikeus käyttää tietokoneohjelmaa, saa tarkastella, tutkia tai kokeilla tietokoneohjelman toimintaa niiden ideoitten ja periaatteiden selvittämiseksi, jotka ovat ohjelman osan perustana, jos hän tekee sen ohjelman tietokoneen muistiin lukemisen tai ohjelman näyttämisen, ajamisen, siirtämisen tai tallentamisen yhteydessä.

Se, jolla on oikeus käyttää tietokantaa, saa valmistaa tietokannasta kappaleita ja tehdä kaikki muutkin toimet, jotka ovat tarpeen tietokannan sisältöön pääsyä ja sisällön tavanmukaista käyttöä varten. (3.4.1998/250)

Sopimuksen ehto, jolla rajoitetaan 2–4 momentin mukaista käyttöä, on tehoton. (3.4.1998/250)
25 k § (24.3.1995/446)

Ohjelman koodin kopioiminen ja sen muodon kääntäminen on sallittua, jos nämä toimenpiteet ovat välttämättömiä sellaisten tietojen hankkimiseksi, joiden avulla voidaan saavuttaa yhteentoimivuus itsenäisesti luodun tietokoneohjelman ja muiden ohjelmien välillä, ja seuraavat edellytykset täyttyvät:

1) nämä toimenpiteet suorittaa lisenssinhaltija tai muu henkilö, jolla on oikeus käyttää ohjelman kappaletta, taikka heidän lukuunsa henkilö, jolla on siihen oikeus;

2) yhteentoimivuuden saavuttamisen kannalta tarpeellinen tieto ei aikaisemmin ole ollut helposti ja nopeasti 1 kohdassa tarkoitettujen henkilöiden saatavilla; sekä

3) nämä toimenpiteet rajoittuvat niihin alkuperäisen ohjelman osiin, jotka ovat yhteentoimivuuden saavuttamisen kannalta tarpeen.

Tietoja, jotka on saatu 1 momentin säännösten nojalla, ei saa näiden säännösten nojalla:

1) käyttää muuhun tarkoitukseen kuin itsenäisesti luodun tietokoneohjelman yhteentoimivuuden aikaansaamiseen;

2) antaa muille, ellei se ole tarpeen itsenäisesti luodun tietokoneohjelman yhteentoimivuuden kannalta; eikä

3) käyttää ilmaisumuodoltaan huomattavassa määrin samanlaisen tietokoneohjelman kehittämiseen, valmistamiseen tai markkinoille saattamiseen taikka muuhun tekijänoikeutta loukkaavaan toimeen.

Sopimuksen ehto, jolla rajoitetaan tämän pykälän mukaista tietokoneohjelman käyttöä, on tehoton.

ENFOPOL ja ILETS on hyviä hakusanoja siitä mitä euroopan maat tekevät suomi mukaan luettuna

“Osuuspankin verkkopankkiin olen itse ollut kyllä tyytyväinen. En muista tilannetta, jossa ne sivut olisivat olleet jumissa tai alhaalla.”

No tätä vihjettä seuraamalla et ainakaan pääse eroon TE:n tekemistä järjestelmistä. Iso osa Osuuspankin järjestelmistä (ml. nettipankki) on TE:n Digital Innovations yksikön käsialaa. Positiivisena voidaan kuitenkin kai pitää sitä, että perustat on valettu vanhan Visual Systemsin aikana.

Uusimmassa versiossa on aika yksinkertaisella kikalla onnistuttu estämään pahimmat mahdolliset XSS-reikien hyväksikäytöt, eli ne estävät “

Jaaha, edellinen kommenttini hajosi pienempi-kuin-merkin takia. Koitetaanpas uudestaan:

Uusimmassa versiossa on aika yksinkertaisella kikalla onnistuttu estämään pahimmat mahdolliset XSS-reikien hyväksikäytöt, eli ne estävät “<” merkin lähettämisen URLeissa. Tämä kuitenkin mahdollistaa vielä ihan normaalin tekstin lisäämisen sivuille, jota voisi ehkä yrittää hyväksikäyttää ihmisten huijaamiseen..

Jokatapauksessa ei tuokaan esto korjannut kaikkia ongelmia mitä löysin eilen. Puolisen tuntia meni aikaa tehdä uusi XSS-exploitti, mutta tällä kertaa jätän sen julkaisematta.

MattiNikki sanoi “PS. Sammon tietoturvapolitiikka on muutenkin huuhaata”.

Ai sen takia jos joku lukee netistä MITM-uhkasta ja kertoo siitä pankille, niin pankin pitäis tehdä asialle jotain? On nekin varmaan lukeneet cert.fi:tä tai ehkä jopa Tietokone-lehteä. Ei niille tartte itsestäänselvyyksiä kertoa. Jos teidän kungfu olis parempaa kuin pankin, niin ehkä olisitte töissä siellä?

Tottakai tällasia uhkia on, mutta kuinka todennäköisiä ne ja eikö käyttäjä huomais sitä sertifikaattiherjaa ja suojatun yhteyden puuttumista? Dns:n saa kyllä sotkettua, mutta miksi nähdä vaivaa?

Paljon todellisempi uhka on se, että IE imaisee jonkun haittaohjelman ja kerää sun tiedot kun olet SSL-yhteydessä. Mitään epätavallista ei näy koneella ja haittaohjelma voi tehdä vaikka maksuja jos haluaa.

Voiko tällasta tapahtua? Joo F-Secure raportoi tästä jo viime vuonna.

Ehkä vielä suuremman uhkan luo sähköpostit joissa pyydetään kaikki kertakäyttöiset turvaluvut. Moneltako lähti tällä kertaa Nordeasta rahat? Nordea väittää ettei keltään. Minä väitän että vajaalta 20 asiakkaalta.

Tästä uudesta Sammon verkkopankista sen verran, että kyllä huomaa minkälaisia tanskalaiset verkkopankin käyttäjät on ja paljonko ne vaatii. Samalla näkee kans tanskalaisten IT-taidot ja paljonko ne välittää asiakastyytyväisyydestä.

