Monet asiakkaamme, joille suoritamme PCI-skannauksia ASV:n (Approved Scanning Vendor) ominaisuudessa, ovat kesän jälkeen huomanneet kiristyneet vaatimukset löytyneiden haavoittuvuuksien luokittelussa.

Kesän aikana astui voimaan muutamia uusia vaatimuksia. Suuri muutos oli, että kaikki haavoittuvuudet, joiden CVSS-arvo (Common Vulnerability Scoring System) on suurempi kuin 4.0, vaativat korjauksen hyväksytyn tuloksen saamiseksi. Aikaisemmin arvioinnin pohjana käytettiin vapaampaa tulkintaa. Toisaalta, uusissa vaatimuksissa palvelunestohaavoittuvuuksien korjaamista ei enää vaadita. Tässä perusteena on se, että pelkällä palvelunestohyökkäyksellä PCI:n alainen luottokorttitieto ei vaarannu, vaan vaikutukset kohdistuvat lähinnä yksittäisten toimijoiden palvelunlaatuun.

Tyypillisiä suurinta osaa organisaatioista koskevia korjattavaksi muuttuneita puutteita ovat esimerkiksi heikot SSL-salausmenetelmät. Näiden käyttö nykyselaimilla on erittäin epätodennäköistä. On silti mahdollista, että käyttäjä muodostaa heikosti salatun yhteyden, mikä vaarantaa liikenteen luottamuksellisuuden.

PCI Council vaatii hyväksyttyjä ASV-toimijoita testaamaan vuosittain oman skannausratkaisunsa heidän osoittamaansa testijärjestelmää vastaan. Testiympäristö muuttuu vuosittain, ja sisältää kattavan otoksen erilaisia haavoittuvia ohjelmistoversioita ja käyttöjärjestelmiä. Tällä menettelyllä varmistetaan, että kaikki ASV-toimijoiden ratkaisut vastaavat yhteismitallisesti PCI:n vaatimuksia sekä havaintojen määrän että raportin ulkoasun suhteen.

Nixun SecBase PCI -skannausratkaisu on jälleen tänä syksynä testattu onnistuneesti jo kolmannen kerran, ja hyväksytty taas vuodeksi eteenpäin.

Saksalaisyliopiston tutkijat Erik Tews ja Martin Beck kertoivat viime viikolla lehdistölle onnistuneensa murtamaan osittain WPA-standardin salauksen (Wi-Fi Protected Access). Raportin mukaan murtaminen vaatii aikaa keskimäärin 12 minuuttia.

Teknisesti havaittu ongelma liittyy TKIP-protokollaan (Temporal Key Integrity Protocol), joka on salaustasoltaan heikon WEP:n korvaava tietoturvaprotokolla. Tekniikkaa hyödyntäen on omien tietoliikennepakettien lähettäminen kohdetietokoneeseen myös mahdollista. Tällä menetelmällä ei ole onnistuttu saamaan haltuun salaukseen käytettyä avainta.

Tutkijoiden kehittämä menetelmä ei toimi kehittyneempään WPA2-salaukseen ja sen käyttämään CCMP-protokollaan. Siinä käytetty AES-salausalgoritmi on WPA:n käyttämää RC4:ää vahvempi.

Tutkijakaksikkoa edustava Tews kertoi löydöksistä tarkemmin eilisessä PacSec 2008 –tietoturvakonferenssin luennossaan Tokiossa.

WLAN-salauksista heikoimman eli WEP:n puutteita on käytetty luottokorttitietojen hankkimisessa ns. TJX-tapauksessa. Keväällä tuli ilmi, että yli 90 miljoonaa luottokorttinumeroa sekä ajokorttitietoja ja henkilötunnuksia varastettiin kuuntelemalla yhdysvaltalaisen vaateliikeketjun kahden myymälän WEP:llä salattua WLAN-liikennettä. WEP-salaus (Wired Equivalent Privacy) purkautuu parissa minuutissa keskivertotason kannettavalla tietokoneella.

PCI Security Standards -toimielimen lokakuussa julkaisema päivitetty PCI DSS -standardi edellyttää vahvaa salausratkaisua sekä tunnistamisessa että liikennöinnissä. Standardin edellinen versio 1.1 on voimassa kuluvan vuoden loppuun saakka. Uusissa ratkaisuissa WEP-salausta ei saa käyttää 1.4.2009 alkaen.

Suomalaisasiakkaisiin kohdistuneen kalasteluhuijauksen käyttämä sivusto on eilen saatu poistettua verkosta. Verkkopankkitunnusten hankkimiseksi toteutetut huijauskampanjat ovat viime aikoina harventuneet ja edellinen laajamittainen suomalaissähköposteihin kohdistettu huijaus toteutettiin tämän vuoden toukokuussa.

Viimeisimmässä huijauksessa iso-britannialaisen operaattorin verkossa toimiva huijaussivusto oli valjastettu kysymään käyttäjältä luottokorttinumeron lisäksi myös muita kortin tietoja. Huijaussivu kysyi kortin viimeistä voimassaolokuukautta, kortin takapuolelle painettua CVV-tunnusta sekä automaatti- ja maksupäätekäytössä tarvittavaa tunnuslukua.

Myös Anti-Phishing Working Group -ryhmittymän tuoreimman tammi-syyskuuta koskevan raportin mukaan perinteisten kalastelusivustojen määrä on ensimmäistä kertaa APWG:n olemassaolon aikana vähentynyt.

Suuntaus Suomeen kohdistuvassa verkkourkinnassa on nyt uusi. Viime vuonna nähtiin suomalaisasiakkaille suunnattuja hyökkäyksiä, joissa kysyttiin myös käyttäjän nimeä, puhelinnumeroa ja kymmentä vahvistus- eli kertakäyttötunnusta. Huijauksen uhrilta nyt kysytyillä kortin lisätiedoilla verkkorikolliset pystyvät laatimaan kortista identtisen kopion. Rikos tehdään siis siten, että kortinhaltijan kortti on koko ajan omistajan lompakossa.

Tiedustelluista lisätiedoista Card Verification Value eli CVV-tunnus on tieto, jota korttitapahtumien käsittelijä ei saa tallentaa tietokantoihinsa. CVV-tunnuksia pyritään hankkimaan kortinkäyttäjiltä myös verkossa myyntiä varten.

Huijauksilta suojautumisessa merkittävä rooli on myös selainohjelmistoilla. Esimerkiksi Mozilla Firefox -selaimessa selaimen sisäänrakenettu phishing-suojaus sisältyy ainoastaan uusimpaan 3.x-tasoon. Apple Safari –selaimeen varoitussivun antava ominaisuus tuli viime viikolla jakeluun tulleessa versiossa 3.2.