Blogi

Nixun tiimi purki lunnashaittaohjelman tiedostot

Eräässä hoitamassamme tietoturvaloukkaustapauksessa asiakkaan verkosta löytyi haittaohjelma, joka salasi tiedostot ja vaati asiakkaalta lunnassummaa tiedostojen saamiseksi takaisin käyttöön. Tietoturvaloukkauksia hoitavan tiimimme vetäjä Antti Nuopponen sekä tiimin jäsenet Taneli Kaivola ja Patrik Nisén jatkoivat mm. iSIGHT Partnersin yleisellä tasolla tekemää analyysia TorrentLocker-haittaohjelmaperheestä pidemmälle ja tiimimme onnistui purkamaan asiakkaan tiedostot.

Yhdysvaltalaisen SANS-instituutin Digital Forensics and Incident Response -blogissa työtä on käsitelty teknisellä tasolla. Tiimimme muun muassa havaitsi, että haittaohjelman tekijä oli päättänyt käyttää samaa salausavainta kaikkien tiedostojen salaamiseen. Kävi myös ilmi ettei tiedostoja oltu salattu kokonaan, ainoastaan niiden alkua.

SANS:n blogikirjoitukseen viitaten asiasta ovat uutisoineet esimerkiksi tunnetut The Register -, Threatpost- ja Help Net Security -uutissivustot sekä Virus Bulletin -blogi.

Mikäli lunnas- eli kiristysohjelmien toiminta on entuudestaan vieraampaa löytyy Cryptolocker-ohjelmasta laajahko suomenkielinen artikkeli Wikipediasta.

Onko organisaatiosi joutunut TorrentLocker-tyyppisen haittaohjelman hyökkäyksen kohteeksi? Pystymme mahdollisesti auttamaan tällaisessa tilanteessa. Purkutyön tehneeseen tiimiimme saat yhteyden Yhteystiedot-sivun kautta.
 

EU:n tietosuoja-asetus ja lähtökohdat organisaation tietosuojatyölle

EU:n tuleva tietosuoja-asetus määrittää yhtenäiset tietosuojavaatimukset koko EU:n alueelle. Asetus koskee EU:ssa toimivia, tai tietyin ehdoin sen ulkopuolisiakin organisaatioita, jotka käsittelevät eurooppalaisten henkilöiden tietoja. Käytännössä se vaikuttaa myös hyvin suureen osaan suomalaisistakin toimijoista – olivat tiedot sitten yrityksen asiakkaita tai omaa henkilökuntaa koskevia.

Asetus painottaa mm. henkilötietojen käsittelyn ennakkosuunnittelua sekä läpinäkyvyyttä ja avoimuutta: on laadittava rekisteriselosteet, joissa kuvataan mm. kerättävät tiedot ja käyttötarkoitukset. Samalla varmistetaan, että rekisteröidyt henkilöt tietävät mihin suostumuksensa ovat antaneet. Tietosuojaloukkausten piilottelua ei sallita, vaan loukkauksista on ilmoitettava valvontaviranomaisille ja rekisteröidyille henkilöille itselleen. Myös rekisteröidyn oikeudet laajentuvat oikeudella tulla unohdetuksi.

Monissa hankkeissa tehtäväksi tulee vaikutusten arviointi, jolloin selvitetään suunnitellun hankkeen vaikutukset rekisteröityjen henkilöiden yksityisyyden suojaan. Lisäksi organisaation toimintaa henkilötietojen käsittelyssä tulee arvioida ja siihen liittyvät riskit tunnistaa ja käsitellä säännöllisesti.

Siis paljon vaatimuksia, jotka tarkoittavat vähintäänkin nykyisten toimintatapojen kriittistä tarkastelua ja useimmissa tapauksissa jopa kokonaan uusien toimintamallien rakentamista. Vaatimusten laiminlyönnistä voi seurata merkittäviä sakkorangaistuksia.

Tietosuoja-asetus tulee yhdenmukaisena voimaan kaikissa EU:n jäsenvaltioissa. Nykyinen direktiivi sen sijaan on sallinut jäsenvaltioille kansallista tulkintavaraa.

