tirsdag, januar 15, 2008

Spyware fra Bankernes EDB-Central?

Under en oprydning i ~ faldt jeg over følgende filer, som jeg ikke kunne mindes at have installeret:

klaus@hjemme:~$ ls -l ~/cbt/lib/
total 24
-rw-r--r-- 1 klaus klaus 8882 2008-01-14 15:48 libcbtsysinfo_0.so
-rw-r--r-- 1 klaus klaus 8882 2008-01-14 15:51 libcbtsysinfo_1.so
klaus@hjemme:~$ 

En kort søgning afslørede at der er tale om IBM's Crypto-based Transactions (cbt), som sandsynligvis er blevet installeret af en java-applet fra BEC.

Selv om der i dette tilfælde næppe er tale om spyware el.lign., er det ikke særlig betryggende at en eller flere af de netbanker jeg benytter har den frækhed at installere software på min maskine uden mit vidende og samtykke, og i sin yderste konsekvens kan jeg se mig nødsaget til at skifte bank­forbindelse.

2 kommentarer:

Adam sagde ...

Sådan en har jeg også:

$ file cbt/lib/*
cbt/lib/libcbtsysinfo_0.so: ELF 32-bit LSB shared object, Intel 80386, version 1 (SYSV), dynamically linked, not stripped

Ikke at det giver meget mening for dem at lægge den dér:

$ uname -m
ppc

?!

Klaus Seistrup sagde ...

Korrekt, der installeres biblioteker til Intel 80386 uanset hvilken arkitektur ens pc ellers har (i det mindste så længe man bruger Linux, det er formentlig anderledes på Windows), og sidst jeg kiggede på et hex-dump var det noget Red Hat-noget.

En support-medarbejder fra netbanken skriver bl.a.:

»[…] for løbende at forbedre sikkerheden for netbankbrugerne. Det betyder at:

1) Du får advarsel når din underskriftsfil ligger på et flytbart medie.

2) Der opsamles et “fingeraftryk” (PC-DNA) af computeren ved Netbank logon, og det sker ene og alene for yderligere at beskytte mod misbrug af netbanken, fx phishing, man-in-the-middle. Ved opsamling af PC-DNA undersøges hvilke harddiske, flytbare medier, netværksdrev mv. der er adgang til.«


Og om det rent juridiske skriver supporten:

»De registrerede oplysninger, der er omfattet af persondatalovens beskyttelse, må ikke anvendes til umiddelbar fastlæggelse af den geografiske lokation hvorfra, der opnås adgang til netbank, foruden de ikke må videregives.

Formålet med registreringen er alene at beskytte mod misbrug af de enkelte kunders netbank. De registrerede oplysninger vurderes ikke umiddelbart at være særligt følsomme, og registreringerne kan ifølge advokaten derfor ske uden et forudgående samtykke fra den enkelte netbankkunde.«


Jeg kan ikke se at det på nogen måde kommer banken ved »hvilke harddiske, flytbare medier, netværksdrev mv. der er adgang til«, men jeg er mere bekymret over at de vælger at installere software på ens computer uden at man bliver informeret om det eller får mulighed for at bakke ud. Hvordan skal jeg i fremtiden have tillid til BECs applet? Hvad får jeg – uden mit vidende – installeret på min pc næste gang jeg går i banken?