TigerTeam - suomalainen tietoturvablogi

Yksi luottokorttiturvallisuuteen liittyvistä suomen kieleen kulkeutuneista sanoista on englanninkielisestä skimming-verbistä johdettu skimmaus. Myös skimmaajista ja skimmausjengeistä puhutaan.

Skimmaus tarkoittaa luotto- tai pankkikortin kopiointia tyypillisesti pankkiautomaattiin liitetyllä laitteistolla. Jotta kopioitua korttia voitaisiin käyttää rahan nostamiseen automaatista hankkivat rikolliset yleensä myös tunnusluvun eli PIN-koodin automaattiin kytkemällään kameralla. Skimmaus-termiä käytetään myös tapauksissa, jossa kortti kopioidaan huoltoaseman korttiautomaatilla. Tällöin kohteena on useimmiten miehittämätön eli ns. kylmäasema, koska laitteiston asennus voidaan tehdä helpommin henkilökunnalta salassa.

Skimmaaja on henkilö, joka luvattomasti kopioi maksukortin tiedot kortin kopion valmistamiseksi.

Aina ei mikrokokoinen kamera kuitenkaan ole skimmaajien käytössä. Tiedetään useita tapauksia, joissa tunnusluku on saatu numeronäppäimistön päälle asennetulla valenäppäimistöllä.

Kuinka sitten skimmaukselta voi suojautua?

1. Peitä näppäimistö kädellä näppäillessäsi PIN-koodia. Näppäilyn kuvaava kamera voi kuvata näppäilyn muualtakin kuin suoraan näppäimistön yläpuolelta.

2. Ota yhteyttä poliisiin ja automaatin ylläpitäjään mikäli epäilet löytäneesi kopiointilaitteen automaatista. Kopiointilaitteet on usein teipattu automaatteihin ja Suomen ilmastossa ne voivat irrota kiinnityksistään.

3. Tarkista tiliotteet ja luottokorttilaskut. Mikäli nostoja tai ostoja on tehty epäilyttävinä ajankohtina tarkista niiden oikeellisuus.

Web-sovellusten tietoturvaa seuraava Web Application Security Consortium on julkaissut päivitetyn version yleisesti käytössä olevien sovellusten tietoturvatilannetta kuvaavasta Web Application Security Statistics -raportistaan. Raportin perustana olevat tiedot on kerätty yli 12 000 web-sovelluksesta sekä testaamalla niitä automaattityökaluilla että analysoimalla sovelluskoodia yksityiskohtaisesti.

Sovelluksista löytyi lähes 100 000 erilaista haavoittuvuutta ja muuta tietoturvaongelmaa. Yleisimmät ongelmatyypit ovat alttius erityyppisille cross-site scripting -hyökkäyksille, jota havaittiin 39 prosentissa analysoiduista sovelluksista, sekä taipumus vuotaa käyttäjälle kuulumatonta tietoa, mihin syyllistyi 32 prosenttia sovelluksista.

Haavoittuvuuksia aiheuttavat sekä ohjelmointi- että järjestelmänhallinta- ja asennusvirheet tasapuolisesti. 57 prosentissa sovelluksista löytyi huolimattomasta toteutuksesta johtuvia haavoittuvuuksia, ja www-osoitteiden perusteella peräti 85 % toimivista järjestelmistä osoittautui tavalla tai toisella puutteellisesti asennetuksi tai konfiguroiduiksi. Vain yksi prosentti tarkastetuista sovelluksista oli täysin PCI DSS -standardin tietoturvamääritykset täyttäviä.

Automaattinen hyödyntäminen helppoa

Huolestumiseen antaa aihetta tieto, että 13% sovelluksista oli sellaisia, joiden tietoturva-aukkoja on mahdollista hyödyntää täysin ohjelmallisesti. Niitä vastaan voi siten hyökätä automaattisesti osoiteavaruutta läpikäyvällä ohjelmalla, joka tunnistaa haavoittuvuudet ja murtautuu niiden avulla sovelluksiin.

Vaikka yleisimmät haavoittuvuudet voidaan myös havaita automaattisesti noin puolessa tapauksista, valtaosa vakavimmista, PCI DSS -luokituksen mukaan Urgent- tai Critical-tyyppisistä ongelmista paljastui vasta käsin testaamalla ja ohjelmakoodia analysoimalla.

