TigerTeam - suomalainen tietoturvablogi

Vastikään julkisuudessa käsiteltyyn, tutkintavaiheessa olevaan tammikuiseen verkkopankkihuijaukseen liittyvät oleellisesti ns. muulit, jotka ovat osa verkkorikollisuutta. Nyt muuleja on havaittu värvätyn myös Suomesta.

Yleisimmät muulilajit ovat rahamuuli, tavaramuuli ja huumemuuli. Näistä tavaramuulit toimittavat esimerkiksi varastettuja esineitä rikollisorganisaation seuraavan tahon kaupiteltavaksi.

Rahamuuli on välikädeksi ryhtyvä henkilö, jonka tehtäväksi annetaan esimerkiksi ottaa verkkopankkiin hyökkäävän haittaohjelman tekemät tilisiirrot vastaan. Muulilta edellytetään usein päivystämistä tietokoneella - muulin tulee pystyä nostamaan rahat käteisenä mahdollisimman nopeasti kiinnijäämistä välttääkseen. Lyhyesti muuli on siis rikosketjussa rahat eteenpäin toimittava henkilö.

Välikäsiä käytetään mm. rikoksen organisoijien suojaamiseksi. Rahamuulin henkilöllisyys tulee tilinumeron myötä ilmi, mutta koko rikosketju ei katkea muulin jäädessä kiinni.

Tehtäväänsä rahamuulit värvätään yleensä sähköpostiviesteillä, jotka toistaiseksi ovat olleet englanninkielisiä. Myös Facebook-ryhmillä muuleja on värvätty. Ryhmissä linkitetään myös sivustoille, joista itse värväytymisohjeet löytyvät.

Syy miksi muuleja värvätään myös Suomesta on melko selkeä - muuli pystyy nostamaan varat saman tien pankkiautomaatista ja toimittamaan esimerkiksi käteisenä toimeksiantajalleen, otettuaan ensin palkkion “riihikuivana” itselleen.

Rahamuulina toimiva henkilö voidaan Suomen lain mukaan tuomita rahanpesurikoksesta. Mistään mitättömästä rikoksesta ja seuraamuksista ei siis puhuta.

Kuten Keskusrikospoliisin edustaja hiljattain kertoi, ovat värvätyt henkilöt jopa esittäneet kuulusteluissa työsopimuksia rahoitusyhtiöiksi luulemiltaan “työnantajilta”.

Kansainvälinen PCI-toimielin PCI Council on julkaissut tiedot ensimmäisistä muutoksista lähiaikoina päivittyviin PCI DSS - ja PA-DSS -standardeihin. Dokumentti Summary of Changes - Hihglights löytyy pdf-muodossa täältä. Dokumentin tarkoituksena on auttaa eri osapuolia valmistautumaan uuteen standardiin, joka samalla syrjäyttää nykyisen 1.2-version.

Samalla kun uusi standardi julkaistaan 28. lokakuuta astuu voimaan myös uudistunut elinkaari PCI-standardeille. Nykyisen kahden vuoden sijaista elinkaari pitenee kolmeen vuoteen. Mallin mukaan uusi standardi julkaistaan lokakuussa, se astuu voimaan ensi tammikuussa ja seuraava versio julkaistaan vuonna 2013. Tällä välin toimielin implementoi uuden standardin, ottaa vastaan palautetta sekä kehittää uutta standardia.

Uuden standardin muutokset näyttäisivät olevan suoraviivaisia eikä mitään kovin mullistavaa ole luvassa. Monessa tapauksessa muutokset liittyvät tarkennuksiin ja vaatimuksen tarkoituksen avaamiseen. Nixua ilahduttaa erityisesti tieto siitä, että PCI-ympäristön (scope) määrittelyyn on luvassa lisätietoa. Myös virtualisointiin on tulossa tarkennuksia. Standardi pyrkii myös lisäämään riskipohjaisen lähestymistavan käyttöä, ja siten antamaan organisaatiolle enemmän vaihtoehtoja vaatimusten toteuttamiseen.

Nixu seuraa tilannetta aktiivisesti ja kerromme prosessin etenemisestä tässä blogissa.

