TigerTeam - suomalainen tietoturvablogi

Julkaisimme viime tiistaina Nixu Challenge -haasteen, jonka ratkaisijat saavat automaattisesti kutsun haastatteluun hakiessamme kokenutta penetraatiotestaajaa palvelukseemme.

Haaste ja työpaikkailmoitus julkaistiin viime viikon tiistaina rekrytointisivuillamme ja Twitter-sivullamme. Linkki haasteeseen levisi nopeasti mm. irkkikanavilla ja sosiaalisessa mediassa.

Perjantaina haasteen kysymä salasana julkaistiin moderoimattomalla tietoturvapostituslistalla. Salasana oli oikea, joten vaihdoimme tehtävässä kysytyn salasanan toiseen saman päivän aikana.

Aikaa haasteen ratkaisemiseen ja tehtävään hakemiseen on vielä 26.3. saakka. Tervetuloa kokeilemaan mm. reverse engineering -taitojasi osoitteessa challenge.nixu.com/.

Mediassa on viime päivinä keskusteltu Suomen oloissa poikkeuksellisen laajasta maksukorttitietojen varkaudesta. Itähelsinkiläisestä kahvilasta on viety yli 100 000 korttitietoa. Mediassa olleiden tietojen mukaan tietomurto tehtiin etähallintaohjelman sekä vakoiluohjelman avulla. Lisäksi mainitaan, että syy olisi kassajärjestelmän asentaneen yhtiön päälle jättämä “oletusasetus”. Tietomurto paljastui Luottokunnan valvonnan ansiosta.

Oli vain ajan kysymys, milloin ensimmäinen suuri korttitietomurto tapahtuu Suomessa. Payment Card Industry Data Security Standard (PCI DSS) - implementointi on vielä hyvin monella kauppiaalla kesken, ja pienimmät kauppiaat eivät edes tiedä, että heidän tulisi noudattaa kyseistä tietoturvastandardia. PCI DSS:n noudattaminen olisi todennäköisesti estänyt tämänkin tietomurron:

PCI DSS edellyttää, että oletusasetuksia ei käytetä, etäyhteydet vaativat vahvan autentikoinnin ja virustorjuntaohjelmisto sekä tiedostojen eheysvalvontajärjestelmä hälyttävät haittaohjelmista. Lisäksi järjestelmien toimintaa tulee seurata päivittäin. Näin korttitietojen lähettäminen Yhdysvaltoihin ja Romaniaan paljastuisi omalla valvonnalla, eikä asia tulisi kauppiaalle “ihan puskista”.

On tietysti ymmärrettävää, että yksittäisellä kauppiaalla ei aina löydy riittävää tietotaitoa järjestelmien turvalliseen pystyttämiseen ja ylläpitoon. Tällöin kauppiaan tuleekin vaatia palveluntarjoajaltaan, että toiminta noudattaa vähintäänkin PCI-standardia. Lisäksi maksujärjestelmän tulisi olla Payment Application Data Security Standard -luokituksen mukainen eli PA-DSS-validoitu. Mahdollisissa tietomurtotapauksissa kauppiaan tulisi voida asettaa palveluntarjoaja vastuuseen, mikäli PCI-standardia ei ole noudatettu. Mikäli kauppias ei näin toimi, jää vastuu kauppiaalle ja seuraukset voivat olla hyvinkin ikäviä.

Niki Klaus vastaa Nixun PCI-liiketoiminnan kehittämisestä ja on tehnyt useita PCI-auditointeja Suomessa ja ulkomailla.

Tietoturvaorganisaatio SANS on julkaissut uuden version 25 vaarallisinta ohjelmointivirhettä käsittävästä dokumentistaan. Lista julkaistiin nyt toista kertaa.

Dokumentti on huomattavasti viimevuotista yksityiskohtaisempi ja sen julkaisua edelsi myös lähes 30 organisaatioon tehty taustakysely.