Raportin julkaisseeseen konsortioon kuuluu useita johtavia tietoturvayrityksiä, muun muassa HP Application Security Center, Positive Technologies, Whitehat Security ja Veracode. Raportti on luettavissa tässä osoitteessa.

Tervetuloa Nixun uuteen TigerTeam-tietoturvablogiin. Blogi jatkaa maaliskuusta 2008 asti toimineen Nixu Web Journal -blogin seuraajana.

Blogin kirjoittajina jatkavat Nixu Oy:n tietoturva-asiantuntijat. Nixu Web Journal - tuttavallisemmin Nixu PCI Security -blogi perustettiin tarjoamaan Nixun sertifioitujen PCI-asiantuntijoiden käsityksiä Payment Card Industry -tietoturvastandardin yleisestä tulkinnasta. TigerTeam-blogi laajentaa aihepiiriä suomenkielisenä tietoturvablogina myös muille tietoturvan osa-alueille. Vanhan blogin kirjoitukset on siirretty TigerTeam-blogiin.

Päivitä kirjanmerkkisi ja RSS-lukijasi tilaukset, sillä osoite blog.nixu.fi on poistunut nyt käytöstä.

PCI-tietoturvastandardi sai heti ilmestymisensä jälkeen kritiikkiä siitä, että se ei tue riskipohjaista lähestymistapaa. Organisaatio joko noudattaa tai on noudattamatta PCI-standardia, mitään välimuotoja ei ole standardissa määritelty. Lisäksi jokainen vaatimus on yhtä tärkeä: mikäli yksikin kohta on ”punaisella” (esim. puutteellinen dokumentointi) niin organisaatio ei ole vaatimuksenmukainen.

PCI Council on huomioinut kritiikin, ja PCI-standardiin on myöhemmin lisätty riskipohjaista lähestymistapaa tukevia vaatimuksia. Tällainen on esimerkiksi 1.2-päivityksen yhteydessä muuttunut tietoturvapäivitysvaatimus, joka nykyisin sallii tietoturvapäivitysten priorisoinnin niiden kriittisyyden mukaan.

Uusin parannus riskipohjaisella lähestymistavalla on vastikään julkaistu PCI Councilin dokumentti ja työkalu Prioritized Approach for DSS 1.2. Menetelmän ideana on jakaa vaatimukset kuuteen vaiheeseen (milestone) niiden kriittisyyden mukaan. Näin organisaatio, joka ei vielä täytä PCI-vaatimuksia, voi omassa projektissaan keskittyä aluksi tärkeimpiin vaatimuksiin (Milestone 1) ja jättää vähiten kriittiset vaatimukset (Milestone 6) toteutettavaksi viimeiseksi. On kuitenkin syytä huomioida, että PCI-standardin noudattaminen edellyttää edelleen jokaisen vaatimuksen saamista ”vihreäksi”.

Nixun saamien tietojen mukaan jatkossa korttiyhtiöt alkavat seurata kauppiaiden ja palveluntarjoajien edistymistä näiden kuuden tason mukaan. Yleisen tietoturvallisuuden ja korttiyhtiöiden seurannan takia organisaatioiden, jotka eivät vielä ole PCI:n mukaisia, kannattaakin varmistua, että vähintään Milestone 1 -tason vaatimukset ovat kunnossa. Lisäksi tulee varmistaa, että Milestone 2 - ja 3-tasolla vaatimukset tulevat kuntoon mahdollisimman nopeasti.

Nixun lähestymistapa PCI-projekteille ja roadmapeille on aina ollut riskipohjainen, joten PCI Councilin ehdottama malli sopii hyvin yhteen Nixun työmenetelmien ja suositusten kanssa.

PCI-tietoisuus on Suomessa jo sillä tasolla, että asiakkaat osaavat vaatia PCI-sertifioituja ratkaisuja toimittajilta ja palveluntarjoajilta. Valitettavasti pelkän PCI:n vaatiminen ei aina kuitenkaan riitä. Nixun tietoon on tullut tapauksia, jossa myyjä on vakuuttanut, että heidän maksupäätejärjestelmänsä täyttää PCI-vaatimukset. Todellisuudessa ratkaisulla on ollut ainoastaan PCI PED -hyväksyntä (Pin Entry Device).

