Danske Banks hemska webbapplikation

September 12th, 2008 by Joachim Strömbergson Leave a reply »

Kollegan Kalle tipsade för ett tag sedan om en tråd på DailyWTF om den hemska webbapplikation som Danske Banke introducerade i Finland efter köpet av Sampo. Värt att läsa om man vill se ett IT-projekt som uppenbarligen gick snett från början.

SampoBank

Det finns även en Wiki som samlar information om alla hemskheter i SampoApplet. Bland detaljerna man kan hitta där finns en lista på vad SampoApplet försöker samla information om i GNU/Linux:


/proc/asound/cards
/proc/cpuinfo
/proc/ide0/hda
/proc/ide1/hdc
/proc/ide2/hdb
/proc/ide3/hdd
/proc/ide/hda
/proc/ide/hdb
/proc/ide/hdc
/proc/ide/hdd
/proc/meminfo
/proc/partitions
/proc/pci
/proc/sys/kernel/hostname
/proc/version

Vad skall banken med information om CPU och hårddisk-partitioner till? Motsvarande saker gäller i Windows och på Mac.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Advertisement

9 comments

  1. En möjlig tillämpning skulle väl kunna vara att få ett tämligen säkert fingeravtryck från hårdvaran. Detta kan väl rent teoretiskt användas i efterhand för att spåra och identifiera bedrägeriförsök. Kanske…?

  2. Aloha!

    Klok tanke iofs. Men ett par frågor dyker upp:

    (1) Varför räcker inte de autenticieringsmekanismer som banken använder? Är det fel på dom?

    (2) Om du inte litar på dina autenticieringsmekanismer, hur kan du då lita på den här informationen?

    (3) Vad händer om den insamlade informationen läcker ut? Hur skyddar banken överskottsinformationen?

  3. Oh nej, inte tror jag att det där fingeravtrycket skall användas för inloggningen, utan för att identifiera den specifika maskinen i efterhand.

    IP-numret är ju, som vi alla vet, inte alls tillförlitligt. Och inte ens MAC-numret är ju säkert—man kan ju exempelvis ha omväxlande en 3G-dongle, wifi och en eller ett par ethernetkablar.

    En hashkod beräknad på hårdvaran kan ju däremot vara ganska användbar för att jämföra exempelvis transaktioner på olika konton, för att se om de görs från samma maskin (kan betyda bedrägeriförsök om det sker i stor skala).

    Eller om någon kund påstår att deras konto blivit hackat, så kan man konstatera att det förvisso inte verkade vara kundens egen maskin som användes.

    Bara en tanke alltså...

  4. Aloha!

    Jag menade inte heller att det skulle användas för inloggning. Men om du inte litar på de specifika mekanismerna för identifiering, hur kan du lita på den här informationen?

    Nu blir jag snart utkastad från cafét jag sitter på så jag får återkomma….

  5. Jaså så menar du… :)

    Jomen, exempelvis:

    Min fru och jag har gemensamt postgiro. Vi har båda tillgång till dosan för inloggning och använder den regelbundet båda två.

    Hur skall banken (i efterhand) kunna se om det var jag eller min fru som utförde en specifik transaktion? Eller för den delen—med tanke på hur slarviga många människor är med lösenord och annat—någon som olovligen berett sig tillträde till vår dosa?

    Med ett fingeravtryck från hårdvaran blir det väl åtminstone lite lättare att utföra en utredning i efterhand inbillar jag mig.

  6. Aloha!

    Men för det första är det osäkert om banken/girot i ert fall över huvud taget skall behöva bry sig om och hjälpa till att utreda vem som gjorde en transaktion. Ansvarar dom för att utreda den typen av fel på klientsidan. Dvs vet girot om att ni delar på dosan och att det är med i avtalet att två personer har access?

    Det andra bekymret är om banken har rätt att samla in informationen. Nu står det en oherrans massa hemskheter i avtal för online-tjänster (som folk inte läser). Men frågan är om Sampo (eller Girot) har rätt att samla in informationen.

    Och, återigen, även om det skulle kunna underlätta indentifieringen är det frågan om du kan lita på den informationen. Om ett bedrägeri satt din dosas trovärdighet ur spel, hur kan du då lita på information som inte är avsedd att användas för att trovärdigt skapa en unik identitet.

    I det troliga fallet att det är ID-stöld som utförts med en trojan som kommit över inloggningsuppgifterna som krävs för att logga in på Sampo-bank är det rätt troligt att trojanen även sugit upp de maskin-ID som krävs för att lura bankens applikation.

  7. Ja, se allt det där är ju bra invändningar. Jag, å andra sidan, försöker bara spela Djävulens Advokat här och försöker se det hela ur bankens perspektiv.

    Det var faktiskt inte så ovanligt att vi—på Hedenhös tid—lät våra program samla in viss hårdvaruinformation, såsom BIOS-signatur, grafikkort-ID, minnesbestyckning, HD-kontroller med mera, för att på så sätt försöka åstadkomma ett unikt fingeravtryck för maskinen i fråga. Detta oftast för att försöka åstadkomma kopieringsskydd.

    Så jag kan faktiskt, till nöds, förstå bevekelsgrunderna bakom att samla in informationen här ovan. Därmed inte sagt att det är lämpligt på något vis, eller ens särskilt effektivt.

  8. Aloha!

    Helt sant, dock vill jag som gammal h4xx0r hävda att HW-fingeravtrycken inte funkat så fantastiskt bra som kopieringsskydd.

    Det som är hemskt är att banken anser sig ha rätt att samla in informationen (om det inte är så att avtalet ger dom rätt att göra det.) Bara för att man kan kanske man inte skall göra det.

    Det handlar lite grann om vilken relation man skall ha med sin bank (eller omvänt sina kunder).

  9. Nja, i och för sig, som jag påpekar sist i min förra kommentar, HW-hash är inte särskilt effektivt idag. Men “back then” var det trots allt inte lika lätt att googla på ‘crack [programnamn]’ som det är idag.

    Som gammal BBS-sysop (med samma BBS fortfarande igång, oavbrutet sedan maj 1989) så vet jag ju att diverse cracks fanns tillgängliga för den som visste var man skulle leta. Men sisådär 95% av alla användare var nog tvungna att underställa sig ett vettigt utformat kopieringsskydd á là HW-hash. Och det brukade vara tillräckligt för att tillfredsställa de kunder som beställde skyddet.

    Jag kan ju nämna att—så vitt jag vet—ingen har lyckats knäcka kopieringsskydden som jag installerade på alla de programpackar som jag skapade för Psion Organiser II som jag jobbade nästan heltid med under mer än tio år i slutet av förra seklet. :)

    Vad gäller det moraliska i att samla information om min egen dator, så vill jag nog påstå att jag mer eller mindre skiter i alla sådana försök. Det rör mig inte i ryggen. Samla på bara, jag är rent av intresserad av att själv få reda på resultatet—det är inte alltid helt trivialt att “figurera ut” den informationen med dagens moderna OS.

    Då ser jag mer allvarligt på alla strävanden mot att beröva mig rätten till förtrolig kommunikation, som pågår kontinuerligt från lagstiftarnas sida. Men det är ju en helt annan fråga som bekant…?

Leave a Reply

You must be logged in to post a comment.