Danske banker fortsat usikre!
Som du måske husker, skrev jeg en artikel i efteråret om, hvor lette de fleste større banker er, eller i hvert fald var, at eksekvere XSS (Cross Site Scripting) på. Det skabe en hel del påstyr, for at sige det mildt. I dagene efter ringede flere forskellige sikkerhedsfolk, og det væltede ind med emails. Historien blev bl.a. navnt i Comon.
I min lille test viste det sig, at man meget let kunne eksekvere cross site scripts (XSS) på 5 ud af 7 testede banker. De største af slagsen i Danmark. Og i min artikel beskrev jeg hvilke problemer det kunne medføre. 5 ud af 7! Jeg kan godt forstå at telefonerne begyndte at ringe. Det er satme pinligt.
Men fik de rettet fejlene? Nope, ikke dem alle! Men mere om det lige om lidt …
Jeg snakkede, som sagt, med flere sikkerhedseksperter, der påstod at arbejde for nogle af de nævnte banker. Jeg har sådan set ingen grund til at betvivle dem, men kun en enkelt kunne fremlægge dokumentation på at han faktisk arbejdede for den bank han sagde han gjorde. Fair nok.
Disse sikkerhedseksperter var tydeligvis ikke så glade for situationen al den stund, at de jo faktisk har været hyret af bankerne netop til at undgå sikkerhedsbrister. Og så kunne min artikel jo se ud somom de ikke havde gjort deres arbejde godt nok. Det vil jeg overlade til bankerne selv at vurdere om de så har … Som kunde må jeg bare sige at det ikke øger min tillid til dem – hverken bankerne eller sikkerhedseksperterne. Det er jo vigtigt at huske på, at jeg altså er en rigtig ringe “amatør-hacker” – hvis jeg kan “bryde ind”, svarer det til at en blind astmatiker med amputerede arme kan bryde ind i en fysisk bank. Det holder altså ikke.
Nå, men nu er der så gået et stykke tid. Et par af bankerne endte med at få udleveret mine scripts, så de ved selvsyn kunne se problemerne, og få dem rettet. Resten må have kunne finde dem selv – det er som sagt ikke rocket science. Så jeg tænkte at jeg lige ville tjekke op på dem igen.
Nogle af dem havde fået rettet de fejl jeg fandt. Jeg har ikke tjekket videre om der skulle være flere, men mon ikke de har fået rydet op nu hvor de så direkte blev opfordret til det? Men, overraskende nok havde 2 ud af de 5 banker med sikkerhedsproblemer fortsat ikke rettet tingene. 2 store banker! Hvad er det der sker?
Jeg mener, de kan dårligt have undgået at se det – jeg har endda muligvis snakket med en af deres sikkerhedseksperter om det, og alligevel har de valgt ikke at gøre noget som helst. Det er da lidt underligt, synes jeg. Meget underligt, for nu at være præcis. Jeg forstår simpel hen ikke, at bankerne ikke retter fejl, når de nu ved de er der.
Jeg kan til nød forstå at man overser et hul, eller at man får hyret nogle sikkerhedseksperter der åbenbart ikke er gode nok, men når man bliver gjort opmærksom på direkte sikkerhedsfejl i systemerne, så skal man da reagere på det – uanset omstændighederne i øvrigt.
Jeg kan faktisk kun forestille mig en logisk forklaring, hvor dum den end må lyde: At de ikke mener at de “marketing hacks” og simpel XSS jeg beskrev i min artikel, har nogen betydning for deres og kundernes sikkerhed. Men det er noget vrøvl. Som jeg påpegede i min artikel kan sådanne simple hacks både være skadeligt for bankernes omdømme, deres brand og så kan de faktisk bruges til noget nær “perfekt” phising – phising PÅ deres domæner!
Hvis ikke engang bankerne gider at lukke sikkerhedshuller, så kan jeg måske bedre forstå at så mange andre websites heller ikke gør det. Måske skulle jeg i min næste XSS-artikel gribe fat i en anden branche, og se om det er lige så slemt. Hvad tror du resultatet bliver?
Stefan Juhl skriver
Jeg er ret sikker på at det ser meget slemt ud… Blandt CMS løsninger er der jo indtil flere af de udbredte, som fejler på de mest banale og typiske steder for XSS. Og det er ikke bare “små-/mellemstore” CMS løsninger, men også helt større professionelle (og dyre) løsninger, som benyttes af meget populære websites.. *host* aviser *host*
Mikkel deMib Svendsen skriver
Ja, det også min oplevelse at det faktisk er blevet VÆRRE i de seneste 12-18 måneder. Web 2.0 er virkelig noget skidt for sikkerheden. Når brugernes input skal med, og når så meget kode flyttes fra back-end til front-end lag så øges behovet for sikre applikationer væsenligt. Og det øgede behov for sikkerhed i den type web-applikationer synes jeg altså ikke bliver taget seriøst nok.
Måske skulle man gøre ligesom det diskuteres i USA for tiden – gøre softwareleverandørene direkte ansvarlige for de skader deres software forvolder. Så kune det være de gad at tage det lidt mere seriøst.
Dennis Thyme-Duvald skriver
Overordnet set bør man nok kun bruge netbank på konti som ikke indeholder hele ens opsparing. De store beløb kan man gemme på konti uden netbank for at være på den sikre side.
Men det er egentlig underligt, at banker med så store budgetter ofter så lidt på IT sikkerhed og ikke mindst hurtighed med overførsler.