PCI Council hallinnoi tällä hetkellä kolmea PCI-standardia:

PCI PED (maksupäätteen turvallisuus)

PA-DSS (Payment Application Data Security Standard – maksuohjelmiston turvallisuus) – lisää aiheesta voi lukea täältä

PCI DSS (järjestelmien ja prosessien turvallisuus)

Käytännössä Suomessa EMV-hyväksytyillä maksujärjestelmillä on mainittu PCI PED -hyväksyntä, joten sen olemassaolo on pitkälti itsestäänselvyys eikä kilpailuetu. Tilanne PA-DSS:n ja PCI DSS:n suhteen on selvästi huonompi: nämä sertifioinnit puuttuvat vielä hyvin monelta toimittajalta. Erityisesti PCI DSS:n uupuminen toimittajalta vaikeuttaa merkittävästi kauppiaan omaa PCI DSS -vaatimustenmukaisuutta.

Toinen huomionarvoinen seikka on PCI DSS -sertifioinnin kattavuus. Vaikka toimittajalla olisi PCI DSS -sertifiointi ei se vielä tarkoita, että toimittajan koko tarjonta täyttää standardin vaatimukset. Toimittajan sertifiointi voi kattaa vain yhden palvelun, mutta asiakkaalle tarjotaan myös muita palveluja. Ostajan kannattaakin aina varmistaa, mitä toimittajan PCI DSS -sertifiointi oikeasti kattaa ja mikä jää ostajan vastuulle.

Lisäksi kaikki em. sertifioinnit vanhenevat ellei niitä uusita säännöllisesti. Toimittajalta kannattaakin vaatia, että heidän on pidettävä kyseiset sertifioinnit voimassa.

Voimassa olevat PCI PED - ja PA-DSS-sertifoinnit voi tarkistaa PCI Councilin sivuilta. PCI DSS -mukaiset eurooppalaiset palveluntarjoajat voi vastaavasti tarkistaa VISA Europen sivuilta. Luettelo EMV-vaatimusten mukaan sertifioiduista maksupäätejärjestelmistä puolestaan sijaitsee Luottokunnan sivuilla.

“…systems that store, process, or transmit cardholder data…”

Helpoin keino hoitaa ongelmalliset tilanteet on ulkoistaa ne, sanotaan. PCI-vaatimusten osalta voisi olla helppo ymmärtää, että ne koskevat vain luottotietoja käsittelevää järjestelmää, mutta näin asia ei kuitenkaan ole. PCI:n skooppiin kuuluvat kaikki järjestelmät, jotka käsittelevät, tallentavat tai kuljettavat luottokorttitietoja. Tämän voisi helposti ymmärtää niin, että jos organisaatio ei käsittele, tallenna tai kuljeta omistamaansa PCI-dataa organisaationsa sisällä, eivät PCI:n vaatimuksetkaan kosketa heitä. Asia ei kuitenkaan ole aivan näin yksiselitteinen. Vaikka kauppiasorganisaatiolla itsellään ei missään tilanteessa olisi edes pääsyä korttitietoihin, vaan kaikki siihen liittyvä olisi ulkoistettu palveluntarjoajalle, viime kädessä vastuu luottokorttitietojen suojaamisesta kuuluu kuitenkin tietojen omistajalle.

PCI on-site -auditointi kohdistuu aina luottokorttitietoja käsittelevän järjestelmän omistajaan, jonka tulee täyttää kaikki PCI-standardin vaatimukset soveltuvin osin, tallensi, käsitteli tai siirsi se luottokorttitietoja omassa ympäristössään ja omien työntekijöidensä toimesta tai ei. Kaikilta osin standardin vaatimukset eivät kuitenkaan tällaisissa tilanteissa ole soveltuvia, mutta tietyt vaatimukset kuten yrityksen tietoturvapolitiikkaan ja palveluntarjoajien sopimuksiin liittyvät tulee silti ottaa huomioon. Tällaisissa tapauksissa pääosa vaatimuksista kuitenkin kohdistuu palvelun toimittajaan, jonka toimintojen tulee asiakkaan järjestelmän osalta täyttää PCI:n vaatimukset.