 

Mitä organisaation kannattaa nyt tehdä?

Asetuksen voimaantuloon valmistautuminen kannattaa aloittaa jo nyt. Ehdotettu kahden vuoden siirtymäaika on varsin lyhyt, koska organisaation varsinainen ydintoimintakin pitäisi hoitaa täysimittaisesti sen aikana.

Alla on kuvattu neljä askelta tietosuoja-asioiden haltuun ottamiseksi.

1. Pidä tietosuoja johdon agendalla

Kuten organisaation riskienhallinnan järjestäminen yleisemminkin, vastuu tietosuoja- ja tietoturva-asioista on ylimmällä johdolla.

Jos johto ei ole sitoutunut tietosuojatyöhön, organisaation muun toiminnan tavoitteet usein käytännössä estävät järjestelmällisen tietosuojan kehitystyön. Silloin tietosuojasta tulee reaktiivista eikä kenelläkään ole kokonaiskuvaa tilanteesta.

Tietosuoja-asioista onkin syytä raportoida säännöllisesti yrityksen johdolle ja tietosuoja on syytä pitää mukana yrityksen riskikartoilla.

2. Tunnista toiminnasta lähtevät tarpeet ja henkilötietojen elinkaari organisaatiossa

Ensimmäiseksi kannattaa selvittää nykyisestä toiminnasta lähtevät tarpeet ja vaatimukset henkilötietojen käsittelylle. On syytä selvittää, mitä henkilötietoja kerätään, miksi niitä kerätään (käyttötarkoitus) ja mitä niiden avulla halutaan tehdä.

Seuraavaksi on syytä tehdä henkilötietojen elinkaaren analyysi, eli kartoittaa mitä henkilötietoja yrityksessä todellisuudessa kerätään ja käsitellään, mistä tietojärjestelmistä tietoja löytyy, mistä tietoja organisaatioon tulee ja mihin tietoja luovutetaan. Rekisteriselosteiden ja rekisteröityjen antamien suostumusten tulee olla linjassa näiden kanssa.

3. Selvitä asetuksen vaatimusten toteutuminen sekä tietosuojan ja tietoturvan nykytila organisaatiossa

Kun on tiedossa, mitä ja miten henkilötietoja organisaatiossa kerätään ja käsitellään, on syytä käydä tarkemmin läpi henkilötietoja käsittelevän organisaation toimintatavat ja tietojärjestelmät ja selvittää niiden puutteet verrattuna asetuksen vaatimuksiin.

Tietoturvan osalta asetus ei nykymuodossaan anna yksityiskohtaisia ohjeita, vaan tyytyy vaatimaan ”asianmukaisia teknisiä ja organisatorisia toimenpiteitä” riittävän tietoturvan takaamiseksi. Käytännössä tämä tarkoittaa, että teknisen tietoturvan lisäksi on tarpeen tarkastaa myös organisaation hallinnollinen tietoturva eli mm. nykyiset vastuut, prosessit, käytännöt, politiikat ja muu tietoturvadokumentaatio.

On syytä myös käydä läpi sopimustilanne palvelutuottajien, alihankkijoiden ja toimittajien kanssa ja mm. varmistaa, että esim. ulkoistustilanteita varten on selkeät käytännöt henkilötietojen käsittelyn turvaamiseksi ja tietosuoja-asetuksen määräysten täyttämiseksi.

Erityisesti pilvipalveluja käytettäessä on syytä ottaa huomioon määräykset, jotka koskevat tietojen siirtoa EU:n ulkopuolelle.

Tietojärjestelmien hankinta on usein pitkä prosessi. Hankittujen järjestelmien päivittäminen jälkikäteen voi olla hyvin kallista ja joskus jopa mahdotonta. Tietojärjestelmähankkeissa on syytä tehdä vaikutusten arviointi sekä varmistua, että hankittavat järjestelmät ovat yhteensopivia tietosuojamääräysten kanssa ja että järjestelmät takaavat asianmukaisen tietoturvan.