Viralliselta nimeltään CWE/SANS Top 25 Most Dangerous Programming Errors 2010 -niminen lista on osoitteessa cwe.mitre.org/top25/index.html.

CWE - olen kuullut CVE:stä, onko niillä jotain yhteistä?

Ennen tehtyihin muutoksiin perehtymistä kertaamme mitä lyhenne CWE tarkoittaa. CWE-luokitusjärjestelmän lyhenne tulee sanoista Common Weakness Enumeration ja sillä tarkoitetaan eräänlaista standardia, jolla tietoturvaheikkoudet luokitellaan ohjelmointivirheen mukaan. Mm. haavoittuvuustietokantoja ylläpitävät toimijat voivat luokitella uudet, listaamansa haavoittuvuudet tiettyyn CWE-luokkaan. Näin tietystä ohjelmointivirheestä tai esimerkiksi arkkitehtuuriongelmasta johtuvia haavoittuvuuksia on helpompi käsitellä omina kokonaisuuksinaan. Luokitus kertoo myös tarkemmin mistä haavoittuvuus teknisesti johtuu.

Otetaanpa esimerkiksi tämän kuun Microsoft-päivityksissä korjattu SMB Client -haavoittuvuus. Kun haavoittuvuus sai CVE-yksilöintitunnuksen CVE-2010-0017 annettiin sille pienellä viiveellä myös CWE-luokka. Luokan voi tarkistaa National Vulnerability Database -tietokannasta, joka sisältää kaikki CVE-tunnukset. Tietokannassa CWE-luokka on merkitty Technical Details -osiossa kohtaan Vulnerability Type.

Esimerkkitapauksessa CWE-luokka on Top 25 -listalta löytyvä CWE-362.

Kovakoodaus juoruaa salasanan suoraan koodista

Viime vuoden listalla ollut CWE-119 (Failure to Constrain Operations within the Bounds of a Memory Buffer) on korvattu CWE-luokilla 120, 129, 131 ja 805, jotka liittyvät puskuriylivuotoon ja puskurin koon virheelliseen määrittelyyn. Tästä virheestä johtuvat haavoittuvuudet ovatkin hyvin yleisiä mm. mediasoittimissa. Haavoittuvuudet ovat miltei aina kriittisiä ja niitä löytyy usein.

Luokka Ohjelmistoihin pysyvästi koodatut eli kovakoodatut salasanat (CWE-259 - Hard-Coded Password) puolestaan on korvattu yleispätevämmällä luokalla. Uuden listan luokka Kovakoodattujen kirjautumistunnisteiden käyttö (alkuperäinen nimi Use of Hard-coded Credentials) tuntee tunnuksen CWE-798.

Kovakoodaus tarkoittaa mm. käyttäjätunnusten ja salasanojen sisällyttämistä suoraan ohjelmiston lähdekoodiin. Mikäli ohjelmistossa on luokan CWE-798 ohjelmointivirhe, ei ohjelmistoon ainoastaan pystyy kirjautumaan oletussalasanalla, vaan ohjelmisto käyttää myös omiin tietovirtoihinsa koodiin kirjoitettuja salasanoja. Tällainen ohjelmointivirhe voi löytyä esimerkiksi valvontakameroiden hallintaliittymää pyörittävästä ohjelmistosta. Salasana ei ole helposti vaihdettavissa ja tämä lisää riskiä ulkopuolisen hyökkääjän kirjautumiseen oletussalasanalla.

Jättiloikkia suojautumiseen

Täysin uutta listalla on myös Monster Mitigations -osio - linkki tuohon osioon. Sen tarkoituksena on yleisellä tasolla estää heikkouksien päätymistä ohjelmakoodiin - eikä tämä koske ainoastaan Top 25 -listan heikkouksia. Esimerkkinä mainittakoon kohta M4, jonka tarkoituksena on ohjata tuottamaan koodia, jota kuka tahansa pystyy lukemaan. Melkoinen haaste!