En sano että Enatorin tekemä vanha oli täydellinen, mutta oli se varmasti tiukemmin tehty kuin tämä uusi.

ENFOPOL, sitä tuossa tuli itsekin mietittyä, mithän kaikkea Java kikkare voi oikein tehdäkään, jos sille lisäpaketteja lähetetään, äänikorttikin kun tuntuu kiinnostavan, saako sillä mikin päälle, ties vaikka web kameran

http://www.google.fi/search?hl=fi&q=ENFOPOL+&btnG=Google-haku&meta=lr%3Dlang_fi

mikä olis suomalainen pankki jossa rahat on suomessa ?

nordea – ruotsalainen – rahat ruotsissa
sampo – tanskalainen – rahat tanskassa

“Nettikeskustelupalstoilla esiin tullutta ongelmaa väärennetyistä URL-osoitteista ei ole vielä kokonaan korjattu.

-Mutta se ei ole verkkopankin ongelma, se on ulkopuolinen ongelma, Vuola kuittaa.”

Jos yllä oleva lainaus on oikea ja Vuola on tälläisen sammakon päästänyt suustansa, niin hoh-hoh. Luulisi että miehelle on tähän mennessä väännetty rautalangasta pariin otteeseen mistä Cross Site Scriptingissä on kyse ja että on olemassa hyvin suuri ja todellinen riski sille että joku menettää tunnuslukunsa ja rahansa sen seurauksena.

Sopivan XSS-hyökkäyksen tekeminen ei oikeasti olisi edes hirveän vaikeaa ja erityisen suuret onnistumisen mahdollisuudet sille olisi juuri nyt kun verkkopankin käyttöliittymä on asiakkaille uusi.

En kerta kaikkiaan pysty hyväksymään Sampo Pankin vähättelevää suhtautumista tähän ongelmaan. Alan kallistua koko ajan enemmän sille kannalle, että pankki menee vaihtoon. Se on sinänsä harmi, koska olen tähän asti ollut oikein tyytyväinen Sampo Pankin palveluihin (ja etenkin saamaani palveluun).

Sanoitko Vähättelevää suhtautumista. eikös Vuola jo moittinut käyttäjien syyksi vanhat koneetkin, tulee mieleen se aika kun jossain pankissa enne nlamaa johtaja harmisteli, kuinka turhat asiakkaat(köyhät)sotkevat matotkin…

“Hannu Vuolan mukaan haukutun verkkopankin käytön ongelmat johtuvat enää lähinnä asiakkaista tai heidän vanhentuneista tietokoneistaan.”

http://www.kauppalehti.fi/5/i/talous/uutiset/etusivu/uutinen.jsp?oid=10900&ext=rss

Vuolan kommentit uppoavat suureen massaan kuin häkä. Ne otetaan aivan täydestä ja totena, mikä on tarkoituskin (maksavien asiakkaiden säilyttäminen). Pankkitoiminnassahan on kyse luottamuksesta, se on asia jota pankit vaalivat viimeiseen asti tai pankin taru on ohi. Siitä asemasta on hyvä myös antaa lausuntoja, jotka niiden tullessa uskotaan täysin, koska tulevathan ne luotetusta lähteestä.

Toisin sanoen: Mies puhuu paskaa virkansa puolesta.

Laitoin hosts fileen:

127.0.0.1 statistik-gallup.net #sampopankin tiedonkeruu host

ja tosiaankin joka kerta kun sampopankin “palvelussa” siirtyy sivulta toiselle tulee kaksi alertia:

“statistik-gallup.net has sent an incorrect or unexpected message. Error code -12263.”

jotka pitää kuitata pois ennenkuin pääsee jatkamaan.

Uutena ominaisuutena “palvelussa” on että voi tilata sahköpostiinsa hälyytyksen kun on saanut pankilta viestin. Tanskalaissoftan mielestä suomalainen iki.fi -osoite ei kuitenkaan ole kelvollinen.

Sampopankki ei taida olla ainoa pankki jossa on ongelmia. Osalla pankeista verkkomaksu-ominaisuus verkkokaupoissa sisältää parametrinä virhe-urlin ja ok-urlin.

Tiedon oikeellisuus lasketaan md5:n avulla lisäämällä salainen avain tiettyjen arvojen lisäksi. Kaikissa pankeissa noita urleja ei kuitenkaan tarkisteta tuon avulla. Esim: http://www.samlink.fi/verkkomaksu/pdf/Sp_Pop-kayttoohje_fi_v1_3_07062006.pdf

Periaatteessa vika mahdollistaa käyttäjän ohjaamisen toiselle sivustolle mitä asiakas on alunperin odottanut. En ole vielä kokeillut onko noihin mahdollista laittaa suoraan esimerkiksi javascriptiä. Epärehellinen verkkokaupan omistaja voi esimerkiksi tehdä sivun jossa palautusosoitteessa kerrotaan maksun epäonnistuneen ja kysymällä tietoja toiseen kertaan.

Aika yllättävää on pankkien ongelmat. Ainakin aikaisemmin niiden tietoturvaan pystyi luottamaan lähes täydellisesti.

Jaahas, enpä huomannut aiemmin päivällä Hesarin sivuilta uutista, jossa Sampo Pankki pyytää asiakkailtaan anteeksti tätä hässäkkää, ks. http://www.hs.fi/talous/artikkeli/1135235108729

Nyt näköjään myös Vuola tunnustaa, että XSS _on_ todellinen riski, toisin kuin vielä eilen illalla, ks. http://www.hs.fi/talous/artikkeli/1135235096732

Sinänsä hyvä, että ongelma nyt vihdoin ja viimein tunnustetaan ja että korjaaviin toimenpiteisiin on ryhdytty. Se vaan ei poista sitä tosiasiaa, että verkkopankin toteutus on sellaista kuraa että oikeasti hirvittää.

Kaikista eniten minua tässä kuitenkin huolettaa se, että verkkopankille ei takuuvarmasti ole tehty minkäänlaista tietoturva-auditointia. Kyse on kuitenkin _pankin_ tietojärjestelmästä, jossa käsitellään melkein miljoonan asiakkaan raha-asioita (plus tanskalaiset asiakkaat).

