TigerTeam - suomalainen tietoturvablogi

Parasta sitten viipaloidun leivän?

Lähimaksaminen on uusiin maksukortteihin tuleva ominaisuus. Siinä pienehköt maksut voidaan hoitaa koskettamalla kortilla lukijaan. Maksutapahtuman hyväksyntään ei tarvita PIN-koodia.

Lähimaksaminen tuo selkeitä hyötyjä sekä kauppiaalle että kortinhaltijalle. Molemmille tulee etua siitä, että maksutapahtuma on erittäin nopea. Kortinhaltijalle tulee lisäetu siitä, ettei PIN-koodia tarvitse maksutilanteessa suojata.

Kioskimyynti sekä ravintolamyynti ovat tyypillisiä maksutilanteita, joihin lähimaksamisen nopeus ja helppous vaikuttavat erittäin positiivisesti.

Lähimaksamisessa on rajoituksia, joilla parannetaan maksamisen turvallisuutta:

• kertaostos voi olla korkeintaan 25 €

• lähimaksamisen voi tehdä korkeintaan kolme kertaa, jonka jälkeen vaaditaan PIN-koodi

Rajoitusten tarkoitus on pitää vahingot kohtuullisina, mikäli kortti katoaa tai varastetaan.

Lähimaksaminen lienee suunnilleen viipaloidun leivän mittapuussa oleva keksintö.

Entäpä turvallisuus?

Kaikki lähimaksamisessa ei ehkä kuitenkaan ole aivan niin ruusuista kuin korttiyhtiöt antavat ymmärtää. Lähimaksamisen tekniikka jättää tietoturvallisuuteen muutamia aukkoja, jotka kortinhaltijan tulisi tietää ja tiedostaa.

Spesifikaatioiden mukaan lähimaksaminen voidaan tehdä, kun maksukortti tuodaan alle viiden sentin päähän lukulaitteesta, jolloin maksaminen vaatii kortinhaltijalta aktiivista toimintaa ja tietoisuutta. Käytännössä kannettavalla laitteella voidaan maksutapahtuma tehdä puolentoista metrin etäisyydeltä – eli siis siten, ettei kortinhaltija osallistu mitenkään maksutapahtumaan.

Lähimaksutapahtumassa kortti ja kortinlukija kommunikoivat käyttämällä salaamatonta yhteyttä. Maksutapahtumaa on mahdollista kuunnella passiivisesti yli 15 metrin päästä. Maksutapahtuman aikana kortti lähettää lukijalle mm. korttinumeron ja voimassaoloajan.

Lähimaksukortti ei pysty todentamaan, että kortinlukija olisi legitiimi. Kannettavalla laitteella on mahdollista lukea kortilla olevat tiedot puolentoista metrin etäisyydeltä kortinhaltijan huomaamatta. Lähiluettavien tietojen joukossa ei pitäisi olla kortinhaltijan nimeä, mutta useissa jo liikkeellä olevissa korteissa näin kuitenkin on tilanne. Lisäksi kortilta voidaan lukea korttinumero ja voimassaoloaika.

Mitähän sitä tuli ostetuksi?

Pahantahtoisella toimijalla on käytössään useita toimintamalleja, joilla voidaan varastaa korttiyhtiöiltä rahaa. Helpoin tapa lienee korttinumeron, voimassaoloajan sekä kortinhaltijan nimen luvaton lukeminen ja tietojen käyttö luvattomiin verkkokauppaostoksiin. Kaikissa verkkokaupoissa luvatta saatavissa olevat tiedot eivät riitä ostosten tekemiseen mutta osassa kauppoja ostokset onnistuvat.

Vaikeampi ja riskialttiimpi tapa on tehdä bulvaanin avulla korttimaksusopimus ja tehdä luvattomia maksutapahtumia taskussa olevilta korteilta. Tällainen voisi onnistua jossain turistialueella, jossa maksutapahtuma voisi olla vaikkapa yksittäinen juoma virtuaalisessa ravintolassa.

Kumpaakin rikostekniikkaa vastaan paras puolustautuminen on se, että kortinhaltija seuraa jatkuvasti sekä maksutapahtumiaan että tiliotteitaan ja reklamoi luvattomat tapahtumat.

Siitä vaan vinguttamaan korttia!

Lähimaksamisen hyvät puolet voittavat selvästi haitat.

1) Huolellisella kortinkäyttäjällä turvallisuusriskit menevät korttiyhtiöiden kannettaviksi.