Viranomaisten velvollisuus varautua poikkeusoloihin perustuu valmiuslakiin. Valtion organisaatioiden tulee varmistaa tehtäviensä mahdollisimman hyvä hoitaminen niin normaaliolojen häiriötilanteissa kuin poikkeusoloissakin.

Tehtävien tehokas hoitaminen vaatii tänä päivänä ICT-palveluiden sujuvaa toimintaa. Palvelut ovat usein käytössä yli organisaatiorajojen ja tämän verkoston toiminta on kyettävä varmistamaan järjestelmien teknisen toteutuksen, organisaation toiminnan ja johtamisen osalta. Myös tukipalveluiden on toimittava kivuttomasti.

ICT-varautumisen ja Tietoturvatasot-hankkeiden tavoitteena on mahdollistaa julkishallinnon yhtenäinen ja koordinoitu erityistilanteisiin varautuminen kustannustehokkaasti ja yhtenäisesti osana kunkin hallinnonalan jokapäiväistä toimintaa normaalioloissa, häiriötilanteissa ja poikkeusoloissa. Hanke pyrkii myös tarjoamaan välineet tietoturvallisuuden järjestelmälliseen kehittämiseen. Tässä avainroolissa on kaikkien hallinnonalojen saattaminen samalle perustasolle.

Ei pelkästään julkishallinnon asia

Sekä tietoturvatasoissa että ICT-varautumisen vaatimuksissa on määritetty kolme tasoa:

• perustaso,

• korotettu taso ja

• korkea taso.

Tavoitetaso määritetään tarkasteltavan palvelun kriittisyyden mukaan ja vähintään sama taso ulotetaan myös tärkeimpään toimittajaverkostoon.

Nämä vaatimukset eivät koske vain julkishallintoa, vaan kaikkia organisaatioita, jotka tuottavat palveluita valtiohallinnolle tai ovat osana tätä palveluverkostoa.

Mitä vaaditaan?

Tietoturvatasot ja ICT-varautumisen vaatimukset sisältävät molemmat johtamiseen, kumppanien hallintaan ja ICT-palvelujen tietoturvaan liittyviä vaatimuksia. Tasot ovat suurelta osin linjassa kansainvälisten tietoturvan hallintastandardien kanssa, joten organisaatio joka on kehittänyt hallintajärjestelmää esim. ISO27001-standardin pohjalta, on hyvin pitkällä myös Tietoturvatasojen rakentamisessa. ICT-varautumisen vaatimukset lisäävät jatkuvuuteen ja erityisesti organisaation tai koko yhteiskunnan häiriötilanteissa toimimiseen liittyviä vaatimuksia. Tasot on pääosin sisällytetty ICT-varautumisen vaatimuksiin.

Valtioneuvoston asetus tietoturvatasoista annettiin eilen.

Organisaatiot, jotka lähtevät rakentamaan palveluiden vaatimuksenmukaisuutta tarvitsevat vahvaa osaamista tietoturvan ja jatkuvuuden hallinnan suunnitteluun ja toteutukseen. Vuoden 2013 loppuun mennessä hallinnonalojen ja virastojen tulee saavuttaa perustaso ja kuvata keskeisimmät palveluverkostonsa, määriteltävä organisaatiolle, palveluille ja järjestelmille tavoitetaso ja aikataulu sekä resurssit sen toteuttamiseksi.

Nixun asiantuntijat ovat olleet mukana sekä ICT-varautumisen vaatimusten että Tietoturvatasojen määrittelyssä ja pilotoinnissa ja haluavat tarjota osaamisensa vaatimuksenmukaisuutta tavoittelevien organisaatioiden käyttöön niin julkishallinnossa kuin yritysmaailmassa.

Kansallinen turvallisuuden audiointikriteeristö eli Katakri on nyt voimassa. Laatimistyössä on ollut mukana viranomaisia, elinkeinoelämän toimijoita ja turvallisuusalan järjestöjä. Varsinainen kriteeristö reiluna satasivuisena dokumenttina löytyy täältä [.PDF]. Kriteeristön runkona on käytetty pitkälti ISO 27001 - ja PCI DSS -standardeja.