4. Rakenna tietosuojan kehitysohjelma ja varmista menestymisen edellytykset

Kun organisaation tarpeet ja tilanne ovat selvillä, voidaan laatia priorisoitu suunnitelma tietosuoja- ja tietoturva-asioiden kuntoon laittamiseksi. Tietosuoja-asetus vaatii, että organisaatioiden on kyettävä osoittamaan, että henkilötietojen käsittely täyttää lainsäädännön vaatimukset. Tämän vuoksi valitut toimintamallit on syytä dokumentoida. Aika ajoin on myös hyvä varmistaa, että organisaation toiminta edelleen täyttää lainsäädännön vaatimukset.

Käytännössä tietysti tietosuojaa toteuttavat kaikki henkilötietojen käsittelyyn – suorasti tai epäsuorasti – osallistuvat henkilöt. Olennainen osa organisaation tietosuojan rakentamista onkin määrittää ja toteuttaa tietosuojaan liittyvät vastuut osaksi organisaation päivittäisiä toimintatapoja.

Kehityssuunnitelmaa laadittaessa on syytä realistisesti selvittää käytettävissä olevat resurssit ja oma osaaminen. Hanki tarvittaessa asiantuntija-apua, jos oma osaaminen tai työpanos ei riitä.

Lopuksi:

Täältä voit saada lisätietoja EU:n tietosuoja-lainsäädännöstä ja seurata uuden tietosuoja-asetuksen etenemistä.

Vaikka monien vaatimusten yksityiskohdat tulevatkin vielä tarkentumaan ennen asetuksen voimaantuloa, on asetus syytä ottaa tarkasteluun jo nyt.

On itsestään selvää, että tässäkään asiassa organisaation kulttuuria ja henkilöstön toimintatapoja ei muuteta hetkessä muutamalla sähköpostilla tai yksittäisellä tietosuojakoulutuksella ja -tentillä. Tietosuoja-asiat on mahdollista saada kuntoon järjestelmällisellä työllä, jossa tietosuoja ja tietoturva rakennetaan kiinteäksi osaksi organisaation toimintatapoja. Edellä kuvattu henkilötietojen elinkaaren läpikäynti antaa hyvät lähtökohdat tietosuojan parannustoimien suunnitteluun.

Blogikirjoituksen ovat laatineet riskienhallintapalveluissa työskentelevät Nixun asiantuntijat Harri Vilander ja Sanna Kuikka.

Kesäloma ja yksityisyys

Löysin itsestäni “loma-asennemiehen“ heti kesäloman alkajaisiksi, mutta en selvinnyt alkua pidemmälle tarkistamatta sähköpostejani.  Postissa odotti viesti, joka laittoi pohtimaan kuinka eri tavoin ihmiset suhtautuvat yksityisyyteensä. Arvelin asian selittyvän ihmisten temperamentieroilla, joten tein ensimmäisen kesälomaviikon kunniaksi lyhyen tutustumiskierroksen ihmisen persoonallisuustyyppeihin.

Nettilähteiden mukaan nykypsykologiassa persoonallisuutta mallinnetaan 16 testattavissa olevalla ominaisuudella, jotka tavataan tiivistää viiteen suureen (Big Five): avoimuus, ulospäinsuuntautuneisuus, sovinnollisuus, tunnollisuus ja neuroottisuus. Näistä muodostuu kullekin oma räätälöity cocktail, persoonallisuusprofiili, jonka avulla voisi mahdollisesti selittää eroja suhtaumisessa yksityisyyteen.

Vaikeaksihan homma meni, mutta onneksi löysin sivuston, jossa asiaa oli mukavasti kaupallistettu ymmärrettävämpään muotoon. Sivuston laatimista 16 profiilista viisi (INFJ INTP ISTP INFP ISFJ) on yksityisyyttä arvostavaa tai vaalivaa. Tasaisella jakaumalla tämä tarkottaisi, että vain 30% ihmisistä on luonteeltaan yksityisyyttä arvostavia. Muutenkin mielenkiintoista on, että sivusto liittää yksityisyydenkaipuun luonteenpiirteen heikkoudeksi.