Luulisi, että pankki kokee asiakkaiden luottamuksen säilyttämisen siinä määrin tärkeäksi, että tietojärjestelmän elinkaarenhallintaan liittyisi itsestään selvänä asiana uusien tietojärjestelmien turva-auditointi.

Uskallan kuitenkin väittää että auditointia ei varmasti ole tehty. Niin triviaaleista ja perustavaa laatua olevista virheistä tässä on kyse. Sellaista tietoturvakonsultiksi itseään kutsuvaa henkilöä ei saisi olla olemassa, joka näitä ongelmia ei olisi etukäteen auditoinnissa havainnut.

( truecrypt | eraser | ccleanup | tor )

statistik-gallup.net löytyy lisä tietoa :

http://www.tietoviikko.fi/doc.ot?f_id=1233105

Juu’uh. Voin varmistaa niin tss:n havainnon “korjauksesta” kuin myös sen, että XSS-reikiä on yhä jäljellä. Sampo on lähtenyt korjaamaan ongelmaa typerimmällä mahdollisella tavalla, eli koodin korjaamisen sijaan yritetään tunnistaa hyökkäys.

Koodi on yhä pullamössöä, paskaa, eikä vikoja ole korjattu. Laatu ei ole parantunut. Pelottavintahan tässä on se, että “korjaukset” koskevat vain julkisesti ilmoitettuja hyökkäyksiä ja onpa tehty sellaisiakin korjauksia että muutetun rivin perässä heti kahdella seuraavalla rivillä ammottaa yhä täysin ilmiselvä aukko, joka oli lähestulkoon samanlainen kuin se edellinenkin. Oikeasti. Se on jätetty käsittelemättä todennäköisesti vain siksi että kukaan ei ole julkisesti esittänyt sitä vastaan hyökkäystä!

Rikolliset eivät raportoisi julkisesti näitä aukkoja, joten tämänlainen ohjelmiston korjauspolitiikka ei ole hyväksyttävää. Pankin tulisi välittömästi tehdä tietoturva-auditointi noita sivuja vastaan ja etsiä sieltä lisää XSS-reikiä omatoimisesti. Tämän lisäksi koodin laatu tulisi tarkistuttaa riippumattomalla kolmannella osapuolelta ja pyytää siitä arvio. Niiltä osin kuin riippumaton arvio sanoo että koodi on roskaa, vaikeasti ylläpidettävää höttöä, tulisi miettiä jotain toimenpiteitä.

Mikäli arkkitehtuuriratkaisussa (tarkoitan lähinnä javascriptiä) aiotaan pysyä, tulisi koodi vähintäänkin refaktoroida. Syötteen käsittely tulisi keskittää yhteen paikkaan, koodille tulisi tehdä oikea arkkitehtuuri jne jne. Sivuston tila olisi luontevampaa kuljettaa cookiessakin kuin osoiterivillä, joka jo itsessään estäisi huomattavan määrän hyökkäyksiä! Ja hommaan pitäisi palkata joku joka oikeasti osaa JS-webkehitystä, nykyiset AJAX-suuntaukset ovat johtaneet tälläisten osaajien määrän huikeaan kasvuun joten ongelmia ei pitäisi tämän suhteen olla.

Kokenut ajax-kehittäjä huomaisi välittömästi myös sen aivokuolleen tavan jolla sivut tällähetkellä generoidaan, joka käytännössä pitää huolen siitä että sivut tökkivät selaimella kuin selaimella. Scriptit jotka kirjoittavat script-tageja jotka kirjoittavat sivuja jne. Sivut pitäisi suunnitella niin että mahdollisimman aikaisessa vaiheessa selain pääsee lataamaan oleellisia resursseja niinkuin kuvia ja tyylimäärittelyjä. Ei tapahdu danske bankenin sivujen kanssa, kun ensimmäiset resurssit tulevat selaimen parserille vasta usean scriptin lataamisen ja ajamisen jälkeen. Sivujen latausviiveet kasvavat moninkertaisiksi normaaliin nähden johtuen käytetystä arkkitehtuurista ja tavasta jolla se on implementoitu. Hirvittää oikein tuommoinen, kamalaa katsottavaa.

Kaikenkaikkiaan vituttaa tämmöinen. Ei saa olla mahdollista että pankki pyörii näin paskalla järjestelmällä. Jos minä olisin paha rikollinen, saisin parissa viikossa tai kuukaudessa varmastikin aikaan konkreettisen rahoja varastavan hyökkäyksen. Pelkkään kiusantekoon riittää pienempikin panos, ja uskoisin esimerkiksi teoriassa mahdolliseksi sellaisen linkin tekemisen joka tekee asiakkaan koneesta käyttökelvottoman, jos vain menee sanomaan selaimelleen “kyllä, luotan danske bankeniin”.

Matti Nikki kirjoitti:
“Juu’uh. Voin varmistaa niin tss:n havainnon ”korjauksesta” kuin myös sen, että XSS-reikiä on yhä jäljellä. Sampo on lähtenyt korjaamaan ongelmaa typerimmällä mahdollisella tavalla, eli koodin korjaamisen sijaan yritetään tunnistaa hyökkäys.”

Huoh. Pistää vihaksi kun löytää itsensä jeesustelemasta ja besserwisseröimästä. Mutta oikeasti. Kuinka kädetön saa olla?

huvikseni naputtelin tuota kirjautumista tossa ja huomasin että mokoma apletti vähentää jokaisella kirjautumisella yhden avainluvun kortista vähemmäksi vaikka jättäisikin kirjautumisen kesken ja painaisi peruuta :@
onhan se tietysti “turvallisempaa”(heh) kun ei enää voi “käyttämätöntä” koodia uudestaan käyttää. loppuvat vaan mokomat äkkiä kesken :S

krp kohta sensuroi tämän sivun ja sampopankin verkkopankista tulee selain

onkos kukaan jättänyt tutkintapyyntöä poliisille tästä sampon “haittaohjelmasta” joka kalastelee tietoja ja tunkeutuu yksityisomaisuuteen tehden kansioita ja ties mitä?

