Posts from — March 2008

Tilanne tänään Sampopankin verkkopankissa:

Java Plug-in 1.6.0_05
Using JRE version 1.6.0_05 Java HotSpot(TM) Client VM

eSafekey (build JW410060) started.
CryptoKernelException: Internal technical error
at dk.danskebank.ec.ec.esafekey.businesslogic.CryptoKernel.encryptWithKey(Unknown Source)
at dk.danskebank.ec.ec.esafekey.InterfaceWeb.encryptChallenge(Unknown Source)
at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at sun.reflect.NativeMethodAccessorImpl.invoke(Unknown Source)
at sun.reflect.DelegatingMethodAccessorImpl.invoke(Unknown Source)
at java.lang.reflect.Method.invoke(Unknown Source)
at sun.plugin.javascript.JSInvoke.invoke(Unknown Source)
at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at sun.reflect.NativeMethodAccessorImpl.invoke(Unknown Source)
at sun.reflect.DelegatingMethodAccessorImpl.invoke(Unknown Source)
at java.lang.reflect.Method.invoke(Unknown Source)
at sun.plugin.javascript.JSClassLoader.invoke(Unknown Source)
at sun.plugin.com.MethodDispatcher.invoke(Unknown Source)
at sun.plugin.com.DispatchImpl.invokeImpl(Unknown Source)
at sun.plugin.com.DispatchImpl$1.run(Unknown Source)
at java.security.AccessController.doPrivileged(Native Method)
at sun.plugin.com.DispatchImpl.invoke(Unknown Source)
at sun.plugin.com.DispatchClient.nativeInvoke(Native Method)
at sun.plugin.com.DispatchClient.invoke(Unknown Source)
at sun.plugin.javascript.ocx.JSObject.invoke(Unknown Source)
at sun.plugin.javascript.ocx.JSObject.call(Unknown Source)
at dk.danskebank.ec.ec.esafekey.InterfaceWeb.invokeJSFun(Unknown Source)
at dk.danskebank.ec.ec.esafekey.InterfaceWeb.actionPerformed(Unknown Source)
at dk.danskebank.ec.ec.esafekey.businesslogic.MyThread.run(Unknown Source)
at java.awt.event.InvocationEvent.dispatch(Unknown Source)
at java.awt.EventQueue.dispatchEvent(Unknown Source)
at java.awt.EventDispatchThread.pumpOneEventForFilters(Unknown Source)
at java.awt.EventDispatchThread.pumpEventsForFilter(Unknown Source)
at java.awt.EventDispatchThread.pumpEventsForHierarchy(Unknown Source)
at java.awt.EventDispatchThread.pumpEvents(Unknown Source)
at java.awt.EventDispatchThread.pumpEvents(Unknown Source)
at java.awt.EventDispatchThread.run(Unknown Source)
Caused by: java.lang.NullPointerException
at dk.danskebank.ec.ec.esafekey.utility.Utility.B64Decode(Unknown Source)
... 32 more

Verkkopankin nullpointtaus viikko lanseerauksen jälkeen ei herätä suuria luottamuksen tunteita. Hätäisesti tehdyt ad hoc -korjaukset kummittelevat jo – eikä kuolemansyntilistalla ole päästy edes kakkoskohtaan vielä.

Vuola on näemmä siirretty hiukan syrjemmälle tiedottamisesta, tänään oli varatoimari Näkyvän vuoro pahoitella IT-kaaosta.

Mukava oli huomata myös Nordean verkkopankin pätkiminen – jopa varayhteys heitti satunnaisesti 404:sta.

Sampopankin Hall of The Incredible and Awesome:

1. Jatkuvat täysin triviaalit tietoturva-aukot, jotka avaavat portit auki vaikka millaiselle phishingille, sekä verkkopankkiin että etenkin verkkomaksuun
2. Käyttäjätietojen lähettäminen Tanskaan statistik.gallup.netille
3. JNI-komponentin koneennuuskinta ja sen mahdollistamat tietoturvariskit, "Java" pomppaakin ulos hiekkalaatikosta ja ajaa rm -rf
4. Suoranaiset virheet tilitiedoissa, lainoissa, sijoituksissa, vakuutuksissa, ynnä muissa tiedoissa

Jo yksikin näistä riittäisi vallankumoukseen, mutta nyt nämä kaikki neljä yhtäaikaa… joista vasta ensimmäiseen on oikeasti ehditty paneutua. Vituttaa, naurattaa ja itkettää yhtäaikaa. Kaikella tavalla niin härski sähellys, että voihan vittu!