Tämä selittänee jo jotain, mutta jatketaan.

Ilmainen lounas ja anonyymiä kohdennettua mainontaa

Netti ei ole netti, jos sen palvelut eivät ole ilmaisia. Rajattomien resurssien utopiassa myös palvelimet, nettikaista ja työ on ilmaista. Tässä maailmassa ne kuitenkin rahoitetaan mainoksilla. Mainostajat taas ovat tarkkoja siitä mihin rahansa sijoittavat, joten he kaipaavat yhä tarkempaa kohdentamista: miksi näyttää tila-automainos ydinkeskustassa yksin asuvalle opiskelijalle, kun sen voi näyttää raskaana olevan kolmen lapsen perheen työssäkäyvälle isälle.

Googlen ja Facebookin sekä parin muun online-profilointijätin palvelukuvaukset avaavat asiaa lisää. He tarjoavat mainosten kohdistamiseen demografiadataa kuten sukupuoli ja ikäryhmä, verkostodataa kuten yhdistys- ja some-ryhmäjäsenyydet, elämantilannedataa kuten asumismuoto, perhesuhteet, tuloluokka ja koulutustaso tai kiinnostusryhmädataa kuten äitiystuotteet, autot, matkailu ja syöpälääkkeet. Tilannedatasta esimerkkejä ovat vaikkapa käytössä oleva nettilaite, sen sijainti ja sijaintipaikan säätila.

Alkaa vaikuttaa salakatselulta ja -kuuntelulta… paitsi jos olen leikkiin suostuvainen.

Luvan kanssa vai ilman

Profiilitieto on mainostajalle tarjottuna anonyymia, ei nimettyyn yksilöön kohdistettavissa olevaa tietoa. Sitä ei yleensä luovuteta mainostajille eräajona taikka muuten massana vaan sen avulla liipaistaan teknisesti mainokset palveluiden käytön yhteydessä. Mainostaja ei siis yleensä näe kuka olen.

Tiedot keräävä profiloija taas näkee hyvinkin tarkasti mistä laitteesta data on lähtöisin, jopa mihin sähköpostiosoitteeseen laite on rekisteröity, mikä sen puhelinnumero on, keitä kaikkia laitteen käyttäjä on lisännyt osoitekirjaansa ja mikä laitteen tämän hetkinen sijainti on. Saattaapa samalla mennä lähetettyjen viestien ja otettujen valokuvienkin meta-tiedot osaksi profiloijan big dataa, suurta tietomassaa, jonka perusteella mainostajille tarjotut kohdennusprofiilit muodostetaan. Maailmassa ennen nykyinternettiä kaiken tiedon olisi joutunut kysymään minulta, nyt sen saa automaattisesti käytössäni olevilta laitteilta.

Lähes poikkeuksetta palveluehtojen pikkupräntissä on yleislauseke, jolla käyttäjä antaa luvan laitteen keräämän ja siihen syötetyn tiedon käyttämiseen valmistajan ja profiloijan parhaaksi katsomalla tavalla. Eikä <blink>ilmaista palvelua</blink> tyypillisesti pääse käyttämään ilman ehtojen suoraa tai epäsuoraa hyväksymistä. Mysteeriksi tosin jää mitä tuli hyväksyttyä: mitä kerättävät tiedot ovat, minkälaisia profiileja niiden pohjalta muodostetaan ja minne kaikkialle tiedot leviävät.

Voinko siis antaa luvan kun en voi tietää mihin olen suostumassa?

Yksityisyys ja sen puute

Akateemikot käsittelevät yksityisyyttä tutkimuspaperien vaatimalla pieteetillä, minä brutaalimmin: Yksityistä on se, mikä ei muille kuulu. Minä olen yksityisyyden ytimessä ja minä määrittelen mitä itsestäni kenellekin paljastan. Jopa yhteiskunta ja lainsäätäjä ovat kanssani samoilla linjoilla, vaikkakin kaventavat yhteisen edun nimissä määräämisvaltaani.