2) Ravintolassa riski PIN-koodin paljastumisesta pienenee merkittävästi.

3) Massatapahtumien kassajonot liikkuvat ripeämmin, kun kenenkään ei tarvitse sählätä PIN-koodinsa kanssa.

Ensimmäiset suomalaisasiakkaiden saamat kalastelu- eli phishing-viestit kolahtivat postilaatikoihin lokakuussa 2005. Viestit muuttuivat hyvin pian suomenkielisiksi – kieli oli kuitenkin pitkään tökeröä ja usein englantia ja suomea sekaisin. Aina muutama viesteihin lankesi ja tarjosi rikollisille pääsyn verkkopankkiinsa. Vuonna 2012 tilanne on täysin toinen.

• Huijausviestien laatu on parantunut ja mm. ääkkösettömät viestit ovat historiaa. Samalla rikolliset tavoittelevat entistä aggressiivisemmin auki olevaa verkkopankki-istuntoa, eivät siis enää saamaan käyttäjää syöttämään istuntoon tarvittavia tunnuksia huijaussivustolle.

• Osa pankeista on ottanut käyttöön ns. maksun lisävahvistuksen. Toiminnon käyttöönottanut asiakas saa pankista tekstiviestin, jossa annetuilla tiedoilla poikkeava tai esimerkiksi uudelle tilille ensi kertaa menevä maksutapahtuma voidaan vahvistaa. Tätä toiminnallisuutta vastaan on kuitenkin kehitetty Android-sovellus, joka pystyy väärentämään pankin lähettämän tekstiviestin.

Verkkorikollinen pyrkii haittaohjelmalla osaksi verkkopankki-istuntoa ja käyttäjän näkemä kohdetilinumero on haittaohjelman avulla väärennetty.

• Tilin saldoa ei enää pysty verkkopankissa näkemään pelkän käyttäjätunnuksen ja salasanan avulla. Toisaalta joillain pankeilla on palvelu, jolla saldotiedon voi tilata sähköpostiin.

• Pankkiasiointiin käytettävän tietokoneen tietoturvasta huolehtimista edellytetään asiakkaalta. Virustorjunta+palomuuri kuntoon -ohjelitanian tilalle ovat tulleet mm. kehotukset päivittää myös selain ja sen lisäosat. Suuntaus on oikea, verkkopankkiturva on paljon muutakin kuin virustorjuntaa.

• Suomessa jo pitkään levinneen Zeus-troijalaisen muunnoksen todettiin viime kesänä räätälöidyn suomalaispankkeja vastaan. Zeus kuuluu ns. man-in-the-browser-kategoriaan ja siitä näyttää tulleen pysyvä vieras suomalaisten tietokoneisiin.

Jouduinko pankkitroijalaisen kohteeksi?

• Pankit kehottavat mm. sulkemaan verkkopankki-istunnon odottamattomien sivujen ilmestyessä näytölle. Onnistuneissa hyökkäyksissä näytölle on tullut mm. ilmoitus huoltokatkosta ja kirjautuneen asiakkaan odottaessa katkon loppumista on vilpillinen tilisiirto tehty tuona aikana.

• Pankkien korvausvastuu ei ole enää selviö. Takavuosina lähinnä pelkkien phishing-huijausviestien aikana asiakkaan vahingot pääsääntöisesti korvattiin. Nyt asiakkaalta edellytetään tietokoneen päivittämistä auton säännöllisen huoltamisen tapaan ja korvauksia harkitaan tapauskohtaisesti.

• Pankit suhtautuvat tiukemmin verkkopankkitunnusten luovutuskieltoon. Tähän liittyy tiettyä problematiikkaa esim. tilanteissa, joissa iäkkäät vanhemmat ovat antaneet tunnuksensa lapsilleen. Tunnukset ja avainlukulista ovat kuitenkin henkilökohtaisia eikä niitä pidä antaa muille.

Odottamaton, outo ilmoitusikkuna onkin merkki mahdollisesta haittaohjelmatartunnasta. Mikäli epäilee joutuneensa hyökkäysyrityksen kohteeksi, ei istuntoa kannata jatkaa ja verkkopankista tulee kirjautua ulos.

Kannattaa lisäksi muistaa, että mikään virustorjuntaohjelma ei tarjoa sataprosenttista suojaa ja tunnistepohjaisissa virustorjuntaohjelmissa suojaus uusia haittaohjelmamuunnoksia vastaan tulee vähintään tuntien viiveellä.

