Sampo/Danske-verkkopankissa käytössä vanhentunut varmenne

Sampo Pankin verkkopankkiuudistus ei mennyt ihan ongelmitta, ja Sampo Pankki menetti sen myötä läjän asiakkaita. Niin kutsuttu "tietoturvaratkaisu" on yhä käytössä, eli vakava perusongelma on edelleen olemassa. Itse törmäsin äskettäin ongelmaan, joka kertoo että pankin toimintatavoissa on vakavia puutteita. Tällä sivulla selostetaan ongelma, ensin teksti ja lopussa kuvaruutukaappaukset.

"The application's digital signature has en error. Do you want to run the application?"

Ilmoitus "The application's digital signature has en error. Do you want to run the application?" tervehtii Sampo Pankin asiakasta kun yrittää katsoa graafeja osakkeen arvon kehityksestä. Kaavioiden tarkka polku on seuraava: Verkkopankin etusivulta Sijoitukset - Kaupankäynti. Valitaan esimerkiksi Finland OMXH25 -listalta osake Nokia Oyj (FI). Osakkeen tietojen ollessa auki (Markkinakatsaus), klikkaa otsikkoa Kaaviot.

Java-appletin sertifikaatti on vanhentunut

Sertifikaattia tarkemmin tarkastellessa paljastuu että se on vanhentunut 28.11.2008. Hups keikkaa. Sertifikaatin vanheneminen on ehkä kaikkein yksinkertaisin tapa epäonnistua sertifikaattien käytössä. Vaikka tässä tapauksessa kyse on "vain graafia piirtävästä appletista", pankin asiakkaana tai ylipäätään "turvallisen" palvelun käyttäjänä en todellakaan haluaisi nähdä yhtäkään vanhentunutta sertifikaattia. Yksikin vanhentunut varmenne kertoo siitä että näitä eri Java-sovelmia tai ainakaan niiden varmenteita ei seurata riittävällä tarkkuudella. Jos tämä käyttää vanhentunutta sertifikaattia, mitkä muut satunnaiset osat käyttävät? Millaista auditointia näille eri ohjelmanpätkille ylipäätään harrastetaan, ja millaisia muita ominaisuuksia eri ohjelmanpätkistä löytyy?

Mitä merkitystä tällä on?

Lyhyesti: juuri tällä kyseisellä ilmoituksella ei ole suurta merkitystä tietoturvan kannalta. Ja sillähän ei ole Sampo Pankille merkitystä, jos jollain käyttäjällä nyt sattuu tulemaan jotain ihme virheilmoituksia verkkopankissa. Ainahan voi vaihtaa pankkia.

Tarkemmin:
Java-appletin varmenne on vanhentunut. Sampo Pankissa on käytössä Java-sovelmia (Java Applet) muun muassa verkkopankin käyttäjätunnistuksen "tietoturvaratkaisussa", josta on siis löytynyt useita ongelmia jo aiemmin. Nyt verkkopankista löytyi Java-sovelma, joka käyttää vanhentunutta varmennetta, antaen siten varoituksen käyttäjälle. Jos varmenteita ja niiden käyttöä seurattaisiin pankissa riittävällä tarkkuudella, tämä ei olisi mahdollista. Vanhan varmenteen käyttäminen (eli yleensä varmenteen uusimisen unohtaminen) on kenties yleisin ja yksinkertaisin varmenteisiin liittyvä virhe, jonka verkkopalvelun tarjoaja voi tehdä. Tässä käytettävä allekirjoitus on aivan oikeanlainen kolmannen osapuolen varmenne, mutta se on ehtinyt vanheta. Lue lisää varmenteista. Tämänkaltaiset virheet ovat harrastajille tuttuja muista yhteyksistä, mutta pankkiympäristöissä tai vastaavissa tällaisia ilmoituksia ei näe. Tämä virhe sinänsä ei ole suuri riski, mutta kertoo puutteellisista toimintatavoista. Lisäksi tällaiset virheet totuttavat käyttäjät virheilmoituksiin, jolloin phishing-hyökkäysten riski kasvaa.

Firefox

Laitoin tämän omituisuuden vasta myöhemmäksi, sillä Internet Explorerilla sitä ei esiintynyt. Kun avaa osakkeen tiedot Firefoxilla, saa virheilmoituksen puuttuvasta selaimen lisäosasta "application/x-java-applet;version=1.0". Kaaviot-sivu toimii samoin kuin Internet Explorerilla.

Ota yhteyttä

Mikäli sinulla on kommentoitavaa, ota yhteyttä tapio -piste- nuutinen -at- iki -piste- fi tai IRCnetissä itn

Kuvaruutukaappaukset

The application's digital signature an error. Do you want to run the application?
Sertifikaatti on vanhentunut
Additional plugins are required...
Puuttuva lisäosa application/x-java-applet;version=1.0