Jäikö tästä lyhennemaailmasta vielä hieman epäselvä kuva? Pureuduimme näihin CV-alkuisiin lyhenteisiin blogissa myös viime keväänä.

Juha-Matti Laurio toimii Nixussa tietoturvakonsulttina ja Tiger Team -blogiin kirjoittaessaan pyrkii avaamaan kimurantteja tietoturvatermejä ja -lyhenteitä suomen kielelle fingelskaa välttäen.

Tietoturvallisuus ja etenkin tietoturvattomuus on monia tunteita herättävä aihe. Nixun konsultit osallistuvat usein asiakkaiden kehityshankkeisiin, joissa arvioidaan uusien ratkaisujen tai tuotteiden tietoturvallisuutta tai sitten olemme toisella puolella pöytää kehittämässä uuden liiketoiminnan turvallisuutta.

Tietoturvallisuus tuntuu olevan hyvää markkinointia

Hieman huvittuneina olemme seuranneet myös etenkin perinteisten IT-ratkaisutoimittajien tapaa vakuuttaa asiakkaansa ratkaisunsa tietoturvallisuudesta. Monet web-palvelujen käyttäjät ovat voineet huomata kuinka heidän käyttämänsä web-palvelu on ehdottoman turvallinen koska yhteys on SSL-suojattu.

Kaikki sovellusturvallisuutta tuntevat ymmärtänevät, että tällä lausumalla on vain vähän tekemistä sen kanssa, kuinka turvallista tietojen luovuttaminen sovellukseen on.

Maailmalta on mahdollista löytää myös kaikenlaisia tietoturvatodistuksia, joiden tehtävä on vakuuttaa asiakas siitä, että palvelu on turvallinen. Huvittavin löytämämme on PCI DSS -tietoturvastandardiin kuuluvan haavoittuvuusskannauksen “korvaava” Scanless PCI -palvelu, jossa siis ei näkemyksemme mukaan ole kyse mistään muusta kuin huijauksesta.

Nixun periaatteena on tyypillisesti ollut, ettemme lähde takaamaan minkään ratkaisun tietoturvallisuutta, koska täydellinen takaaminen ei vain ole mahdollista. Jos välineitä ja aikaa on riittävästi murtautuminen yleensä onnistuu. Tällöin kyse on asiakkaan liiketoimintaan liittyvästä riskienhallinnasta, eli siitä, kuinka paljon turvallisuuteen halutaan panostaa.

Nixun tapa antaa tunnustusta tietoturvallisuudesta

Katsottuamme kuitenkin aikamme alalla vallitsevaa epäselvyyttä lanseerasimme pari vuotta sitten Nixu Security Verified -sertifikaatin SaaS-palveluille, jonka avulla pyrimme varmistamaan, että asiakas joka sertifikaattia esittää on panostanut riittävästi turvallisuuteen - eli käytännössä kaikki sovelluksen kriittisiksi luokitellut haavoittuvuudet on korjattu ja sovelluksen ylläpito ymmärtää mitä jatkuva tietoturvallisuuden ylläpito tarkoittaa.

Sertifikaatin myönnämme vain niille asiakkaillemme, jotka ylläesitetyt ehdot täyttävät, esimerkiksi asiakkaamme Balancion on esittänyt tavoitteekseen sertifikaatin hankkimisen ennen tuotantoonmenoa; betassahan tällaista sertifikaattia ei ole.

Toki teemme työtä monien muidenkin kuin sertifioitujen asiakkaiden tai sovellusten kanssa, mutta noudatetaanko suosituksiamme vai ei, on toki aina loppukädessä asiakkaan oma valinta.

Loppukädessä Nixu, eikä mikään muukaan tietoturvayhtiö, voi koskaan taata minkään sovelluksen tai järjestelmän tietoturvallisuutta. Meistä, kuten varmasti muistakin aiheeseen vakavasti suhtautuvista, on kuitenkin tärkeää, että asiakkaat panostavat asiaan ja tekevät sen kunnolla, sen sijaan että hankkisivat feikki-todistuksia markkinointinsa tueksi.