Justiin sanottiin TV2:n uutisissa, että Sampo on korjannut verkkopankkinsa ongelmat. Niin sen täytyy sitten olla.

Ainakin yksi ongelma siellä näyttää vielä olevan vaikka ilmoitin tuosta jo päivällä pankille. XSS-tyyppinen sekin. Muita pankkeja oli myös syytä käydä läpi.

Noniin, eipäs sitten makseta laskuja Sampoon. Verkkopankin sivu jumittuu tunnuksen ja salasanan jälkeen. Näen kyllä laatikon johon se haluaa turvakortin numeron mutta siihenpäs ei voikaan mitään kirjoittaa. Selaimena Opera 9.26.

Noh, nou hätä, taidanpa äänestää jaloillani minäkin ja tallustella toiseen pankkiin avaamaan tiliä. Ei paljoa innosta pitää mammonaa tämmöisen purkalla kyhätyn virityksen takana. Varsinkaan kun yhtiö tuntuu olevan välinpitämätön korjaamaan sitä kunnolla.
*peukut alas*

Näitä muita pankkeja kun katsoo niin täällä voi olla aivan hyvin samanlaisia ongelmia kuin Sampolla. “Ongelmana” on tähän asti kai ollut se että pankkeja on pidetty idioottivarmoina ja vasta uudenkaltaisen järjestelmän tulo on innoittanut tutkimaan tarkemmin järjestelmää.

Huonolla tuurilla saattaa olla niin että tämä sampon tapaus on vasta alkua suuremmalle ongelmalle verkkopankeissa. Toivottavasti suomalaiset ovat kuitenkin tehneet asiat paremmin. Muiden pankkien järjestelmiä olisi kyllä syytä käydä läpi.

Ei toimi taaskaan Sammon verkkopankki, ei siitä valmista näytä tulevan vaikka ovat kohta viikon ovat katkoa enemmän tai vähemmän pitäneet.

Tämä Sammon “verkkopankkiepisodi” nakertaa luottamusta siihen peruskiveen jota tässä itsekin on tullut harrastettua – myönnetään – eli
oletusta siitä että kyllä kait nyt sentään pankeissa verkkoturva-asiat osataan ja halutaan hoitaa. Se siitä luottamuksen peruskivestä sitten…..

Tuo:

https://mobiili.sampopankki.fi/

vaikuttaa “hyvältä”, ei javascriptiä eikä turhia hörhelöitä. Näyttäisi säilyttävän istunnon tilatiedot formin hidden-kentissä. Ei myöskään lähettele mitään statistik-gallup.net:iin.

Juha Koivuranta: “Näitä muita pankkeja kun katsoo niin täällä voi olla aivan hyvin samanlaisia ongelmia kuin Sampolla. ”Ongelmana” on tähän asti kai ollut se että pankkeja on pidetty idioottivarmoina ja vasta uudenkaltaisen järjestelmän tulo on innoittanut tutkimaan tarkemmin järjestelmää.”

Sen mitä olen suomalaisia verkkopankkeja tutkinut, ei niistä mikään ole näin riippuvainen Javascriptistä saati Javasta. Ne osat, joissa Javascriptiä on pankeissa käytetty, on toteutettu yleensä myös vaihtoehtoisella tavalla ja JS:ää ajetaan vain siksi, että jokin toiminto voidaan tehdä nopeammin tai käyttäjäystävällisemmin.

Olen erittäin huolestunut siitä, millaisella arkkitehtuurilla tuo Danske Bankin viritys on tehty, kun jo järjestelmän asiakaspäässä oleva ohjelmakoodi on laadultaan hyvin heikkoa. Sellaisella ei oikeasti pääse läpi ohjelmoinnin harjoitustyöstä korkeakoulussa. Ohjaaja lähinnä itkisi, sillä ratkaisutavat ovat samanlaisia, mitä aloittelevat ohjelmoijat käyttävät. Metriikka-analyysi siitäkin yhdestä Javascript-funktiosta, jossa oli arviolta sata if-lausetta, huutaa punaisena apua. Tai se tapa, millä Javalla otettiin aikaleima. Ei hyvää päivää… Lisäksi tuotettu HTML-koodi on järjestään rikki ja kunnolla.

Arvaan, ettei arkkitehtuuria tuolla takana ole yhtään sen paremmin toteutettu. Järjestelmää tuskin on tehty minkään hyvien käytäntöjen mukaisesti, vaan pikemminkin Matti Nikin mainitsemalla Ad Hoc -arkkitehtuurilla. Tekijöitä näyttää olleen paljon ja osa koodista on selvästi ostettu jostain ja laitettu nippuun muun tavaran kanssa. Eroa laadussa on välillä kuin yöllä ja päivällä. Kunnollista yksikkötestausta tai integraatiotestausta ei näytä olevan tehty ainakaan asiakaspään tavaralle, koska ohjelmakoodista huomaa jo silmäilemällä, ettei se voi koskaan käydä tiettyjä syötteitä läpi, siinä olevien virheiden takia. Mukana on tavaraa, jota ei pitäisi olla tuotantoversiossa ollenkaan, joten koodin niputtavia skriptejä ei todennäköisesti osata käyttää tai niiden käyttöä tuotantoympäristöön viennin suhteen ei ole riittävästi ohjeistettu tai testattu. jne. jne. jne…

Tavara on aivan luokatonta ja sitä ei voi verrata millään muotoa yhteenkään toiseen suomalaispankkiin. Nuo virheet, joita siellä on jo huomattu, ovat aivan luokattomia. Toivottavasti koko roskaa ei ole ikinä testattu kunnolla, koska muuten testauspäällikkö tai vastaava (kai tällainen on?) saisi saada monoa.

Eilinen ja tämä päivä on tehty pikaisia ad hoc -korjauksia, jotka on viety vauhdilla tuotantoon. Ilmeisesti testistä koekäyttöympäristöön hyväksyttäviksi ja pikatestin jälkeen baanalle. Ei näin, mutta ei kai tässä tilanteessa pankki muutakaan voi tehdä, kun järjestelmän pitäisi olla 24h pystyssä..? Arvaan, että nuo korjaukset aiheuttavat regressiota vielä muualla päin koodia ja sitten taas laitetaan paikkaa paikan päälle.

