Log ind
Publiceret d. 3. december 2010 kl. 10.59
| 
ANNONCE:
En af landets største banker, Danske Bank, og pensionsvirksomheden ATP, som næsten alle danskere er tilknyttet, har alvorlige sårbarheder i deres hjemmesider.
Det oplyser iværksætteren Anders Skovsgaard, der netop har stiftet firmaet Hackavoid.
Han har lavet en scanner, der afslører de ømme steder på hjemmesider.
Og dommen over ATP og Danske Bank er hård. Du kan se Danske Banks svar på kritikken her.
"ATP er sårbar overfor cross site scripting. I ATP's tilfælde er sårbarheden meget alvorlig, da den er på samme domæne, hvor al brugeraktivitet foregår," siger Anders Skovsgaard.
Konsekvensen kan i yderste konsekvens være, at alt brugerindhold trækkes ud, hvis en bruger følger et specielt udformet link samtidig med, han er logget ind.
Det gælder for eksempel session-cookies eller tekst på siden, forklarer Anders Skovsgaard.
Personfølsomme data
Hvor alvorlige anser du sårbarhederne for at være?
"Meget alvorlige, da Atp.dk indeholder personfølsomme data, som kan udtrækkes af ondsindede," siger Anders Skovsgaard.
På en skala fra 1 til 5, hvor fem er yderst kritisk, og et er mindre kritisk, placerer Anders Skovsgaard ATPs sårbarheder til fire.
"Det skyldes, at det er oplagt at udnytte denne type sårbarheder på sider, hvor der er brugerlogin og følsomme oplysninger," siger Anders Skovsgaard.
Franarres oplysninger hos Danske Bank
Også på Danske Banks hjemmeside er den gal.
"På www.danskebank.dk fandt scanneren flere sårbarheder af typen cross site scripting. Det er en sårbarhed, der ofte bliver overset af udviklerne, og mange kender ikke alvoren af alle de muligheder, der er for udnyttelse," siger Anders Skovsgaard.
Generelt kan cross site scripting udnyttes til at udtrække session-cookies og dermed blive logget ind som en anden bruger, forklarer Anders Skovsgaard.
"Eller der kan udlæses data, der ellers kun var tiltænkt en anden bruger. Dermed kan der også udføres requests på vegne af en anden bruger, selvom der er beskyttelse mod Cross Site Request Forgery," siger han.
I Danske Banks tilfælde foregår der ikke brugerlogin på selve danskebank.dk, og dermed er der kun risiko for, at en CMS-administrationskonto bliver overtaget, forklarer Anders Skovsgaard.
"En anden måde at udnytte sårbarheden på danskebank.dk vil være at lokke brugere ind på danskebank.dk med et specielt konstrueret link."
"Dermed kan siden udformes, som en angriber ønsker det - for eksempel kunne der tilbydes at downloade et program eller laves en formular til indtastning af kreditkortoplysninger. Alt sammen kontrolleret af angriberen," siger Anders Skovsgaard.
Han anser sårbarhederne for en troværdig hjemmeside som danskebank.dk som rimelig alvorlig.
"De bør bruge meget energi på at lukke denne type sårbarheder, da besøgende kan blive franarret følsomme oplysninger, eller få malware installeret," siger han.
Anders Skovsgaard giver sårbarhederne tallet 3 på skalaen fra et til fem.
"Der ikke er brugerlogin på domænet - det foregår på andre subdomæner udenfor browserens Same-Origin Policy. Dog øger det alvoren af sårbarheden, at det er en bank-hjemmeside," siger Anders Skovsgaard.
Munkedal: Det er alvor
Hos det etablerede it-sikkerhedsfirma Fortconsult er direktør Ulf Munkedal enig i, at sårbarhederne er alvorlige.
"Ja, det er helt sikkert sikkerhedsproblemer, som de to virksomheder bør få løst," siger han.
Cross Site Scripting (XSS) sårbarheder kan bruges til at angribe eller narre en virksomheds kunder, og derfor bør de generelt løses snarest muligt, forklarer Ulf Munkedal.
"Virksomheder i den finansielle sektor bør tage XSS-sårbarheder mere alvorligt, da de oftere end andre typer virksomheder er udsat for phising-angreb og lignende, som netop er rettet mod deres kunder," siger han.
Ulf Munkedal forklarer, at XSS-sårbarheder opstår typisk på grund af manglende fokus på input-validering i udviklingsfasen.
"Derfor kan XSS-sårbarheder betyde, at der er noget generelt i virksomhedens arbejdsprocesser omkring udvikling af applikationer, som man bør forbedre - ud over naturligvis at få løst selve sikkerhedsproblemet snarest," siger direktøren.
Læs også: Danske Bank: Sårbarheder er nu rettet.
|