Omalta osaltaan tilannetta monimutkaistavat suositut SaaS-, PaaS- ja cloud computing -mallit, joissa tarjottavan palvelun rajat sekä sisältö hämärtyvät ja itse palvelu on asiakkaalle usein pelkkä musta laatikko. Usein näissä tilanteissa sopimusehdot eivät myöskään aina mahdollista vaatimuksen 11 edellyttämiä säännöllisiä teknisiä tarkastuksia. Nämäkään seikat eivät kuitenkaan ole perustelu PCI-vaatimusten noudattamatta jättämiselle. Vaatimus 12.8.2 määrittelee, että palveluntarjoaja tulee kirjallisella sopimuksella velvoittaa noudattamaan PCI-standardin vaatimuksia. Pienelle yritykselle, puhuttaessa suurista globaaleista toimijoista, PCI-vaatimusten ujuttaminen palvelusopimuksiin voi olla vaikeaa ellei mahdotonta. Suositeltavin vaihtoehto onkin, että palveluntarjoajat sertifioituvat tilaamalla omille toiminnoilleen PCI-auditoinnin, mutta ainakaan toistaiseksi tällä rintamalla ei suuria liikkeitä ole nähty. Mikäli palveluntarjoaja ei itse halua sertifioitua, tullaan vaatimustenmukaisuus selvittämään erikseen heidän jokaisen asiakkaansa auditoinnin yhteydessä. Sertifioimalla palvelunsa oma-aloitteisesti toimittajat paitsi helpottaisivat omalta osaltaan asiakkaidensa sertifiointiprosesseja ja sitä kautta vähentäisivät myös omia auditointeihin liittyviä tukitehtäviään, myös saisivat PCI-sertifioinnillaan selkeää etua kilpailijoihinsa nähden. Toisaalta standardin tarkan tulkinnan mukaan, mikäli palveluntarjoaja ei suostu ottamaan soveltuvin osin vastaan PCI-velvoitetta sopimuksissaan, on kauppiaan mahdollista saavuttaa PCI-sertifiointi vain vaihtamalla toimittajaa.

Entä sitten riskienhallinta

On luonnollista, että standardissa ei voida ottaa yksiselitteistä kantaa kaikkiin olemassa oleviin palvelumalleihin ja arkkitehtuureihin, mutta palvelujen ulkoistaminen on yhä suositumpaa ja vaatimuksia on nykymuodossaan haastavaa soveltaa käytäntöön kaikissa tilanteissa. Luonnollisesti näissäkin tilanteissa ”lain” henki on tärkeämpi kuin sen kirjain ja auditoinneissa asiaa voidaan lähestyä riskienhallinnan menetelmin, mutta tilanteen yleisyyden vuoksi tarkemmat linjanvedot olisivat paikallaan. Toivottavasti asian tulkintaan saadaan tulevaisuudessa tarkennuksia PCI SSC:n toimesta. Sitä odotellessa kannattaa noudattaa vanhaa nyrkkisääntöä: ”toimintoja voi ulkoistaa, mutta vastuuta ei”.

Saksalaisyliopiston tutkijat Erik Tews ja Martin Beck kertoivat viime viikolla lehdistölle onnistuneensa murtamaan osittain WPA-standardin salauksen (Wi-Fi Protected Access). Raportin mukaan murtaminen vaatii aikaa keskimäärin 12 minuuttia.

Teknisesti havaittu ongelma liittyy TKIP-protokollaan (Temporal Key Integrity Protocol), joka on salaustasoltaan heikon WEP:n korvaava tietoturvaprotokolla. Tekniikkaa hyödyntäen on omien tietoliikennepakettien lähettäminen kohdetietokoneeseen myös mahdollista. Tällä menetelmällä ei ole onnistuttu saamaan haltuun salaukseen käytettyä avainta.

Tutkijoiden kehittämä menetelmä ei toimi kehittyneempään WPA2-salaukseen ja sen käyttämään CCMP-protokollaan. Siinä käytetty AES-salausalgoritmi on WPA:n käyttämää RC4:ää vahvempi.