Kuluvan kuun aikana olemme nähneet harvinaisen paljon OS X -käyttöjärjestelmässä toimivaa haittaohjelmaa koskevia uutisia. Jo useamman vuoden ajan on povattu, että hyökkäykset OS X:ää vastaan tulevat lisääntymään kunhan käyttöjärjestelmän markkinaosuus on ”riittävän kiinnostava”. Nyt ollaan varmastikin tässä tilanteessa. Niin sanotun Flashback-epidemian alkuvaiheessa yli 600 000 tietokoneen kerrottiin saastuneen ko. troijalaisella. Suomesta tartuntoja raportoitiin muutamia satoja.

Applen tietoturvapäivitystä Oraclen jo helmikuun puolivälissä korjaamaan Java-haavoittuvuuteen CVE-2012-0507 saatiin odotella ja niinpä kyseinen Flash-päivitykseksi naamioitu haittaohjelmamuunnos syntyi.

Myöhemmin ilmestyi myös SabPub-niminen troijalainen, jonka uskotaan liittyvän Luckycat-bottiverkkoon. Myös Maceille suunnattuja, Word-haavoittuvuuksia hyödyntäviä APT-hyökkäyksiä (pitkäkestoinen kohdistettu hyökkäys) on tässä kuussa nähty.

Onko työasemani Java haavoittuva?

Ensimmäistä kertaa koko OS X:n olemassaolon aikana usea toimija julkaisi muutaman päivän välein Flashback-poistotyökalun sekä isjavaexploitable.com:n ja flashbackcheck.com:n kaltaisia tarkistussivustoja, joilla voi tarkistaa onko oman työaseman Java päivitetty. Onpa troijalainen saanut myös englanninkielisen Wikipedia-artikkelinsa. Lopulta Java-päivitys Applelta tuli jakeluun poistaen samalla tietokoneessa mahdollisesti majailleen troijalaisen.

Yhtenä viimeisimmistä käänteistä asiassa on tieto, jonka mukaan keskimäärin Mac-tietokoneissa on runsaasti Windows-haittaohjelmia. Ei mikään mitätön asia, mikäli Macissä ollut muistitikku käy Windows-koneessa.

Miksi näin sitten pääsi käymään?

• Moni käyttäjä tuudittautuu siihen, että OS X:llä on turvallinen maine ja haittaohjelmia on käyttöjärjestelmälle olemassa vain kourallinen. Tämä johtaa siihen, ettei Javaa, Flashia, Quicktimea tai esimerkiksi selaimen lisäosia tule päivitettyä, sovellusohjelmista puhumattakaan.

• OS X:n tapa kysyä käyttäjän salasanaa on varoittava merkki käyttäjälle jostain poikkeuksellisesta. Käyttäjä on tottunut syöttämään salasanansa esimerkiksi ohjelmia asennettaessa. Flashback-tapauksessa salasanaa ei kuitenkaan kysytä, vaan haittaohjelma aktivoituu taustalla ilman käyttäjän toimenpiteitä.

• Oletuksena OS X muistuttaa saatavilla olevista päivityksistä vain kerran viikossa. Ellei käyttäjä ole muuttanut Ohjelmiston päivitys (Software Update) -asetuksia ei muistutusta esimerkiksi Flashbackiin liittyvästä Java-päivityksestä tullut käyttäjälle ajoissa. Osa käyttäjistä sai varmuudella tartunnan aikana, jolloin päivitys olisi jo ollut saatavilla.

• Myös mm. Microsoft Officen päivittämisestä huolehtiva Microsoft AutoUpdate -toiminto ilmoittaa päivityksistä viikon välein. Senkin asetuksia kannattaa tihentää:

• Windowsin tavoin tietoturvapäivitysten jakelu vanhempiin versioihin loppuu aikanaan. Leopard-versioon eli 10.5:een ei Java-päivitystä enää julkaistu. Vaihtoehtoina on tässä tilanteessa joko päivittää uudempaan OS X -versioon tai kytkeä Javan suoritus pois päältä.

• Ylläpitäjiä varten Apple on julkaissut kattavat konfigurointiohjeet käyttöjärjestelmän koventamisesta Snow Leopardiin asti. Pirteänä alkuna voi tutustua puolestaan NSA:n julkaisemaan kahden arkin vinkkilistaan, linkki pdf:ään tässä.

Johtopäätöksenä voi sanoa, että Flashback ei ole Macin tietoturvattomuuden alku, mutta herättäjänä ja prosessien tarkistajana se kannattaa ottaa. Microsoft Office, Flash, mediasoitin ja monet, monet muut ohjelmistot eivät päivity itsestään. Maccejä on yrityksissä jo niin paljon, että rikolliset alkavat pitää Mac-työasemia potentiaalisina hyökkäyskohteina.