Toisaalta jos vain kolmannes ihmisistä välittää yksityisyydestään niin polkevatko vähemmistön oikeudet enemmistön tarpeita? Mikä on se uhka, jolla yksityisyydensuojaa perustellaan ja aiheuttaako online-profilointi saman uhkan yksityisyydelle?

Nettin kumuloituneen tiedon ja tarinat tiivistämällä uhkana ovat (sekalaisessa järjestyksessä):

- tutkijat ja tutkimuksen tekijät, jotka pystyvät tiedon perusteella päättelemään arkaluontoisia tai intiimejä henkilötietoja
- mainostajat, profiloijat ja profiilitiedon kauppamiehet, jotka manipuoloivat tiedon perusteella ostokäyttäytymistä tai käyttävät tietoja lain vastaisesti
- työnantajat tai yhteisöt, jotka valvovat ja rankaisevat tiedon avulla poikkeamista käyttäytymisnormeissa
- rikolliset ja perverssit, jotka kohdistavat tiedon avulla tekonsa paremmin
- viranomaiset, jotka käyttävät tietoa kansalaisten tai matkalaisten manipulointiin, vainoamiseen tai vakoiluun
- lähipiiriläiset tai trollit, jotka kostavat tai vainoavat (yksityisetsivien hankkiman) tiedon avulla
- palveluntarjoajat, jotka hinnoittelevat epäoikeudenmukaisesti tai epäävät tiedon avulla palvelunsa käytön

Näitä uhkia nyt on maailma täynnä, mutta mikä on riski?

Yksityisyyden menetys

Riskilaskennassa kuuluu uhkan lisäksi ottaa huomioon todennäköisyys ja toteutuvan uhkan vaikutus. Yksityisyydensuojan kannalta uhka on aina ilman suostumustani tapahtuva tiedon leviäminen ulkopuoliselle. Tämä taas voi kasvattaa todennäköisyyttä joutua esim. rikoksen, vainon tai epäoikeudenmukaisen hinnoittelun kohteeksi.

Jokaisen elämäntilanne on uniikki, joten on täysin mahdotonta konkretisoida mitä yksityisyyden menetys kullekin tarkoittaisi. Mutta mitä yksityiskohtaisemmin ja laajemmin minusta tiedetään, sitä todennäköisempää on, että tieto vuotaa ulkopuoliselle. Mikään ei myöskään takaa sitä, että vuotanut tieto on oikeata ja totuudenmukaista. Eikä myöskään sitä, että tieto vuotaa vain yhdestä lähteestä.

Aktiivisena netinkäyttäjänä riskini on siis se, että yksityisasiani liikkuvat maailmalla olivat totta tai eivät ja että aiemmin mainitut yksityisyyden uhkaajat käyttävät niitä hyväksi ilman suostumustani. Makaaberina "pelotteluesimerkkinä" toimikoon auto-onnettomuudessa kuolleesta alaikäisestä tytöstään isää muistuttanut toimistotarvikekauppiaan suoramarkkinointiviesti. Riskin vastapainona on aina myös ennalta tunnistamattomia mahdollisuuksia. Tästä esimerkkinä toimikoot yksityisyydensuojan murtamalla pilaantuneiden elintarvikkeiden ostajia kontaktoinut kotimainen kauppaketju.

Olenko kuitenkaan ymmärtänyt kaiken tämän ‘Hyväksyn’ -nappia painaessani?

Tietoon perustuva suostumus

Lääketieteen puolella otettu käyttöön eettinen käsite ja toimintamalli nimeltään “tietoon perustuva suostumus”: Kokeeseen tai hoitoon osallistuvaa informoidaan kaikista siihen liittyvistä riskeistä ja vaaditaan samalla yleensä kirjallinen suostumus siihen liittyviin toimenpiteisiin. Näin esimerkiksi Facebookin suorittamassa tunteidenmanipulointikokeessa (suomeksi käsitelty täällä) ei toimittu.