Tutkijakaksikkoa edustava Tews kertoi löydöksistä tarkemmin eilisessä PacSec 2008 –tietoturvakonferenssin luennossaan Tokiossa.

WLAN-salauksista heikoimman eli WEP:n puutteita on käytetty luottokorttitietojen hankkimisessa ns. TJX-tapauksessa. Keväällä tuli ilmi, että yli 90 miljoonaa luottokorttinumeroa sekä ajokorttitietoja ja henkilötunnuksia varastettiin kuuntelemalla yhdysvaltalaisen vaateliikeketjun kahden myymälän WEP:llä salattua WLAN-liikennettä. WEP-salaus (Wired Equivalent Privacy) purkautuu parissa minuutissa keskivertotason kannettavalla tietokoneella.

PCI Security Standards -toimielimen lokakuussa julkaisema päivitetty PCI DSS -standardi edellyttää vahvaa salausratkaisua sekä tunnistamisessa että liikennöinnissä. Standardin edellinen versio 1.1 on voimassa kuluvan vuoden loppuun saakka. Uusissa ratkaisuissa WEP-salausta ei saa käyttää 1.4.2009 alkaen.

PCI Council on 1.10. julkaissut PCI DSS -version 1.2. Uuden version sisältö vastaa hyvin ennakko-odotuksia: suuria muutoksia tai lisäyksiä ei ole tehty. Uudesta versiosta ei ole vielä olemassa virallista suomenkielistä käännöstä.

Monia organisaatioita kiinnostanee tieto, että standardissa esitettyjä aikaikkunoita katselmoinneille ja päivityksille on muutettu. Vaatimus 6.1 sallii standardin versiossa 1.2 riskiperusteisen päivitysten aikatauluttamisen. Ainoastaan kriittiset päivitykset on pakko asentaa 30 päivän kuluessa, muut päivitykset voidaan asentaa 90 päivän kuluessa. Lisäksi vaatimusta 1.1.6 koskien palomuurisääntöjen auditointia on lievennetty ja vaatimus sallii nykyään auditoinnin puolen vuoden välein.

Standardin vaatimus 9.1.1 käsittelee sensitiivisten tilojen valvontaa. Versiossa 1.1 vaadittiin monitoroitua videovalvontaa. Uusi versio sallii myös muut menetelmät, joilla valvotaan yksittäisten henkilöiden liikkumista sensitiivisissä tiloissa.

Langattomien verkkojen salausvaatimuksia on täsmennetty. WEP-salausta ei ole aikoihin pidetty luotettavana, mutta PCI DSS versio 1.1 on silti vihjannut, että WEP:n käytön voisi joissain olosuhteissa katsoa olevan sallittua. Versio 1.2 kieltää WEP:n eksplisiittisesti.

Paljon keskustelua herättänyt ennakkotieto anti-virusvaatimuksista osoittautui lopulta harhaanjohtavaksi. Vaatimusta 5.1 on muutettu ainoastaan yhden sanan osalta. Virusten lisäksi vaatimus on täsmennetty koskemaan kaikkia haittaohjelmia.

PCI DSS versio 1.2 on saatavilla PCI Councilin sivuilta.

PCI Council on julkaissut tiedotteen (pdf), jossa käsitellään tulevan PCI DSS -standardin muutoksia. Tärkein tieto lienee se, että mitään täysin uusia vaatimuksia ei ole luvassa. Muutokset ovat pääasiassa pieniä ja niiden tarkoitus on selventää nykyisen standardin vaatimuksia.

Muutokset eivät tarkoita ainoastaan kiristyneitä vaatimuksia, vaan saattavat myös tarjota helpotuksia. Esimerkiksi uuden standardin myötä palomuurisäännöt pitää katselmoida vähintään puolivuosittain, ei neljännesvuosittain.

Joustavuutta on myös luvattu valvontakameroiden osalta niin, että yritykset voivat harkita muitakin vaihtoehtoja fyysisten turvallisuuden kontrolleiksi.

Langattomien verkkojen osalta vaatimukset kiristyvät: WEP-salausta ei saa käyttää nykyisissa järjestelmissä 30.6.2010 jälkeen. Uusissa järjestelmissä aikaraja on 31.3.2009.