Varsinainen aarreaitta tihulaisille. Testaamaton amatöörien koodaama softa tuotantoympäristössä ja takana muutama miljardi rahaa. Toivottavasti takana olevat järjestelmät ovat kunnollisia tai muuten tuolla voisi saada aikaan todella pahoja, jos nyt ei rahaa viemällä, niin sotkemalla koko tietokannan, kun jättää update-lauseesta tilinumeron ehdon riittävän väljäksi, jolloin saa miljoona monistusta tapahtumasta kerralla satunnaisesti jakautuneena eri tileille. Siinä sitä sitten on selvittämistä, jos pankin järjestelmä olisi tarkoitus pitää 24h pystyssä…

Totta kyllä että javascript-ratkaisut sampon sivuilla ovat karmeita verrattuna suomalaisiin pankkeihin. Tarkoitin edellisellä lähinnä syötetarkistuksia palvelimen päässä eli nyt löytyneitä XSS-aukkoja.

Toisesta pankista löytyi vastaava XSS-vika. Laitoin jo viestiä niille menemään. Toivottavasti tämä ei enää tästä laajene…

“onkos kukaan jättänyt tutkintapyyntöä poliisille tästä sampon ”haittaohjelmasta” joka kalastelee tietoja ja tunkeutuu yksityisomaisuuteen tehden kansioita ja ties mitä?”

Todennäköisesti ei. Suomessahan lain mukaan saa kerätä henkilörekisteriin vain sellaisia tietoja, mitkä ovat palvelun tuottamiseksi välttämättömiä. Tuo todennäköisesti kerää aivan liikaa tietoa käyttäjien koneista ja olisi Suomessa yksiselitteisesti laitonta toimintaa. Palvelu vaan ei nyt satu olemaan Suomessa, vaan Tanskassa, joten asiaa pitäisi katsoa Tanskan lakikirjasta!

Tietääkö joku miten koneensa voi siivota noista DanskeSampon virityksistä?

Koivuranta: Syötetarkistuksia palvelimen päässä XSS-aukkoihin liittyen? Unta näet, palvelin ei tarkista noita parametreja mitenkään. Nuo sivut ovat STAATTISTA HTML:ää!

Löydetyt XSS-aukot tulevat siitä että javascriptillä otetaan osoiteriviltä parametrit ja generoidaan niiden perusteella sitten html:ää, mukaanlukien lisää javascriptiä. Palvelin ei tee noilla parametreilla mitään. Ilmeisesti tämä on kustannussyistäkin näin, eipä tule turhaa cpu-kuormaa palvelimelle kun asiakkaan koneen voi valjastaa tekemään syötteen käsittelyn ja sivujen html-koodin generoinnin. Palvelimen tarvitsee vain pitää läjä staattisia javascript- ja html-tiedostoja cachessa…

Hehe, tuo onkin hyvä konsti “ulkoistaa” cpu. Tuo oma reikä liittyi sellaiseen paikkaan jossa pitäisi nimenomaan olla syötetarkistus eli sivun parametrit lähetetään palvelimelle ja tuo nimenomainen parametri tulostetaan sivuille mitenkään tarkistamatta. Ei siis staattiseen sisältöön. Sama homma oli tuon toisen aukon kanssa.

Miten todennäköistä on, että joku tihulainen olisi todella käyttänyt hyväksi siirtymähärdelliä? Tuskinpa Sampo sitä suuremmin mainostaisi, jos raha tai toinen olisi oikeasti hukkateillä. “…suuri muutostyö olisi hyvä hetki iskeä” totesi F-Securen Mikko Hyppönen HS:lle tänään. Sampo puolestaan mainosti jo hyvissä ajoin ottavansa Danske Bankin systeemin käyttöön – saman, mikä on Tanskassa jo ollut käytössä ja reikäiseksi havaittu. Tihulainen olisi siten päässyt tutustumaan systeemiin jo hyvissä ajoin. Toisaalta, miksipä ei olisi hyökännyt suoraan Dansken kimppuun.

Tiedä sitten millä sampopankin sivuilla noita XSS-haavoittuvuuksia parseroidaan pois urleista, ainakaan pelkkä pituus ei voi merkittävä tekijä, koska kelan sähköisen asiointisivuston tunnistuslinkki on jotain 500+ merkkiä.

Olisiko tuosta “statistik-gallup.net” tiedon tallennus Tanskaan vuoden ajaksi -toiminnosta hyötyä jos DanskeSampoPankki sekoilee ja kadottaa asiakkaan rahat tai tekee tilisiirtoja sinne sun tänne satunnaisesti? Sillähän voisi ainakin todistaa täsmällisesti milloin, mihin kellonaikaan ja mistä koneelta on ollut yhteydessä tuohon verkkopankkiin, jos vaikka kyseinen verkkopankki itse unohtaa mitä oli tehnyt ja milloin. Tätä tietoa asiakas käyttäisi sitten korvausvaatimuksia laadittaessa.

Onkohan kukaan yrittänyt käyttää Sammon tunnistuspalvelua? Minulla se jää jumiin sen jälkeen, kun olen painanut kirjaudu-painiketta (asiakastunnus ja tunnusluku syötetty). Yritin kirjautua sähköinen verokortti -palveluun ( http://www.vero.fi/ ). Ei toiminut myöskään Kelan verkkoasioinnissa.

Tarkennuksena vielä, että asiakaspalvelun vastaus oli kehotus “try clear your temporary internet files” ja sen jälkeen pahoiteltiin, ja sanottiin, että soitetaan jonkin ajan päästä uudestaan.

Palvelua siis sain englanniksi (ruotsi olisi ilmeisesti ollut toinen mahdollinen kieli)

Minulla kävi samoin, kuulemma joku saanu toimiin copypasteamalla sen urlin IE:hen mutta ite en koittanu. Itellä firefoxissa tapahtui.

