Moni suomalaisorganisaatio on joutunut lomakauden aikana verkkomadon tartunnan kohteeksi.

Organisaatioihin hyökännyt mato hyödyntää jo lokakuun lopulla paikattua vakavaa työasemiin ja palvelimiin kohdistuvaa Windowsin Server-palvelun haavoittuvuutta MS08-067. Haavoittuvuus paikattiin kuukausittaisen aikataulun ulkopuolella, mikä on hyvin harvinaista. Itse haavoittuvuuden olemassaolosta saatiin tietoja, kun sitä oli käytetty viikkojen ajan Gimmiv-troijalaisen avulla ns. kohdistetuissa hyökkäyksissä.

Virustorjuntatoimijat ovat antaneet verkkomadolle Downadup- ja Conficker-tyyppisiä nimiä. Madosta on julkaistu kuitenkin useita eri variantteja eikä virustorjuntasuoja ole tällä hetkellä kattava.

Haittaohjelma voi aiheuttaa lisää vahinkoa, mikäli verkkolevyjakojen ylläpitäjän salasana on määritelty heikoksi ja mato pystyy luomaan yhteyden verkkolevyihin. Verkkolevyille kytkeytyessään mato kokeilee helppoja salasanoja kuten 12345, abc123, monitor, testtest jne. Lisäksi se mm. estää yhteydet useiden virustorjunta-, palomuuri- ja spyware-valmistajien palvelimille.

Yli kaksi kuukautta päivittämättömänä olleet työasemat ja palvelimet muodostavat merkittävän riskin organisaation tietoturvalle. Matoepidemian kohdatessa organisaatiota ylläpitoa työllistävät myös saastuneiden työasemien analysointi ja puhdistaminen sekä mm. madon salasana-arvailun myötä lukittuneiden käyttäjätilien avaaminen.

Mikään virustorjuntaratkaisu ei tuo sataprosenttista suojaa. Ylläpitäjien kannattaa lisäksi estää pääsy organisaatiosta madon käyttämiin osoitteisiin.

Yhdysvaltain 44. presidenttikauden aloittaneella Barack Obamalla on vastuullaan merkittävä osa-alue – kybertietoturva eli cyber security.

Maan kyberturvallisuuden nykytilaa arvioitiin kuukausi sitten julkaistussa laajassa raportissa. Uutistoimisto Reutersin mukaan ongelmia havaittiin niin johtamisessa, suunnittelussa kuin viestinnässäkin. Kotimaan turvallisuuden kyberturvallisuuden alakomiteaa vetävää James Langeviniä lainaten turvallisuuden tasossa ollaan vielä kaukana tavoitetilasta. Raportin sanoma on, että Yhdysvallat on esimerkiksi pankkimaailmaa ja sähkönjakelua vastaan suunnattuja hyökkäyksiä vastaan vielä haavoittuva.

Koskaan ei teknologia ja sen jokapäiväistyminen ole muuttunut ja kehittynyt nopeammin kuin päättyneellä presidenttikaudella. Yhtenä esimerkkinä siitä on keskustelu valtionpäämiehen älypuhelimesta. Puhelimen täydellistä käyttökieltoa perusteltiin viestinnän vuotamisriskin lisäksi myös puhelimen jäljitysmahdollisuudella.

Tietoturvaguru Bruce Schneier tiivistää tapauksen hyvin: mikäli presidentin mukanaan kuljettama puhelin olisi tietoturvaltaan täydellinen, olisi se samalla ensimmäinen kerta ihmiskunnan historiassa. Obama sai juuri ennen virkaan astumistaan luvan käyttää älypuhelinta henkilökohtaiseen viestintään, mutta virkakäytössä käyttöön tulee turvaviranomaisille sertifioitu, turvaratkaisuiltaan kehittyneempi älypuhelin.

Presidentti-instituution kyberturva terrorismin torjunnan kannalta on synnyttänyt jopa tässä kuussa järjestetyn CATO-instituutin erityiskonferenssin Shaping the Obama Administration’s Counterterrorism Strategy.

Kyberuhkiin varautuminen ei kuitenkaan ole vain suurvaltioiden asia. Meitä lähempänä Viro julkaisi loppusyksystä oman cyber security –strategiadokumenttinsa (pdf). Suomen valtion tuore turvallisuus- ja puolustuspoliittinen selonteko on vastaavasti luettavissa tässä osoitteessa (pdf).

Yli neljän miljoonan käyttäjän tiedot ovat joutuneet rikollisten käsiin tunnettua rekrytointipalvelua koskevassa tietomurrossa.

Brittiläisen Daily Mailin mukaan tapauksessa saatiin käyttäjiltä koko nimi, käyttäjä-ID ja salasana, puhelinnumero, sähköpostiosoite, syntymäaika, sukupuoli sekä mm. maantieteelliseen sijaintiin liittyviä perustietoja. Monster-sivuston suomenkielinen varoitus sijaitsee täällä ja Yhdysvaltain valtionhallinnon alaisen USAJOBS-sivuston englanninkielinen varoitus vastaavasti täällä.