Ennen kesälomiaan valtioneuvoston pitäisi hyväksyä puolestaan asetus tietoturvallisuudesta valtionhallinnossa. Tuo ns. tietoturvallisuusasetus määrittelee samalla tietoturvatasot. Tällä hetkellä on vielä vaikea arvioida tulevatko Katakri ja uusi asetus sisältämään päällekkäisyyksiä. Sisäisen turvallisuuden ministeriryhmä on päätynyt suosittamaan Katakrin käyttöönottoa.

Katakria ennen auditointien pohjana on käytetty esimerkiksi virastojen sisäisiä tarkistuslistatyyppisiä dokumentteja. Auditoivana tahonahan on viranomainen, tyypillisesti puolustusvoimat tai suojelupoliisi.

Molemminpuolinen hyöty

Selvää on, että yhtenäisen auditointikriteeristön valmistuminen auttaa sekä auditoinnin tilaajaa että toteuttajaa. On eletty myös tilanteessa, jossa kaikki auditoinnin osa-alueet kattava kattodokumentti on selkeästi puuttunut.

Katakri kattaa myös henkilöstöturvallisuuden vaatimuksia. Katakri voidaankin nähdä pitkälti toimialariippumattomana dokumenttina kuten ISO 27001 -standardikin.

Herääkin muun muassa kysymys kuinka kauan Katakri-auditointi on voimassa? Hallinnollisia kysymyksiä on runsaasti. On todennäköistä, että Katakria tullaan käyttämään myös vaatimusmäärittelyjen pohjana monissa oganisaatiossa

Jari Törmälä on Nixun sisäinen tietoturvapäällikkö ja on toteuttanut lukuisia hallinnollisia tietoturva-auditointeja julkishallintoon.

Kun organisaation jokaisesta työasemasta löytyvästä, paljon käytetystä ohjelmistosta löytyy nollapäiväaukko soisi turvapäivityksen tulevan jakeluun mahdollisimman nopeasti. Joskus paikkausta on kuitenkin odoteltava viikkoja ja kuukausia.

Otetaanpa esimerkiksi viime viikolla havaittu Flash-nollapäiväaukko (CVE-2010-1297), joka koskee myös Adobe Reader -ohjelmistoa. Valmistajahan kertoi haavoittuvuuden aktiivisesta hyödyntämisestä viime perjantaina ja tällä viikolla haavoittuvuutta on hyödynnetty laajemmalti ainakin sähköpostiliitteiden avulla.

Nyt tiedämme Flash-korjauksen tulevan jakeluun tänään torstaina - ilmeisesti illalla Suomen aikaa. Adobe Reader - ja Adobe Acrobat -ohjelmistojen osalta korjaus tulee kuitenkin saataville vasta kuun loppuun mennessä. Kolme viikkoa on pitkä aika odottaa.

Mitä organisaatio voi ja sen kannattaa tehdä turvapäivitystä odottaessa:

• Kartoita onko organisaatiossasi PDF-toiminnallisuutta, joka perustuu JavaScriptin tai Flashin ajamiseen PDF-dokumentissa. Harkitse ominaisuuksien poiskytkemistä PDF-lukijasta - haavoittuvuuksien löytyminen ei rajoitu tähän tuoreimpaan.

• Onko haavoittuvalle ohjelmistolle vaihtoehtoja? PDF-lukijan vaihtaminen ei kuitenkaan ole aivan yksiselitteistä. Mikäli organisaatio käyttää suomenkielisiä toimisto-ohjelmia ja suomenkielistä selainta on esimerkiksi englanninkielisen ohjelmiston tuominen palettiin konstikasta.

• Ota selville onko organisaatioosi jo hyökätty Adobe-aukolla. Virustorjunnan lokeista löytyvät tunnistusnimet, mainittakoon esimerkiksi Exploit:W32/Pidief.CPT, Trojan.Pidief.J ja TROJ_PIDIEF.WX, kielivät tästä. Tarkista myös ovatko selaimen generoimat tietoturvahälytykset lisääntyneet.

Pohdiskelimme tammikuussa isojen ohjelmistovalmistajien siirtymistä vuosineljänneksittäisiin päivityksiin. Ainakin Adoben osalta tämä haavoittuvuus pakotti sen luopumaan säännöllisestä julkaisuaikataulusta.