Ei tällä mentäisi edes amk:n ohjelmointikurssia läpi.

Paskin. Viritys. Ever.

Naureskelin pari päivää sitten Applen awesome/incredible -hehkutukselle, mutta vasta nyt huomasin, että osataan sitä muuallakin. Uudessa Firefoxissa vanhasta location barista on kehkeytynyt AwesomeBar. AWESOME!

Aamulehden blogisti Seppo Roth jaksaa sinnikkäästi kolumnoida asioiden vierestä. Uusin raapustus käsittelee kaikkien äijjien ja naistenmiesten sankaria, Ike Kanervaa. Perusitkun juoni on suunnilleen se, että jos naiset saavat halventaa miehiä, niin miksi sitten miehet eivät saa halventaa naisia. Tai edes flirttailla. Sepon pelot ja ajatuksenjuoksun taso tiivistyvät hyvin seuraaviin virkkeisiin:

Synti oli siis se, että vanha mies flirttaili nuorelle naiselle, mikä tietysti voi monesta tuntua yököttävälle, mutta elämä on.

ja

Ja jos tämä koko tekstiviestijupakka johtaisi ministerin vaihtoon, niin siitä olisi ainakin yksi seuraus. Kukaan kova naistenmies ei enää uskalla hakeutua politiikkaan.

Olisihan se tietenkin todella ikävää, jos vanhat kurttuiset penis-edellä-miehet eivät enää hakeutuisi politiikkaan. Mutta elämä on.

Hankala tilanne, Apple kieltää Windows-käyttäjiä asentamasta Safarin Windows-versiota. Lisenssiä on sittemmin päivitetty verkkosivuille, mutta Safarin UPDATE (sic) -ohjelma tarjoaa silti paradoksilisenssiä hyväksyttäväksi. Jobsin juoni, vai lipsahtiko kerrankin jotain Steven kaiken-näkevän silmän (the eye that never sleeps) ohi?

Paha media! Ei saa kertoa, jos menee huonosti! Julkisen sektorin alasajo ei ole huono asia, se on ainoa vaihtoehto ™! Näin toteaa Hesarin mukaan Matti Vanhanen. Lakko-oikeus ja omistajaohjaus olikin jo hoideltu. Ah tätä porvarihallitusta. Nyt tarvitaan Jarmo Korhonen Keskustan johtoon.

Uutisen otsikko: Firefox-selaimessa paljastui kriittisiä turva-aukkoja
Uutisen ensimmäinen lause: Mozilla-säätiö on julkaissut kuusi turvapäivitystä Firefox-selaimelle.

(Tietokone)

Klikkausten haalinta dramaattisen otsikon avulla alkaa lyödä pahasti yli.

Amarokin soitellessa Molokoa äänenvoimakkuus veti itsensä jojoon joko epätoivosta tai euforiasta:

Onneksi softassa ei ole koodailtu if(onUnexpectedExit) setVol(MAX_ELEVEN!!11);

Danske Bankin Suomi-haaran eli Sampopankin sekoiluista on jo paljon pätevää selostusta mm. Tietokone-lehden jutussa ja blogikommenteissa, mutta ilmaisenpa minäkin asiakkaana tyrmistykseni. Asia on sen verran monimutkainen, että seuraava viikko on varmasti mielenkiintoinen:

1. Uudet vielä löytämättömät kuprut (varsinkin JNI-kikkare)
2. Sampopankin / Danske Bankin pääjehujen kiemurtelu
3. Muiden pankkien reaktiot
4. Rahoitustarkastus?
5. EFFI?
6. Luottamuksen palauttaminen
7. Isojen medioiden uutisoinnin taso

Päähän ottaa – jos olisi tammikuussa tiennyt, miten hienon WTF-systeemin Danske Bank pullauttaa suomalaistenkin käytettäväksi, tuskin olisin Sampoon vaihtanut.

Turvallisuusvaroituksen toista kohtaa saa kerrankin ihan tosissaan miettiä.

Pari ainakin kirjoitushetkellä (keskiviikko 26.03.2008 21:35) toimivaa hupailua:
http://tinyurl.com/3536fv (Nordea / Sampo)
http://tinyurl.com/2zjznf (Irakin tiedotusministeriö / Sampo)

Isot pisteet taas suomalaisille aktiivisuudesta! Tanskassa ja ilmeisesti monessa muussakin maassa samankaltainen systeemi on pyörinyt jo ainakin kuukausia, ellei jopa vuosia. Suomen pikku nettipirulaiset vasta narauttivat (eli tekivät tietoturvallisuusauditoijien työt).

