Payment Card Industry Security Standards Council (PCI SSC) on julkaissut dokumentin “Skimming Prevention – Best Practices for Merchants”. Tiedosto on saatavissa sekä PDF-muodossa että pakatussa ZIP-muodossa (sisältää 27-sivuisen .doc-tiedoston).

Kyse on maksukorttien kopioinnin estämiseen ja sen riskin arvioimiseen ohjeistavasta dokumentista, jonka on tuottanut PCI SSC PIN Transaction Security Working Group. Dokumentissa kuvataan parhaita käytäntöjä, joilla kopiointia voi vaikeuttaa tai kopiointi voidaan estää. Lisäksi pisteytystaulukon avulla kauppias voi määritellä kuinka suuri riski kopiointi kauppiaalle on.

Dokumentti sisältää listan tietoturvasuosituksista, joiden avulla kauppias voi:

• tiedostaa kopiointiin liittyvät riskit

• tiedostaa maksupäätteiden- ja terminaalien käyttöön sisältyvistä uhkat

• tiedostaa uhkat, jotka liittyvät asiakkaiden maksukortteja suoraan käsittelevään henkilökuntaan

• estää tai vaikeuttaa rikollisten hyökkäyksiä maksupääte- ja terminaalilaitteita tai maksuinfrastruktuuria kohtaan

• tunnistaa mahdollisimman nopeasti muokatun (compromized) laitteen ja pienentää onnistuneen hyökkäyksen vaikutusta

Dokumentissa on myös kuvia kopiointiin käytettävistä laitteista ja esimerkkejä tapahtuneista rikoksista. Näiden esimerkkien avulla pyritään auttamaan kauppiasta hyökkäyksien tunnistamisessa ja kasvattamaan tietoisuutta rikollisten käyttämistä tavoista.

Toissapäivänä julkistettiin korjauksia TCP/IP-pinon haavoittuvuuksiin, jotka koskettavat useita ohjelmisto- ja laitevalmistajia. Julkaisua on odotettu tietoturvayhteisössä pitkään, koska tieto näiden haavoittuvuuksien olemassaolosta saatiin jo viime vuoden elokuussa mm. tämän mp3-podcastin myötä.

Haavoittuvuuden julkaisua koordinoi yhdessä valmistajien kanssa Suomen CERT-FI, joka julkaisi tapauksesta tiedonannon tiistai-iltana.

Otsikkotasolla haavoittuvuudet tunnetaan seuraavilla nimillä:

CVE-2008-4609: TCP/IP Zero Window Size Vulnerability – receive window size -arvoksi voidaan syöttää hyvin pieni arvo tai nolla

CVE-2009-1926: TCP/IP Orphaned Connections Vulnerability – yhteys saadaan jumiutumaan FIN-WAIT-1- tai FIN-WAIT-2-tilassa

Mitä siis on tiedossa haavoittuvuuksien luonteesta? Windowsin osalta se koskee versioita Windows 2000 SP4, Windows XP SP3 ja aikaisemmat, Windows 2003 Server SP2, Windows Vista SP2 ja aikaisemmat, Windows Server 2008 sekä useat x64-pohjaiset versiot. Windows 7:ää ei tapaus koske. Tähän mennessä korjauksia tai tiedon niiden valmistelusta ovat julkaisseet mm. Cisco, RedHat, CheckPoint ja Sun Microsystems.

Microsoft on MS09-048:n myötä julkaissut uudet versiot yleisimmistä TCP/IP-toteutukseen liittyvistä kirjastoista (Tcpip.sys, Tcpip6.sys, Tcpipreg.sys) ja W03a3409.dll. Myös komennoista Netstat.exe jne. on jakelussa uudet versiot.

Löydöistä CVE-2008-4609:stä vastaa yhdysvaltalainen Jack C. Louis Outpost24 AB:stä ja CVE-2009-1926:stä Fabian “fabs” Yamaguchi saksalaisesta Recurity Labs GmbH:sta. Outpost käytti testeissään Sockstress-rasitustestaustyökalua.

Recurity Labsin eilen julkaisema tiedonanto sijaitsee täällä.

Tutkija menehtyi ennen korjausten valmistumista

Yhdessä Robert E. Leen kanssa tapausta tutkinut Louis menehtyi maaliskuussa tulipalossa 32-vuotiaana.

Sitä oliko hänen sähköpostissaan mm. ohjelmisto- ja laitevalmistajille lähetettävien viestien luonnoksia tai julkistusta odottavaa white paperia tapauksesta ei tiedetä. Tietoturva-alan ammattilaisena Louis lienee suojannut nämä vahvalla salauksella.

On mahdollista, että Lee julkaisee tarkempia tietoja kun korjauksia on riittävällä laajuudella asennettu järjestelmiin.

Java Platform Standard Edition -julkaisun (Java SE) version 5 tukikausi lähenee loppuaan.

Maksuttoman Java 5.0:n End Of Service Life -kausi päättyy ensi kuun lopussa eli 31.10.2009.

Käytännössä tämä tarkoittaa sitä, että organisaatiot, jotka haluavat Java 5.0 -ympäristöönsä tietoturvapäivityksiä joutuvat hankkimaan maksullisen Java SE for Business- tuen.

On merkillepantavaa, että 1.4-sarjan ilmainen tuki on päättynyt jo viime vuonna. 6-sarjan ilmaisen tuen otaksutaan päättyyvän ensi vuonna. 7-sarja on tällä hetkellä vasta beeta-vaiheessa.

Maksullisessa vaihtoehdossa tuki jatkuu 15 vuotta julkaisusta eli version 5.0 kohdalla vuoden 2019 kesäkuuhun saakka. Kuutossarjassa tukea saa pari vuotta pidempään eli 2021 saakka.

Lisätietoja on saatavissa Sun Microsystemsin sivuilta.