Kollegan Kalle tipsade för ett tag sedan om en tråd på DailyWTF om den hemska webbapplikation som Danske Banke introducerade i Finland efter köpet av Sampo. Värt att läsa om man vill se ett IT-projekt som uppenbarligen gick snett från början.
Det finns även en Wiki som samlar information om alla hemskheter i SampoApplet. Bland detaljerna man kan hitta där finns en lista på vad SampoApplet försöker samla information om i GNU/Linux:
/proc/asound/cards
/proc/cpuinfo
/proc/ide0/hda
/proc/ide1/hdc
/proc/ide2/hdb
/proc/ide3/hdd
/proc/ide/hda
/proc/ide/hdb
/proc/ide/hdc
/proc/ide/hdd
/proc/meminfo
/proc/partitions
/proc/pci
/proc/sys/kernel/hostname
/proc/version
Vad skall banken med information om CPU och hårddisk-partitioner till? Motsvarande saker gäller i Windows och på Mac.
No related posts.
Related posts brought to you by Yet Another Related Posts Plugin.
En möjlig tillämpning skulle väl kunna vara att fÃ¥ ett tämligen säkert fingeravtryck frÃ¥n hÃ¥rdvaran. Detta kan väl rent teoretiskt användas i efterhand för att spÃ¥ra och identifiera bedrägeriförsök. Kanske…?
Aloha!
Klok tanke iofs. Men ett par frågor dyker upp:
(1) Varför räcker inte de autenticieringsmekanismer som banken använder? Är det fel på dom?
(2) Om du inte litar på dina autenticieringsmekanismer, hur kan du då lita på den här informationen?
(3) Vad händer om den insamlade informationen läcker ut? Hur skyddar banken överskottsinformationen?
Oh nej, inte tror jag att det där fingeravtrycket skall användas för inloggningen, utan för att identifiera den specifika maskinen i efterhand.
IP-numret är ju, som vi alla vet, inte alls tillförlitligt. Och inte ens MAC-numret är ju säkert—man kan ju exempelvis ha omväxlande en 3G-dongle, wifi och en eller ett par ethernetkablar.
En hashkod beräknad på hårdvaran kan ju däremot vara ganska användbar för att jämföra exempelvis transaktioner på olika konton, för att se om de görs från samma maskin (kan betyda bedrägeriförsök om det sker i stor skala).
Eller om någon kund påstår att deras konto blivit hackat, så kan man konstatera att det förvisso inte verkade vara kundens egen maskin som användes.
Bara en tanke alltså...
Aloha!
Jag menade inte heller att det skulle användas för inloggning. Men om du inte litar på de specifika mekanismerna för identifiering, hur kan du lita på den här informationen?
Nu blir jag snart utkastad frÃ¥n cafét jag sitter pÃ¥ sÃ¥ jag fÃ¥r Ã¥terkomma….
JasÃ¥ sÃ¥ menar du… 🙂
Jomen, exempelvis:
Min fru och jag har gemensamt postgiro. Vi har båda tillgång till dosan för inloggning och använder den regelbundet båda två.
Hur skall banken (i efterhand) kunna se om det var jag eller min fru som utförde en specifik transaktion? Eller för den delen—med tanke pÃ¥ hur slarviga mÃ¥nga människor är med lösenord och annat—nÃ¥gon som olovligen berett sig tillträde till vÃ¥r dosa?
Med ett fingeravtryck från hårdvaran blir det väl åtminstone lite lättare att utföra en utredning i efterhand inbillar jag mig.
Aloha!
Men för det första är det osäkert om banken/girot i ert fall över huvud taget skall behöva bry sig om och hjälpa till att utreda vem som gjorde en transaktion. Ansvarar dom för att utreda den typen av fel på klientsidan. Dvs vet girot om att ni delar på dosan och att det är med i avtalet att två personer har access?
Det andra bekymret är om banken har rätt att samla in informationen. Nu står det en oherrans massa hemskheter i avtal för online-tjänster (som folk inte läser). Men frågan är om Sampo (eller Girot) har rätt att samla in informationen.
Och, återigen, även om det skulle kunna underlätta indentifieringen är det frågan om du kan lita på den informationen. Om ett bedrägeri satt din dosas trovärdighet ur spel, hur kan du då lita på information som inte är avsedd att användas för att trovärdigt skapa en unik identitet.
I det troliga fallet att det är ID-stöld som utförts med en trojan som kommit över inloggningsuppgifterna som krävs för att logga in på Sampo-bank är det rätt troligt att trojanen även sugit upp de maskin-ID som krävs för att lura bankens applikation.
Ja, se allt det där är ju bra invändningar. Jag, å andra sidan, försöker bara spela Djävulens Advokat här och försöker se det hela ur bankens perspektiv.
Det var faktiskt inte sÃ¥ ovanligt att vi—pÃ¥ Hedenhös tid—lät vÃ¥ra program samla in viss hÃ¥rdvaruinformation, sÃ¥som BIOS-signatur, grafikkort-ID, minnesbestyckning, HD-kontroller med mera, för att pÃ¥ sÃ¥ sätt försöka Ã¥stadkomma ett unikt fingeravtryck för maskinen i frÃ¥ga. Detta oftast för att försöka Ã¥stadkomma kopieringsskydd.
Så jag kan faktiskt, till nöds, förstå bevekelsgrunderna bakom att samla in informationen här ovan. Därmed inte sagt att det är lämpligt på något vis, eller ens särskilt effektivt.
Aloha!
Helt sant, dock vill jag som gammal h4xx0r hävda att HW-fingeravtrycken inte funkat så fantastiskt bra som kopieringsskydd.
Det som är hemskt är att banken anser sig ha rätt att samla in informationen (om det inte är så att avtalet ger dom rätt att göra det.) Bara för att man kan kanske man inte skall göra det.
Det handlar lite grann om vilken relation man skall ha med sin bank (eller omvänt sina kunder).
Nja, i och för sig, som jag pÃ¥pekar sist i min förra kommentar, HW-hash är inte särskilt effektivt idag. Men “back then” var det trots allt inte lika lätt att googla pÃ¥ ‘crack [programnamn]’ som det är idag.
Som gammal BBS-sysop (med samma BBS fortfarande igång, oavbrutet sedan maj 1989) så vet jag ju att diverse cracks fanns tillgängliga för den som visste var man skulle leta. Men sisådär 95% av alla användare var nog tvungna att underställa sig ett vettigt utformat kopieringsskydd á là HW-hash. Och det brukade vara tillräckligt för att tillfredsställa de kunder som beställde skyddet.
Jag kan ju nämna att—sÃ¥ vitt jag vet—ingen har lyckats knäcka kopieringsskydden som jag installerade pÃ¥ alla de programpackar som jag skapade för Psion Organiser II som jag jobbade nästan heltid med under mer än tio Ã¥r i slutet av förra seklet. 🙂
Vad gäller det moraliska i att samla information om min egen dator, sÃ¥ vill jag nog pÃ¥stÃ¥ att jag mer eller mindre skiter i alla sÃ¥dana försök. Det rör mig inte i ryggen. Samla pÃ¥ bara, jag är rent av intresserad av att själv fÃ¥ reda pÃ¥ resultatet—det är inte alltid helt trivialt att “figurera ut” den informationen med dagens moderna OS.
DÃ¥ ser jag mer allvarligt pÃ¥ alla strävanden mot att beröva mig rätten till förtrolig kommunikation, som pÃ¥gÃ¥r kontinuerligt frÃ¥n lagstiftarnas sida. Men det är ju en helt annan frÃ¥ga som bekant…?