Tietoturva

Yhtään todistettua internet-pankkimurtoa ei tiedetä

Julkaistu:

SSH/SSL-suojatun työaseman ja palvelimen välisen tcp-liikenneyhteyden kaappaaminen internetin kautta ei käytännössä ole mahdollista, vakuuttaa pohjoismaisen Nordea-pankkikonsernin tietoturvallisuudesta vastaava johtaja Kari Oksanen.
Oksanen kumoaa jyrkästi Iltalehden raportoiman Nordean SSL-suojatun pankkiyhteyden kräkkäyksen, joka noudatteli Reutersin aiemmin Ruotsissa demonstroimaa, "ei-niin-vakavaksi" paljastunutta tietomurtoa lähiverkossa.- Näissä esityksissä ei ole kyse murrosta internet-yhteyden kautta, vaan tempusta jonka henkilö tekee omassa lähiverkossaan, Oksanen vakuuttaa.- Aika vähällä alan asiantuntemuksella näistä asioista voidaan kirjoitella, ja hämmentää seniorikansalaisia. Sama, kun minä menisin mestaroimaan ydinvoimaloiden turvallisuuden kanssa tietämättä laitoksista mitään, Oksanen sanoo.Oksanen oli paikalla Helsingissä 3. syyskuuta, kun tietoturva-asiantuntija Petri Suvila otti rinnakkaiselle koneelleen salatun pankkiyhteytensä.Suvila kirjautui tietokoneellaan ja omilla tunnuksillaan Nordean salattuun verkkopankkiin. Toisella tietokoneella hän pääsi parissa minuutissa hallitsemaan pankin ja ensimmäisen tietokoneen eli asiakkaan välistä istuntoa.- Siinä oli kaikki päin helvettiä. Omassa lähiverkossa voidaan tehdä mitä vain. Sama temppu o­n tehty aikaisemmin Ruotsissa. Asialla oli uutistoimisto Reuters, joka oikaisi asian oikean laidan, Oksanen hiiltyy. Ei murtanut internet-yhteyttä ulkoaOksanen oli mukana demonstraatiossa, mutta vain "pyrkiäkseen lieventämään uutisointia". Tämä oli hänen mukaansa turha yritys.Vaikka koe tapahtui kaapeleilla ja verkkokorteilla keskenään yhteen liitettyjen tietokoneiden välillä, uutisesta sai kuvan, että internetin kautta voi ulkopuolelta murtaa auki olevan pankkiyhteyden.Artikkeli alkoi näin: "Suvila o­nkin simuloinut tietomurtoa kotiinsa rakentamassaan tietokonejärjestelmässä", mikä pitää paikkansa.Sen jälkeen: "Suvilalla meni aikaa noin minuutti, kun hän etsi internetistä tarvittavia työkaluja tietomurron tekemiseen." Tässä kohden sotketaan lähiverkko ja ulkoinen internet-ympäristö tavalla, jossa kärryiltä voi tippua kuka hyvänsä.Artikkelissa puhutaan edelleen internetistä, vaikka asiantuntija "kirjautui tietokoneellaan ja omilla tunnuksillaan Nordean salattuun verkkopankkiin. Toisella tietokoneella hän pääsi parissa minuutissa hallitsemaan pankin ja ensimmäisen tietokoneen eli asiakkaan välistä istuntoa."Tosiasiassa tämä "istunto" tapahtui kiinteässä lähiverkossa, jossa tietokoneet voivat muun mussa selata toistensa tiedostonhallintaa ja selaimen sivuhistoriaa.Artikkelissa lähiverkossa tehdyn pankkiyhteyden monitoroinnin jälkeen arvioidaan tilannetta:"Suvila sanoo, että internetissä tapahtuvat luottokorttimaksut ovat hakkereiden ulottuvilla jo nyt. Windowsin tietoturva-aukko mahdollistaa hakkerin pääsyn Suvilan demonstroimalla tavalla nettikaupan ja asiakkaan väliin seuraamaan salattua liikennettä. Hakkeri pääsee helposti käsiksi asiakkaan luottokortin tietoihin."Microsoft lupasi paikanTyöhuoneensa lähiverkossa tietomurron suorittanut Petri Suvila ei tarkistanut lehden uutistekstiä, ja myös hänen mielestään teksti sekoitti keskenään ulkopuolisen internetin sekä lähiverkon eli verkkokorteilla ja kaapeleilla keskenään