Kirjoittaja on ollut sataprosenttinen Mac-käyttäjä yli viiden vuoden ajan, mutta käyttää kuitenkin virustorjuntaohjelmistoa ja mm. tietoturvaa parantavia selaimen lisäosia sekä pitää Maccinsä päivitettyinä.

Vuosien varrella asiantuntijamme ovat löytäneet useita aikaisemmin tuntemattomia haavoittuvuuksia asiakkaan käyttämistä sovelluksista ja järjestelmistä. Asiakkaan, järjestelmän auditoineen asiantuntijan ja koko toimintakentän etu on, että haavoittuvuus voidaan korjata ja korjaava tietoturvapäivitys tuoda jakeluun. Tänä keväänä ko. politiikka on laadittu kirjalliseen muotoon. Politiikan voi lukea sivuiltamme sekä suomeksi että englanniksi.

Yksi käytäntöjemme mukaan julkaistu haavoittuvuus on viime vuodelle sijoittuva Nokia E75 -matkapuhelinta koskeva suojakoodin ohittamisen mahdollistava haavoittuvuus. Tapauksessa valmistajan kanssa tehty sopimus mahdollisti haavoittuvuudesta tiedottamisen julkisesti ja teimme yhteistyötä myös CERT-FI-yksikön (CERT Finland) haavoittuvuuskoordinoinnin kanssa.

Osana prosessia pyrimme jatkossa hakemaan haavoittuvuudelle aina myös oman CVE-tunnisteen.

Suomi osallistui hiljattain merkittävään kyberturvallisuusharjoitukseen (kybersotaharjoitukseen) – NATO:n CCDCOE-osaamiskeskuksen (Cooperative Cyber Defence Centre of Excellence) Cyber Defence Exercise CDX-12:een, joka puolestaan tuki MNE7-harjoitusta.

Tässä yhteydessä ei voi olla palaamatta Ylen maaliskuiseen nettiartikkeliin Tässä on Suomen pahin uhkakuva: Viiden minuutin sota. Uhkaskenaariossa Suomi voitaisiin lamauttaa pysäyttämällä minuutin portain maksuliikenne, suurin osa julkisesta liikenteestä, elintarviketoimitusten käyttämät logistiikkajärjestelmät, tärkeimmät tietoliikenneyhteydet ja lopulta sähkönsiirron kantaverkko, jolla aiheutettaisiin valtakunnallinen sähkökatko.

Kirjoittajalla oli tilaisuus tutustua harjoitukseen Viestintävirastoon perustetussa tilannehuoneeseessa osana sidosryhmäyhdistysten vierailua. Ilahduttavaa oli kuulla, että harjoitusympäristöön kuului myös pienimuotoinen SCADA-laitteisto.

Tilannehuoneen kalusto muodostui kuitenkin hyvin tavanomaisesta kuluttajaelektroniikasta. Se, kuinka perusteellisesti pidempiin sähkökatkoihin, infran lamautumiseen tai vaikkapa sabotaasi-iskuihin oli varauduttu, jäi osittain epäselväksi.

Suomi on monen muun valtion tavoin hyvin riippuvainen häiriöttömästä tietoliikenteestä ja sähkönjakelusta. Vuodenvaihteen sähkökatkot ovat omaa luokkaansa, mutta jo paikallinen sähkökatko tai tietoliikennehäiriö esimerkiksi supermarketin ympäristössä pääsiäispyhien alla sekoittaisi tuhansien ja tuhansien kansalaisten arjen. Hyvin suurella todennäköisyydellä koko liike suljettaisiin ja täydet ostoskärryt pakasteineen jäisivät sulamaan pimeään markethalliin.

Tällaisia uhkia on hyvä pysähtyvä miettimään ihan oman perheenkin näkökulmasta. Oletko muuten huomannut, että rekisteriotteen kääntöpuolelle on painettu valmis ruudukko mahdollista polttoaineen säännöstelyä varten. Ja oletko kuullut kotivarasta, jonka jauhovarastoa voi muuten hyödyntää kätevästi yllätysvieraiden saapuessa ja taskulamppua käyttää sähkökatkon osuessa kohdalle.

Kyberuhka on yhteiskunnassamme siis paljon muutakin kuin vain sotilaallinen uhka.

Turvallista pääsiäisviikonloppua!