Petri Kairinen vastaa Nixun myynnistä ja markkinoinnista ja on ihmeissään seuratessaan netin tarjoamia esimerkkejä tietoturvalla tapahtuvasta myynninedistämisestä

Vuosi 2009 oli Nixulle hyvä ja lama näytti kiertävän meidät kaukaa. Vai onko kyseessä niin voimakas strateginen trendi, että lama ei siihen oikein päässyt puremaan? Liikevaihtomme kasvoi taas yli 30 prosenttia ja olemme omien arvioidemme mukaan nyt Pohjoismaiden suurin tietoturvaan keskittynyt asiantuntijapalveluita tarjoava organisaatio. Ja uskomme edelleen kasvumahdollisuuksiimme: toivottavasti voimme juhlistaa sadannetta työntekijäämme heti kesän jälkeen.

Volyymin kasvu on pitänyt meidät kaikki varsin kiireisinä. Mutta kiire on ollut positiivista ja tekemisen meininkiä on ollut fantastista seurata. Tietoturvatiimimme on neljässä vuodessa kasvanut koko yrityksemme kattavaksi operaatioksi painaen ulos yli 350 tarjousta, toimittaen yli 200 projektia noin sadalle asiakasorganisaatiolle tietoturvallisuuden kaikilla osa-alueilla.

Joukkoon mahtuu monia uudentyyppisiä ja mielenkiintoisia projekteja. Tuntemattomien ja uusien alueiden tutkiminen onkin yhä suurempi osa tekemistämme ja kasvanut koko antaa tähän yhä paremmat ja paremmat mahdollisuudet.

Suuri kiitos menestymisestä kuuluu asiakkaillemme. Heille, jotka ovat meihin luottaneet ja luovuttaneet käsiimme hyvinkin bisneskriittisiä järjestelmiä ja dataa. Kiitän tästä nöyrällä mielellä.

Toinen kiitos menee omalle väelle, joka on hoitanut työnsä kunnialla ja omistautunut tehtävälleen: suojella asiakkaitamme tietoturvariskeiltä. Nopea kasvu on vaatinut venymistä ja paineensietoa. Mutta olemme onnistuneet pitämään työkuormat jotenkin järjellisinä kehittämällä omia prosessejamme, asioiden ennakointia sekä resurssimanageerausta.

Haluaisitko sinä olla uusi Nixulainen?

Uskomme kasvun jatkuvan edelleen, mutta eihän se tyhjästä synny ja on mahdollista vain kasvattamalla uusien Nixulaisten määrää. Suunnitelmamme on tarjota mielenkiintoinen uramahdollisuus 20 uudelle Nixulaiselle. Pyrimme yhä holistisemmin täyttämään asiakkaidemme liiketoimintariskien paikkaamisen, joten moni palkkaamistamme henkilöistä tulee toivottavasti omaamaan yleistä liiketoiminta- ja tietohallinto-osaamista.

Vaikka kasvamme, niin yritämme minimoida traditionaaliset kasvun tuomat haittapuolet: jäykkyys, hitaus ja organisaation syvyyden kasvu. Keksimmekin uuden oman organisaatiomallin jossa perustamme suhteellisen vapaasti muokattavia Business Zoneja. Näillä on kullakin oma tehtävänsä ja ne räätälöidään myös vetäjiensä näköisiksi. Meille on tärkeätä pystyä tarjoamaan erilaisia urapolkuja sekä asiantuntijuuden että liiketoiminnasta vastaamisen suuntaan.

Uusien tehtävien avautumisesta kerromme rekrytointisivuillamme. Voit lähettää meille myös avoimen työhakemuksen osoitteeseen jobs@nixu.com.

Kirjoittaja on Nixun toimitusjohtaja.