Käytännössä murrossa paljastuneiden sähköpostiosoitteiden käyttämisen paljastaa mm. se, että mahdollisissa roskapostikampanjoissa sähköpostin vastaanottaja voidaan personoida tarkemmin käyttämällä vastaanottajakentässä myös henkilön koko nimeä. Useat sähköpostiohjelmat jättävät suodattamatta lähettäjäosoitteet, joissa on mukana vastaanottajan koko nimi. Roskapostittajat ja verkkorikolliset hyödyntävät sitä tosiasiaa, että on paljon vakuuttavampaa saada sähköpostia osoitteella Matti Meikäläinen matti.meikalainen@osoite.fi. Muista kuin etunimi.sukunimi-muotoisista sähköpostiosoitteista roskapostittajan tai hänen käyttämänsä ohjelmiston on hyvin vaikea päätellä vastaanottajan oikeaa nimeä.

Rikollisten käsiin joutuneet tiedot voivat olla myös vielä puuttuva palanen suunniteltaessa ns. kohdistettuja hyökkäyksiä. Tietomurrossa haltuun saadut tiedot ovat käyttökelpoisia sekä yksittäisinä tietoina että luotaessa profiilia tietovarkauden uhreista.

Mm. monessa puhelinpalvelussa käyttäjän todentamiseksi käytetään syntymäajan tiedustelua. Myös postiosoitteen kysyminen on yleinen keino.

Käyttäjän salasanan joutuminen vääriin käsiin muodostaa myös oman erillisen riskinsä, sillä moni käyttäjä käyttää samaa salasanaa kaikissa verkkopalveluissa, esimerkiksi henkilökohtaisessa sähköpostissaan.

Vääriin käsiin joutuneiden salasana- ja henkilötietojen käyttötarkoitukset voivat kuitenkin olla hyvin moninaisia, koska tyypillisesti tällaiset tiedot markkinoidaan rikollispiireissä eteenpäin.

PA-DSS, Payment Application Data Security Standard, on standardi, joka määrittelee vaatimukset maksusovellusten turvallisuudelle. Standardin tarkoituksena on varmistaa, että maksusovellusten turvataso on riittävä PCI DSS -standardin vaatimusten täyttämiseksi. Standardia hallinnoi PCI Security Standards Council.

PA-DSS-auditointi tehdään maksusovellukselle. Auditoinnin tilaajana on maksusovelluksen valmistaja.

Mitä hyötyä maksusovelluksen valmistaja saa PA-DSS-auditoinnista?

Nykytilanteessa varmistettu PA-DSS-yhdenmukaisuus tuo pelkästään kilpailuetua, koska maksusovelluksen käyttäjä selviää vähemmällä omassa PCI DSS -auditoinnissaan. Yhdysvalloissa Visa edellyttää jo nyt uusien sovellusten olevan PA-DSS:n mukaisia ja vaatii, että 1.7.2010 kaikki maksusovellukset ovat PA-DSS:n mukaisia. On hyvin todennäköistä, että samantyyppiset vaatimukset astuvat voimaan lähitulevaisuudessa myös Euroopassa.

PA-DSS sisältää 14 pääkohtaa. Näistä kaksi, sovelluskehitysmetodologia (vaatimus 5: Develop secure payment applications) ja ohjeistus (vaatimus 14: Maintain instructional documentation and training programs for customers, resellers, and integrators), ovat sellaisia, joiden korjaaminen voi kestää pahimmillaan jopa vuodenkin. Sovellusvalmistajilla olisi syytä lähiaikoina tarkastella omien sovellustensa tilannetta ainakin näiltä osilta, jottei Visa pääse yllättämään aikatauluillaan.

Viisivaiheinen prosessi

PA-DSS-auditointi on tyypillisesti viisivaiheinen, joista kolme vaihetta on auditointia ja kaksi korjaavia toimenpiteitä. Nämä vaiheet ovat

* gap-analyysi
* ensimmäinen korjauskierros
* dokumenttiauditointi
* toinen korjauskierros
* dokumenttiauditointi sekä laboratorioauditointi

Gap-analyysi tehdään kahdessa tai kolmessa työpajassa, joissa auditoija käy läpi standardia kohta kohdalta ja kerää vastaukset maksusovelluksesta vastaavilta henkilöiltä. Gap-analyysin tuloksena syntyy raportti, jonka avulla voidaan arvioida kehitystyön kohteet ja määrä yhdenmukaisuuden saavuttamiseksi.

Ensimmäisen korjauskierroksen aikana sovellusvalmistaja korjaa gap-analyysissä löydetyt puutteet.

Dokumenttiauditoinnissa auditoija käy läpi sovellusdokumentaation sekä pitää muutaman työpajan, joissa selvitetään sovelluksen todellinen taso suhteessa vaatimuksiin.

Sovellusvalmistaja korjaa dokumenttiauditoinnissa löydetyt puutteet toisella korjauskierroksella.

Auditoinnin viimeisessä vaiheessa auditoija tarkastaa dokumenttikorjaukset sekä testaa maksusovelluksen laboratoriossa. Laboratoriotestaus kattaa järjestelmän sen toiminnallisuuden, jossa käsitellään maksukorttitietoja. Laboratoriotestaus on erittäin perusteellinen ja sisältää mm. jäännösdatan forensiikka-analyysin sen paljastamiseksi jääkö sovellukselta autorisointivaiheessa selväkielistä luottokorttidataa levylle.

Mikäli maksusovellus läpäisee kaikki tarkastukset, se pääsee Visan listalle, jolla on listattuna kaikki PA-DSS-yhdenmukaiset ohjelmistot.