Tietoturvaluennolta käteen jäänyttä

kirjoittaja

in

Eli Teppo Jansson Nordeasta kävi kertomassa meille hieman tietoturvasta. Koska kurssi, jonka puitteissa Teppo täällä kävi, on peruskurssi, suurin osa jutusta oli aika perushöttöä, mutta oli mielenkiintoisiakin pointteja.

Opera Mini

Hän mainitsi Opera Minin. Opera Mini toimii siis siten, että puhelin lähettää pyynnön verkkosivusta Operan palvelimelle, joka noutaa verkkosivun ja muokkaa sen puhelimelle sopivaksi ja lähettää sen puhelimelle. Mini toimii kaikissa Java-puhelimissa. Tämä toimii hienosti niin kauan, kun tietoturvasta ei tarvitse välittää.

Opera Mini kuitenkin muodostaa SSL-yhteyden vain Mini-serverin ja web-palvelimen välille. Mini-serverin ja puhelimen väli on salaamaton. Nordea luokittelee tämän tietoturvariskiksi. Todennäköisesti jotain dataa ainakin tilapäisesti säilyy myös Mini-serverillä ja tähänkin Nordea suhtautuu kriittisesti. Tämän vuoksi Opera Minillä ei voi käyttää verkkopankkia tai Nordean tunnistuspalveluita.

Phishing

Sitten puhuttiin hieman tuoreesta Nordeaa koskeneesta kalasteluyrityksestä. Ainakin Tepon mukaan yksikään käyttäjä ei syöttänyt vaadittavia tietoja lomakkeeseen ja Suomen Viestintäministeriö sai suljettua nopeasti serverit, joita oli ympäri maailmaa. Phishing viesti olikin varsin oikean näköinen, käyttäjälleen vaan hyvin työläs. Kuka haluaa syöttää kymmeniä tietoja viestiin?

Amerikassa kalastajilla on helpompaa. Verkkopankkeissa ei käytetä muuttuvia salasanoja, vaan käyttäjän tunnusta ja joskus jopa käyttäjän itsensä valitsemaa salasanaa (oma nimi takaperin, anyone?). Kuten on helppo arvata, väärinkäytöksiä tapahtuu paljon. Phishaus on paljon helpompaa, kun ei tarvitse saada monia salasanoja. Pankit ovat heränneet asiaan nyt, mutta korjaaminen on vaikeaa. Jansson kuvasi järjestelmien siirtämistä vaihtuviin salasanoihin kohtuullisen helpoksi hommaksi joskin kalliiksi.

EMV

EMV on siis se uusi sirukorttisysteemi, joka tuli kaiketi käyttöön toukokuussa. Itse olen jo Tampereella ollessani joutunut käyttämäänkin tuollaista EMV-laitetta maksaessani ravintolassa, joskin epäilen, että minun Visa Electron (vaikka sirullinen kortti onkin) ei ole varsinaisesti EMV-kelpoinen.

Kuulemma kortille, jonka kopioiminen siis on huomattavan vaikeaa, on ollut tilausta. Esimerkiksi Ranskassa jopa 1% kaikista käytettävistä korteista on kopioituja. Luku kuulostaa hirvittävän isolta.

Siinäpä se oikeastaan oli, paljonhan siellä tuli Nordeasta juttua, mutta niitä en jaksanut tähän kirjoittaa saatika kuunnella..


Kommentit

Yksi vastaus artikkeliin “Tietoturvaluennolta käteen jäänyttä”

  1. Nyt oli uutinen ITviikossa, että 6 nordean asiakasta oli mennyt tuohon phishinghuijaukseen.

    http://www.itviikko.fi/uutiset/uutinen.asp?UutisID=71103

    Hyvin pieni määrä kuitenkin.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

This site uses Akismet to reduce spam. Learn how your comment data is processed.