No se ei oikein ole ratkaisu, kun ei ole käytettävissä Windows-koneita. Eli Firefox+Linux-yhdistelmällä liikkeellä. Operallahan tuo koko homma ei tunnu toimivan.

Riittäiskö statistik-gallup.net:n estämiseksi jos sen laittaisi hosts tiedostoon 127.0.0.1:ksi?

Rölli “Tuo todennäköisesti kerää aivan liikaa tietoa käyttäjien koneista ja olisi Suomessa yksiselitteisesti laitonta toimintaa. Palvelu vaan ei nyt satu olemaan Suomessa, vaan Tanskassa, joten asiaa pitäisi katsoa Tanskan lakikirjasta!”

Olisikohan tuo juuri siirtämisen tarkoitus?

irc-keskustelussa kaverini leikillä kommentoi, että kun appletti jumii hänen konettaan, niin sen pitää olla varmaan raskaampi kuin id softwaren doom 3, koska se ei jumi hänen konettaan.

Uudemmalla (9.xx sarjan) Operalla (Linuxsissa) ainakin mulla on ollut ongelmana se että sampo väittää sitkeästi että java tukea ei löyttyisi (tämä on tietenkin täyttä soopaa).

Mikä hulluinta vanhassa Win98se K6-2 koneessa jonka kaivoin varaston pohjalta (siis totaalisen päivittämätön (windows update ei toimi) siinä on mm toimimaton virustorjunta (Antivir jonka Win98 versoiita ei enää tueta) ja ikuisen vanha Zonealarm 4.5xx (siis palomuurin exploitit tunnetu pitkään) ja IE on jotenkin rikki (ei saa selville onko 128bit salaus käytössä vaikka se on asennettu ja versoinumeroakaan ei saa selville) joten ylimääräisiä vieraitakin voipi todennäköisesti olla) selaimena Opera 7.7 Java 1.4xx Sampopankin testi vakuutaa tuon koneen turvalliseksi ja se toimii Sampon nettipankissa (ainakin niin pitkälle kun uskallsin edetä).

Mitä tästä opimme on se että Sampopankin verkkopankki vakuutta tavaliselle keskivertokäyttäjälle että heidän pomi/viruspesä koneensa on täysin turvallinen nettipankin käyttöön.

Mitä tulee Linux ongelmiin niin Sampon verkkopanki väittää Kubuntu 7.04 Linuxin Concueror selainta liian vanhaksi ja turvattomaksi nettipankin käyttöön mikä ei taatusti pidä paikkaana (kyseinen selain on taatusti tsiljoona kertaa turvallisempi kuin toi Win98se reikäjuusto + Opera 7.7).

Itse taidan rajoitta Sampoasiointini tuohon mobiilipankkiin ja alkaa hakea aktiivisesti rahoilleni uutta kotia jostain suomessa toimivasta pankista (onko muuten ainut vaihtoehto OP).

Riittäiskö statistik-gallup.net:n estämiseksi jos sen laittaisi hosts tiedostoon 127.0.0.1:ksi?
–
Ainakaan ko. osoitteeseen ei mitään dataa sen jälkeen mene

“Riittäiskö statistik-gallup.net:n estämiseksi jos sen laittaisi hosts tiedostoon 127.0.0.1:ksi?
–
Ainakaan ko. osoitteeseen ei mitään dataa sen jälkeen mene”

Tuli kokeiltua, mutta Vista ei oikein hyväksynyt ehdotettua, pitäisi alkaa virkkaileen aivan outoja…Ideoita?

http://www.mvps.org/winhelp2002/hostsvista.htm

HOST filua voi editoida vaikka notepadilla kun ottaa UAC:n (user accountsin alla) pois päältä ja laittaa sen sitten takaisin päälle.

Tai esim. firefoxiin saa loistavan adblock pluginin
https://addons.mozilla.org/en-US/firefox/addon/10
jolla saa muutkin vastaavat häiriköt pois pelistä, mukaanlukien Flashit

Kiinnitin huomiotani tälle sivustolle kirjoittaneiden aktiivisten pankki-softa-poliisien kirjoittelusta.

Pojat ovat olleet ihan oikealla asialla, mutta ovat unohtaneet sen, että uhoamisella ei voita mitään eikä uhoamisella tulevaisuudessa tulla luomaan liikesuhteita mihinkään.

Poikaparat ovat nyt julkisesti esiintyneet omissa persoonissaan ja asettuneet sellaisiksi koodiasiantuntijoiksi, jotka ovat ns. aina oikeassaolevia henkilöitä. Nikkikin muka ryhtyi analysoimaan näkemäänsä koodia sen perusteella, että ikäänkuin hän olisi joku jumala, joka tietää kuinka ohjelmistojen rakenteet tulee tehdä.

Kaveri haukkasi niin paljon “paskaa”, että varmasti 5 vuoden kuluttua tajuaa itsekkin kuinka typerästi esiintyi.

Yleensä tällaiset uhoajat jälkeenpäin osoittautuvat yhteistyökyvyttömiksi ja epäpäteviksi työyhteisöissä.

Näin se vaan on ollut ennenkin ja tulee olemaan tulevaisuudessa. Ps. Voihan niitä pikkunäppäryyksiä laukoa julkisuuteen, mutta tunnetkohan ihan tarkkaan arkkitehtuuria, mitä olet kommentoinut viime päivinä.

loistava trolli..

vanhaparta:
???
mielestäsi on siis aivan oukei että pankin nettipuoli ei toimi kuin osassa selaimia ja että ihmiset eivät pysty maksaa laskujaan ja että saldotiedotkin ovat tuurista riippuen aivan päin helvettiä vääriä? Missä pankissa olet töissä sattumoisin vai Sammossa?

ihme tyyppi, kehu tuota koodia jos pystyt.

“HOST filua voi editoida vaikka notepadilla kun ottaa UAC:n (user accountsin alla) pois päältä ja laittaa sen sitten takaisin päälle.”