EDIT: Lisätään vielä kuolematon lausunto viestintäjohtaja Vuolalta:

Sampo Pankin viestintäjohtaja Hannu Vuola myöntää, että tietoturva-aukko oli jäänyt pankin webbisivuille, kun niitä uusittiin uuden emoyhtiön, Danske Bankin järjestelmiin sopiviksi.

(Lähde: Suomen Kuvalehti, 26.3.2008 19:20:57)

Harmi vaan, että

1) Virhe on edelleen sivuilla
2) Virhe on ollut sivujen Tanskan versiossa kuukausikaupalla
3) Virheestä ei olisi kukaan kuullut vieläkään ilman suomalaisten aktiivisuutta

(Yksi selitys on tietenkin se, että yhteensopivuus Danske Bankin kanssa perustuu XSS:ään, JNI-exploitteihin ja rootkit-meininkiin)

Tietoturva-auditointi on vähintään tuhansien eurojen laaki per sivusto. Onneksi Sampopankkia autetaan, ja virheet etsitään ilmaiseksi. Ei tarvitse Ibarin poikien kuin korjata. Hmm, ehkäpä Sampo uudistaa seuraavan kerran sivustonsa oikeastikin Open Source / GPL -pohjaisesti. Samaa suosittelen muuten pakolliseksi kaikkiin julkishallinnon projekteihin. **kröh ** sähköinen äänestys ** kröh **

Ja lisää: Sammon verkkopankki veloitti lainanlyhennyksen tuplasti
Mitähän kaikkea perjantaihin mennessä löytyykään. Vuoden (vuosikymmenen) IT- ja PR-katastrofi? Ainakin jälkimmäinen, mikäli Vuola-raukka pistetään vielä huomennakin toimittajien syötäväksi.

Nelosen uutispätkässä on jo murtumisen merkkejä havaittavissa. Valehtelu onneksi sentään sujuu vielä viileän lakonisesti. Haastattelussa mainittu analyysitietojen lähettäminen TNS-Gallupille on ainakin kenen tahansa havaittavissa. Itse estin moiset lähettelyt, on tässä jo pakko sovitella foliohattua päähänsä…

"It’s incredible, it’s awesome, we are really excited." Tuttuja lauseita Applen lehdistötilaisuuksista (tai lähinnä esitelmistä), mutta viime aikojen tapahtumat ja vanhempikin historia ovat muistuttaneet taas, että Apple on pohjimmiltaan aivan yhtä "paha" yhtiö kuin esimerkiksi Microsoft.

Hyvä yleisesitys Applen yrityskulttuurista ja toimintatavoista on Wired.comin artikkeli "How Apple got everything right by doing everything wrong". Viime aikainen esimerkki on tietenkin muidenkin yhtiöiden harjoittama sovellusten pakkosyöttö. Itunesin asentaneet saavat normaalilla next-next-next-important-product-update-naksuttelulla ilokseen Safarin Windows-version!

Itsellänikin oli lähellä siirtyminen Apple-käyttäjäksi, kun XP:n mahdottomuudet alkoivat käydä pahasti hermoille, mutta onneksi löysin tahattomasti toimineen muusan avustuksella tosirakkauden Linux-maailmasta. Nimrod is running Ubuntu now and loves it a lot.

Eihän tässä mikään toimi heittämällä, mutta sitten kun toimii, niin onpahan hieno ja itse yritetty pistää toimimaan, eikä Steve Jobs ole ollut selän takana pikseliä viilaamassa.

[PLAYER=compiz.flv]

Chiquita tekee hyvää! Tänään törmäsin Telkku.comissa niin paksuun mainokseen, että oli aivan pakko tarttua aiheeseen.

Chiquita (ex-United Fruit Company) tosiaan tekee hyvää! Firman listalla on rötöksiä lähes yhden keskikokoisen jenkkihallinnon verran, eikä näistä kupruista luultavasti koskaan joudu edesvastuuseen – edes postuumisti.

Wikipedia kertoo lisää, ja etenkin Wikipedian referoimat linkit ja kirjallisuusviitteet (sekä kauno- että tietokirjallisuus) vakuuttavat lopullisesti, että Chiquita ei todellakaan tee hyvää. Luulenpa, että osittain UFC:n kuvottavan maineen takia suosituin ja kaiketi ensimmäinen itsensä läpilyönyt Reilun kaupan tuote on juuri banaani.

Masentavaa tilastoa Facebookista: