tiistai 25. syyskuuta 2012

KELAn asiakaspäätteillä nettiin

Lukija lähetti kokemuksia KELAn tietoturvasta. Toimiston tiloissa on asiakaspalvelua varten kone, jolla pääsee KELAn omille sivuille. Osoitepalkki on piilotettu ja selain lukittu.

Mutta mutta... rajoituksista pääsee eroon painamalla Ctrl+Alt+Del ja käynnistämällä Task Managerin (Tehtävänhallinta). Komentoriviltä voi sitten käynnistellä kaikenlaisia sovelluksia -- vaikkapa regeditin, jolla voi muokata koneen asetuksia.

Pienellä vaivalla voisi tehdä myös virityksen (hosts-tiedosto tai selaimen aloitussivun vaihto?), joka KELAn sivujen sijaan ohjaisikin tekijän omille valesivuille. Koska osoiteriviä ei näytetä, valesivuja olisi mahdoton havaita. Sivuilla voisi olla esimerkiksi lomake, joka kysyy pankkitilin numeroa ja tunnuslukuja. KELAn omalta päätteeltä katsottuna sivut menisivät täydestä kuin väärä raha.

Tietohallinnon pitäisi varmistaa, ettei lukitusta selaimesta pääse ulos kolmea näppäintä painamalla. Asetus on helppo tehdä järjestelmärekisteriin. Monet haittaohjelmat tekevät saman, jotta uhri ei pääse sulkemaan niiden prosessia. Jos rikolliset osaavat tämän yksinkertaisen asian, KELAn it-osaston pitäisi myös osasta se.

Ehkä asetus oli unohtunut vain yhdestä toimipisteestä? Toivottavasti muut ovat kunnossa. Älkää silti kokeilko asiaa, ettei tule kenellekään ikävyyksiä.

13 kommenttia:

jaska kirjoitti...

"Ehkä asetus oli unohtunut vain yhdestä toimipisteestä? Toivottavasti muut ovat kunnossa."

Ehkä muut KELA:n koneet on jo kaapattu ja kaappaja on muuttanut aloitussivun lisäksi myös tämän asetuksen.

Kerran vaarantuneeseen koneeseen ei voi luottaa ennen sen huolellista tarkastamista.

Anonyymi kirjoitti...

Vaikea uskoa, että asiakaspäätteet pyörisivät pääkäyttäjän tunnuksilla ja että niiltä pääsisi muille kuin Kelan ja pankkien sivuille.

Petteri Järvinen kirjoitti...

Lukija kertoi, että koneella pääsi komentotulkkiin, sitä kautta Internet Exploreriin ja edelleen mm. Amppareihin ja Hesariin. Joten ainakaan palomuuri ei rajoittanut surffausta. Toivottavasti ei silti ollut admin-oikeuksia, niiden käyttöä hän ei kokeillut.

JJ75 kirjoitti...

Web-palvelun tarvitsee sitten tuoda pankkisivuston näkymä..muuten et saa oikeaa koodia.. ja siinä pitää olla nopea,et voit sitte samaan aikaan kirjautua toisen tunnuksella..

+maksun hyväksyminen vaatii vielä uuden tunnistuksen.

Ei onnistu ihan niin helposti kuin voisi olettaa..

Anonyymi kirjoitti...

" Anonyymi sanoi...

Vaikea uskoa, että asiakaspäätteet pyörisivät pääkäyttäjän tunnuksilla ja että niiltä pääsisi muille kuin Kelan ja pankkien sivuille."

Paikallisessa työkkärissä muutamia vuosia sitten ihan vastaava homma. Minäkin, naisimmeinen, surffailin pienellä kikkailulla sujuvasti missä halusin, vaikka tarkoitus oli päästä vain mol.fi -sivustolle. Että silleen, hyvin on tietoturva-asiat handussa...

Anonyymi kirjoitti...

Tämä KELAn touhu on joskus aivan päätöntä, kuten tässäkin. KELAn on laatinut hienot sivut, joissa voi katsoa omia tietojaan, tehdä hakemuksia jne... Mutta sitten se yksi, miten voisit kysyä jotain. Niin, sepäs ei onnistu. Sivuilla on toki lomake, mutta se ei ole mitenkään suojattu, lähinnä vastaa tavallista palautelomaketta. Onneksi tämä turvattomuus on sentään muistettu mainita.