Tai oikealla tavalla käynnistetään Notepad (suomeksi muistio) riittävillä paukuilla. Eli Vista:n käynnistä menun haku ruutuun kirjoitetaan notepad/muistio, kielestä riippuen, ja klikataan oikealla ja valitaan Run as administrator… / Suorita järjestelmänvalvojana…

Silloin voi tallentaa mm C:\ juureen ja muokata tuota hosts filua.

@Vanha Parta

Ei näin…

“Pojat ovat olleet ihan oikealla asialla, mutta ovat unohtaneet sen, että uhoamisella ei voita mitään eikä uhoamisella tulevaisuudessa tulla luomaan liikesuhteita mihinkään.”

Mielestäni keskustelussa ei olla uhottu millään tavalla vai onko poliisitutkinnan vaatiminen mitenkään uhkaavaa?
Haukuttu on ja aivan pätevillä perusteluilla kyllä

“Poikaparat ovat nyt julkisesti esiintyneet omissa persoonissaan ja asettuneet sellaisiksi koodiasiantuntijoiksi, jotka ovat ns. aina oikeassaolevia henkilöitä.”

Onko ko. koodiasiantuntiat esittäneet asioita joissa voi olla väärässä?
Jos on, niin ole hyvä ja anna palautetta sitten.

“Nikkikin muka ryhtyi analysoimaan näkemäänsä koodia sen perusteella, että ikäänkuin hän olisi joku jumala, joka tietää kuinka ohjelmistojen rakenteet tulee tehdä.”

Jokainen tekijä tietää, jos tällaisia aukkoja löytyy (verkkopankista!) täytyy muutenkin arkkitehtuurin olla paska. Jos satuttuisit tietämään mitään ohjelmoijasta ja katsoisit ulospäin näkyvää koodia niin ymmärtäisit itsekin.

“Kaveri haukkasi niin paljon ”paskaa”, että varmasti 5 vuoden kuluttua tajuaa itsekkin kuinka typerästi esiintyi.

Yleensä tällaiset uhoajat jälkeenpäin osoittautuvat yhteistyökyvyttömiksi ja epäpäteviksi työyhteisöissä.

Näin se vaan on ollut ennenkin ja tulee olemaan tulevaisuudessa. Ps. Voihan niitä pikkunäppäryyksiä laukoa julkisuuteen, mutta tunnetkohan ihan tarkkaan arkkitehtuuria, mitä olet kommentoinut viime päivinä.”

Ja lopuksi pitää vielä “turvautua” henkilökohtaiseen dissaukseen. Alentavaa.

Vanha Partakin näkyy pitävän uhoamisesta ja pikkunäppäryyksien laukomisesta keskustelun välineenä, mahtaako tuo kommentointi yhteistyökyvyttömyydestä ja pätemättömyydestä työelämässä olla jonkinsortin mystistä itseironiaa?

Noh, oli miten oli, meidän eromme on ainakin siinä että minä esiinnyn omalla nimelläni ja seison sanojeni takana. Faktat ovat kenen tahansa tarkistettavissa, ja jos on eri mieltä niin riittää että katsoo itse sitä javascriptiä. Sopii katsoa itse ja sanoa missä on eri mieltä, tai jos ei osaa itse lukea koodia niin on vähintäänkin kummallista laukoa kommentteja jotka vähättelevät niin minun osaamistani kuin tulkintojakin. Tyhjänkö päälle nuo vastalauseet perustuvat?

Check this out: http://tinyurl.com/2cgqqd

Joku kyseli suomalaisen pankin perään. OP:n lisäksi Tapiola taitaa pitää rahansa Suomessa. Lisäksi S-pankki, joka tosin ei taida olla “oikea” pankki.

Tässä nyt asiaan liittyvä kysymys: Eli kaverini k käytti sammon verkkopankkia koneellani, niin mitä sieltä koneesta xp pro eng pitää poistaa?
Auttaako järjestelmänpalautus, vai joudunko isompiin poisto-operaatioihin?
Miten se javakikkare poistetaan?

Tässä nyt asiaan liittyvä kysymys: Eli kaverini käytti sammon verkkopankkia koneellani, niin mitä sieltä koneesta xp pro eng pitää poistaa?
Auttaako järjestelmänpalautus, vai joudunko isompiin poisto-operaatioihin?
Miten se javakikkare poistetaan?

Lentävä Heppa kirjoittaa:
“Ei kyllä oikeasti innosta jollekin java-appleteille antaa korkeita oikeuksia vain verkkopankin takia… Onko kellään suositella parempaa vaihtoehtoa?”

http://www.tietoenator.fi/default.asp?path=408,409,2607,12202 sisältää listan pankeista joita voisi kohtuudella suositeltavan… kierrettäväksi, jos haluaa välttää TE:n viritelmiä.
Henkilökohtaisesti kiroilen nykyään aina verkkopankissa käydessäni – noin kuukausi sitten käyttämässäni pankissani toteutettiin ilmeisesti TE:n toteuttama “päivitys” jonka seurauksena omissa hommissani kriittisen tärkeä palkka.fi oli saavuttamattomissa melkein kaksi viikkoa, kun tunnistautuminen ei enään onnistunut.

“Henkilökohtaisesti kiroilen nykyään aina verkkopankissa käydessäni – noin kuukausi sitten käyttämässäni pankissani toteutettiin ilmeisesti TE:n toteuttama ”päivitys” jonka…”

Mistä näitä wannabe hax0r -pellejä oikein riittää? Tolla skillitasolla vois jättää tässä threadissä avautumisen niille, jotka oikaeasti ymmärtää mistä on kyse. Säälittävää julkisuushakuisuutta.

Paha homma on sittenkin se, että verkkopankki.sampopankki.fi palvelin sijaitseekin Tanskassa – pelkällä yksinkertaisella traceroute-toiminnolla sen paljastaa.