Ehkä eniten keskustelua Nixun käytävillä on kuitenkin herättänyt seuraava lause:

Clarified that requirement for use of anti-virus software applies to all operating system types

Koska koko vaatimusta ei ole vielä julkaistu, on tässä vaiheessa mahdotonta sanoa mitä yllä olevalla oikeasti tarkoitetaan.

PCI DSS 1.2 julkaistaan PCI:n toimintaan osallistuville organisaatioille syyskuun alkupuolella ja muille 1. lokakuuta.

PCI DSS 1.2 Changes Summary -otsikoitu pdf-dokumentti aiheesta täällä.

Luottokunta on julkaissut sivuillaan PCI DSS:n (versio 1.1) suomenkielisen käännöksen.

Samalta sivulta löytyy myös selkeä vuokaavio (pdf) eri tasoisten kauppiaiden raportointivelvollisuuksista Luottokunnalle sekä ohjeet oikean PCI-itsearviointilomakkeen (SAQ) valintaan.

Päivitys: 1.1-version korvauduttua versiolla 1.2 ei suomenkielinen versio ole enää saatavilla.

Bob Russo, PCI Security Standards Councilin General Manager on vahvistanut tiedon, jonka mukaan seuraava PCI DSS -versio julkistettaisiin syyskuussa 2008.

Päivitys: PCI Councilin tiedotteen (pdf) mukaan PCI DSS 1.2 ilmestyy lokakuussa.

PCI Councilin jäsenille ja meille auditoreille uusi versio tulee nähtäväksi loppukesästä. Uskomme langattomien verkkojen sekä www-sovelluksien tietoturvan olevan uudessa versiossa vahvemmin ja entistä selvemmin esillä. Kovasti keskustelua herättänyt vaatimus 6.6 sovellustason palomuurista (web-application level firewall) tai koodikatselmoinnista saa varmasti uudessa versiossa kaivattua täsmennystä.

PCI Security Standards Council julkaisi alkuvuodesta kauan odotetun päivityksen itsearviointilomakkeeseen (Self-Assessment Questionnaire, SAQ). Tätä itsearviointilomaketta käyttäen pienemmät luottokorttitapahtumia vastaanottavat ja käsittelevät toimijat ilmoittavat PCI-vaatimustenmukaisuutensa tilan. Tarkempi lista PCI-tasoista ja kelpoisuuden arvioinnista on luettavissa Nixun PCI-sivulla.

Tässä uudessa SAQ-versiossa toimijat on jaettu viiteen eri luokkaan (1-5) ja jokaiselle luokalle on erikseen määritelty SAQ-lomake jota tulee noudattaa. Kuten alla olevasta taulukosta näkyy, selviävät jotkin toimijat helpolla, mutta varsinkin lomake D vastaa lähes täysin täyttä PCI DSS -taulukkoa.

SAQ luokka - Kuvaus - SAQ lomake - Lomakkeessa kysymyksiä (kpl):

1 Vain kortittomia tapahtumia (etäkauppa, card-not-present) käsittelevät kauppiaat. Kaikki maksukorttitiedon käsittely tulee olla ulkoistettu. Tämä luokka ei koske kivijalkakauppoja joissa maksetaan luottokortilla. A 11

2 Vain leimauslaitteella maksutapahtumia käsittelevät kauppiaat. Luottokorttitietoa ei saa tallentaa elektronisesti. B 21

3 Kauppiaat joilla on itsenäinen maksupääte soittoyhteydellä. Luottokorttitietoa ei saa tallentaa elektronisesti. B 21

4 Kauppiaat joiden maksusovellukset ovat yhteydessä internetiin. Luottokorttitietoa ei saa tallentaa elektronisesti. C 38

5 Kaikki muut kauppiaat (jotka eivät sovi luokkiin 1-4) sekä kaikki palveluntarjoajat, jotka ovat velvoitettu käyttämään itsearviointilomaketta. D 226

Virallinen luokittelu sekä työkalu oman SAQ-lomakkeen valintaan on esitetty Instructions Guidelines -dokumentissa [pdf].