En tiedä kuinka suuri ongelma olisi KELAlle rakentaa palveluunsa suojattu viestintä, kuten ainakin OP:lla on. Se vähentäisi varmasti turhia käyntejä ja soittoja, mutta kun ei niin ei. Olen kysynyt sitä parin vuoden ajan, mutta se on kuulemma niin iso asia, eikä sitä teknisestä voi rakentaa. Niin miten ei voida? No mutta se onkin vain KELAn.

Osmo kirjoitti...

Tuo mahdollistaa sellaisen hyökkäyksen, että tunkeutumalla päätteeseen kaapataan pankkitunnukset ja sitten varastetaan asiakkaalta lompakko ja saadaan se avainkoodilista. Tämän jälkeen voi tilin tyhjentää. Tässä auttaa se, että tiedetään käyttäjän olevan tietyssä paikassa koodilistoineen.

Anonyymi kirjoitti...

Niin ja kaikkien suomalaisten sairaustietoja ollaan antamassa kelan sähköiseen arkistoon!!

Anonyymi kirjoitti...

Tällaisissa tilanteissa helposti kuvitellan että vastuutahon työntekijät eivät osaisi hoitaa töitään kunnolla. Usein syynä kuitenkin on ehtiminen. Jos väkeä vähennetään mutta työtehtäviä tulee lisää, suunnitelmallisuus ja huolellisuus kärsivät usein ensimmäisenä.

Tehokkuutta tarkasteltaessa näyttää paremmalta jos vaikuttaa saaneensa aikaan kaksi asiaa, kuin tehdä yksi hyvin ja jättää toinen tekemättä.

Anonyymi kirjoitti...

Eikös tuo toimisi siten, että valheellisia KELA:n sivuja ylläpitävä palvelin välittäisi pankkitunnistetiedot reaaliajassa oikean pankin sivuille ja pankin sivujen kysyessä avainkoodia se avainkoodin vastike näytetään asiakkaalle ja asiakkaan syöte välitetään suoraan oikeaan pankkiin. Nyt on pankin sivut auki ja asiakkaalle voidaankin tässä kohtaan näyttää että tapahtui virhe, yritä myöhemmin uudelleen ja kyseisen asiakkaan pääsy pankin sivuille tämän huijauspalvelimen kautta estetään. Varkailla on nyt tili auki ja putsaus voi alkaa.

KELA:n toimipiste on oletusarvoisesti ehkä se luotettavin paikka asioida KELA:n omilla sivuilla pankkitunnisteen avulla.

Anonyymi kirjoitti...

Sama ilmiö oli myös Toijalan työkkärissä ainakinjoku vuosi sitten. Päältäpäin näytti kuin koneella ei pääsisi kuin mol.fi-sivustoon, mutta sai siinä jonotellessa ihan rauhassa surfata missä halusi.

Anonyymi kirjoitti...

Piti ihan tarkistaa tilanne kun tuli asiaa kyseiseen KELA:n konttoriin. Olivat korjanneet asian. Task managerista ei löytynyt enää "Suorita"(Run) mahdollisuutta.
Case is closed.

Anonyymi kirjoitti...

joo- voiko nettiin tehdä ehdotuksia eri rikollisuudesta ilman että siittä rangaistaan tai jää kiinni?
työkkäriinkin voisi laittaa valesivuja joissa vale työpaikkoja ja leikki haastatteluja, sitten käikki suomalaiset työttömät olisivat tyytyväisiä. Töitä on haettu muttei saatu. eikä tarvisi rikkoa lakia, siittä vosisi tehdä laki muutoksen että työkkäri saa pompottaa asiakaitaan pelkän tyyytyväisyyden nimissä, ja siirtää sosiaalituelle ne jotak eivät suostu leikkimään heidän kanssaan. Asiahan on niin että jos valtio tajoaisi kunnollista palkkatyötä työttömille ei kelalla olisi niin paljoa asiakkaita, ne jotka luistelvat pois töistä menisivät sairaslomale työkyvyttömyydestä! Miksi kelan asiakkaita vihataan niin pajon he eivät voi asemalleen yhtään mitään, viedä nyt siivoojan viimeiset eläke rahatkin? tuolla kadulla kukee ihmisiä jotka näyttävät kelan "tutkijoilta" sini-valko vaalensinisissä tuulipuvuissa ja ilmeilevät ohikukijoile autoista ja kurkkivat ikkunoista. no ei voi sanoa varmaksi mutta sellaisen vaikutelman saa.

Website Security Test