Käsittämätöntä on muutakin – nimittäin näyttää siltä, ettei joka puolella maailmassa näitä yhdistymisiä tehdä tällä tavalla. Esimerkiksi meidän etelänaapurin kaksi isompaa pankkia meni molemmat kahden eri ruotsalaisen pankkiyhtymän omistukseen, mutta niiden verkkopankkijärjestelmät ja palvelimet säilyi ennallaan. Samoin myös Sammon Viron tytäryhtiön koko verkkopankkijärjestelmä toimii Virosta käsin. Täällä sitä vaan “ulkoistetaan” kaikki…

Tilannetta kuvastaa hyvin tämä Sammon verkkopankin etusivulta löytyvä JavaScript-koodinpätkä:

else
{
//error – what do we do?
}

Pseudonyms Asset SG540 IDB INS SAO STEN Time ICE SAMU HIC Minox P415 sorot TDM. SUKLO Rapid Reaction M.P.R.I. TEXTA SASCOM Gorelick JRA Ionosphere CMS ASPIC SONANGOL BNC JUWTF KY Uziel Gamma Hutsul Flu Roswell NMI Z-150T law IACIS smuggle Merv IDEA rpg7 IW PABX HRT SUAEWICS MDA Commecen Yucca Mountain Gripan Ceridian SIGS Sergeyev RRF Aldergrove DUVDEVAN ISADC jya.com SVN NACSE botux Kvashnin Wipeout Fort Meade ID CISD MKDELTA DEVGRP Furby 50MZ DODIG subsonic rounds NADDIS hostages HERF pipe-bomb AT&T bronze Centro SURVIAC e95 Austin Juile RFI industrial intelligence Keyer JTF Pod burhop KG-84C Chicago! Posse SRI Ronco Templar F-22 Infowar GAFE ladylove LEASAT MI5 e-cash WORM mjtf S.E.T. Team curly TDR MITI b9 ri! p Embassy DOE bird dog SFPD sulfur motorcade KLM Nuclear anarchy Cable & FSK DIA ZL31 data-haven mixmaster Forte Fax snullen KWT-46 benelux interception South Africa Rewson PA598D28 TNT FSB ACC Monica HTCIA monarchist Tac racal Wilma primers Armani PRF Pine Gap muezzin IRS MD5 Stego rhost

Matti Nikki:
Mitä tarkoitat kun sanot että tuolta sampopankin XSS reiästä pystyisi lähettämään käskyjä appletille? Missä muodossa siis näitä käskyjä lähetättäisit? Miten tunnistat session mihin käskyjä lähettää jne?

Manfred:
Appletti latautuu sivustossa top.logo.Security nimellä, ja sillä on julkinen rajapinta. InterfaceWeb-kilkkeessä on DomainLock-luokka joka pyrkii estämään että applettia ei voisi käyttää muualta kuin pankin sivuilta käsin, mutta pankin sivuilla olevan XSS-aukon kautta kuka vain voi alustaa appletin ja kutsua sitä javascriptillä.

Esimerkiksi XSS-linkki joka sanoisi javascriptillä top.logo.Security.sign(…) pääsisi allekirjoittamaan käyttäjän koneella olevalla salaisella avaimella dataa pankin ymmärtämään muotoon, en tiedä mitä sovelluksia tuolla sitten olisi mutta ainakin se kiertäisi kovasti appletin tarjoaman “lisätietoturvan”. Linkki joka sanoisi getCustomerKeyPath ja lähettäisi sen toiselle palvelimelle voisi vakoilla kirjautuneena olevan käyttäjänimen, ainakin linuxissa ja macissa ja kait windowsissakin. Muita konkreettisia hyökkäyksiä lienee paljon myös, jos tuota jaksaisi analysoida enempi.

Ei kai sitä Suomen sähköistä äänestystä toteuteta samalla tavalla?

eikös se sähköinen äänestys ole tietoenatorin tekemä jolla pystyy vielä vääristelemään äänestys lukuja ja on vielä salainen että sitä ei pääse asiantuntijat arvioimaan vaan täytyy luottaa suomalaisen virkamiehen osaamiseen ( google on selain )

jos google on selain niin mun uskonnon mukaan mies on nainen ja nainen on mies

“Linkki joka sanoisi getCustomerKeyPath” sanoisi PUFF, koska kaikki metodit jotka käyttää reflectionin avulla “ESafekeyImpl” luokkaa eivät toimi. Tätä luokkaa kun ei ole enää jarrissa.

Ei sikäli etteikö sieltä muuta kivaa löytyisi…

Tökkii Vistallakin, tälläinen tapaus Aamulehdessä

http://www.aamulehti.fi/uutiset/kotimaa/78358.shtml

Ja mitä erikoisin kuvankaappaus.

http://pohjataso.net/sampo/aineistonhaku_2.jpg

Itse vaihdoin jo pankkia, mutta valitettavasti uuden kortin saaminen kestää pari viikkoa joten ainakin tämä kuukausi menee vielä sammon ikeessä. Pitää tehdä niin, että kun palkka tulee niin nostan tilin tyhjäksi ja otan seuraavan liksan sille uudelle tilille, sitten vaan kaikki suhteet sampoon poikki.

LandRover, ihmettelen kovasti tuota ESafekeyImpl:iä itsekin. Ikäväkseni en pääse ajamaan tuota javakilkettä kun selain kaatuu, niin en näe tapahtuuko siinä jossain välissä jotain mystistä niin että se luokka ilmestyisi kuin tyhjästä. Sitähän pyydetään ymmärtääkseni palvelimelta erikseen jos ei paketista löydy, ja palvelin voisi olla säädetty jotenkin ovelasti että vain tuo javakilke saisi ladattua tiedoston mutta esimerkiksi wget ei saisi. Pitäisi saada jostain logi että mitä se lataa, tosin https pitää huolen että tavallisella snifferillä sitä ei saa vaan pitää olla selaimen muistiavaruuteen injektoitu kilke.

Oli tänäaamuna muuten hauska tilanne kun kävin nostamaan rahaa, ja tajusin vasta automaatilla etten ollut lukenut eilen uutisia sen jälkeen kun siellä oli sanottu etteivät kortit toimi. Hetken aikaa stressasi vähän kun en tiennyt saanko käteistä vai en, ja olinpa aika monen kilometrin päässä lähimmästä konttoristakin. Onneksi olivat kuitenkin korjanneet jo… Turhasta stressistä ei taida kuitenkaan saada pankilta korvauksia, kun se ei ole taloudellista haittaa.