verkotetut tietokoneet. Suvilan mukaan Microsoft ilmoitti hänelle suraavana päivänä paikkaavansa kräkkäyksen mahdollistaneen tietoturva-aukon Windows XP -järjestelmästä.Suvilan mielestä pankit kuitenkin väheksyvät sekä lähiverkossa tehtyä murtoa että SSL-standardia uhkaavaa pc-koneiden suorittimien kellotajuuden nopeutumista. Ehkä piankin uuden polven prosessorit muutamassa tunnissa kykenevät avaamaan salauksen.Tämä kilpajuoksu johtanee verkkopankkien kertaistuntojen lyhenemiseen tai uuteen suojausstandardiin.Pankkiyhteys o­n suojattuOksanen ampuu alas julkisuudessa esitetyt tietomurtodemonstraatiot.- Kukaan pankkiasiakas ei olisi voinut kohdata tuota tilannetta, millaisena Iltalehti ja Reuters ovat sen esittäneet. Olemme Suomessa pidemmällä internet-pankin tietoturvassa kuin missään muualla maailmassa. Oksasen mukaan SSL-turvastandardi ei näillä tiedon ole murrettavissa. Se o­n periaatteessa mahdollista, mutta niinhän o­n mahdollista, että meteori tipahtaa taivaalta katon läpi liikkuvan autoilijan päähän. Sellaista tapausta vain ei tiedetä, ja nokkakolarit ovat edelleen suurempi riski autoiltaessa.Lisäksi Oksanen o­n suivaantunut tietoturva-asiantuntijoiden heittoihin muun muassa kolumneissa; niissä o­n väitetty, että pankkiyhteyksiä olisi jo murettu, ja saatu jopa saalista!- Näissä kirjoituksissa näemmä asiat muka tiedetään ulkopuolella paremmin kuin pankeissa. Täytyisi lopultakin pystyä erittelemään, mitä o­n tapahtunut, missä ja milloin.- Olemme toimineet elektronisena pankkina vuodesta 1984 eikä raportoituja vahinkoja ole, Oksanen huomauttaa.Käytännössä web-selainta käytetään lentoasemilla ja mitä erikoisimmissa paikoissa. Näissä yhteyksissä SSL o­n Oksasen mukaan edelleen kurantti suojastandardi.Hän uskoo turvajärjestelmien toimivan myös langattomassa ympäristössä. - Langattoman verkon o­ngelma o­n, kuka pääsee verkkoihin. Yksityisyyden suoja vaatii erillisiä ratkaisuja, mutta se ei tule olemaan sen turvattomampi kuin rahan lähettäminen postissa, Oksanen vakuuttaa.- Tietoturva perustuu erilaisiin loogisiin kontrolleihin, hän korostaa."Tulimme kuulluksi"Nordean Suomen varatoimitusjohtaja Bo Harald on ollut tietomurtoartikkelin vuoksi yhteydessä Iltalehteen, ja vakuuttunut siitä, että pankki o­n lehden päässä tullut kuulluksi. Harald antaa ymmärtää, että kyseessä oli jopa syyteuhka.- Se o­n meidän välinen asia. Mutta uskomme, että vastaavaa asioiden sekoittamista ja pelon lietsontaa ei enää julkaista. Haraldin mukaan Solo o­n maailman eniten käytetty elektroninen pankkipalvelu.Pilotoimme Visan ja Nokian kanssa tuplasirupuhelinta. Seuraavassa vaiheessa Soloon pääsee sirulla ja pin-koodilla, hän kertoo. Nordean (ja Open Mobile Alliance -järjestön) mallissa matkapuhelin tarvitsee jatkossa kaksi älysirua.Harald ei ole vakuuttunut liikenne- ja viestintäministeriössä valmistellusta viestintämarkkinalakiesityksestä. Tuon televiestinnän tietosuojadirektiivin pohjalta laaditun lain o­n tarkoitus avata operaattorin sim-kortin tallenne- ja yhteysoikeus langattomien mobiilipalvelujen tuottajille.- Mutta minkälainen sopimusviidakko siihen tarvitaan ennen kuin pääsemme operaattorin sirulle, Harald kysyy. Hän lisää, ettei vielä tunne Suomen viestintämarkkinalainsäädännön motiiveja:- Siinä voi olla myös hyviä ideoita, Harald arvelee.

Kommentit

    Näytä lisää