Nettipalveluissa, joiden sisältöä tuotetaan suuren verkoston toimesta, tällaisten suostumusten kysely ennen palvelun käyttöä ei ole käytännössä mahdollista: itselläni ainakin jäisi palvelu käyttämättä, jos ennen käyttöä pitäisi lukea ja hyväksyä kohta kohdalta kymmenien organisaatioiden ja palveluiden tietosuojaehdot. Yhdestä lomakkeesta voisin selviytyä jos se selkeästi standardoiduilla symboleilla (kuten esim. disconnect.me/icons) ilmaisisi palvelun yksityisyydensuojan tason. Tämän hetkinen kompromissi on ruudun ylä-, ala- tai johonkin osaan ilmestyvä cookie-seurannasta kertova ilmoituslaatikko ja siihen tai muualle ruudulla ilmestyvä linkki yksityisyydensuojasta lakijargonilla tai pikkupräntillä kertovaan ehtolausekokoelmaan.
 

Toiveita tietoon perustuvan suostumuksen saamiseksi nettipalveluihin herättää EU:n valmisteilla oleva tietosuoja-asetus (ehdotusteksti http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf ja muutosehdotukset http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2014-0212&language=EN):
 
“consent' means any freely given specific, informed and explicit indication of his or her wishes by which the data subject, either by a statement or by a clear affirmative action, signifies agreement to personal data relating to them being processed”
 
Astuuko tämä voimaan ja miten se aikanaan ilmenee palveluissa jää nähtäväksi.

Mutta vastauksena kysymykseeni: olen ja en ole antanut suostumustani tietojen käsittelyyn riippuu siitä vastaanko kysymykseen palveluntarjoajana vai käyttäjänä.

Tietojen tarkastus- ja oikaisuoikeus

Vähintä mitä olen aina odottanut palveluihin ilmestyväksi on omien tietojen hallintanäkymä ja sinne erityisesti kahta ominaisuutta: “Tarkasta omat tiedot” ja “Kuka käsittelee tietojani”.

Tietoja ovat kaikki palvelussa käsitellyt, minuun liittyvät tiedot - olivat ne sitten palvelun itsensä keräämiä, muilta hankittuja tai näistä johdettuja. Tietojen käsittelijöistä riittäisi ensialkuun ajantasainen lista kaikista tytäryhtiöistä, alihankkijoista ja kumppaneista joille em. tietoja palvelusta luovutetaan ja joilta tietoja hankitaan. Näin esittää jo nykyinen henkilötietolainsäädäntökin tosin siinä muodossa, että “kerran vuodessa ilmaista” ja “kirjallisella hakemuksella”; ks. tietosuoja.fi/fi/index/rekisteroidylle/rekisteroidynoikeudet/tarkistusoikeus.html.

Käytännössä omien tietojen tarkastaminen ja oikaisu on tehty niin vaikeaksi, että a) todella harva sitä viitsii yrittää ja b) vielä harvempi palveluihinsa toteuttaa. Big datan analyysikyvyt palvelevat nyt profiloijia ja välillisesti profiloinnin kohteita.

Näillä kahdella omien tietojen hallintatoiminnolla big data saadaan palvelemaan myös meitä kuluttajia, kansalaisia, työntekijöitä, jäseniä ja asiakkaita meitä, joiden henkilötiedoilla koko lysti kustannetaan.

Yksityisyysvähemmistön oikeudet

Palatakseni tämän blogin kirvoittaneeseen sähköpostiin ja persoonallisuustyyppeihin: En tehnyt testiä enkä tilannut laajaa kuvausta persoonallisuusprofiilistani, mutta sen tiedän, että kuulun yksityisyyttä arvostavaan ihmisryhmään enkä laske sitä luonteenpiirteen heikkoudeksi.

En usko että suurimmalla osalla muistakaan on erityisesti mitään salattavaa, mutta haastan lukijan paikallistamaan tuttavapiiristään yhdenkin jolla ei olisi asioita, jotka eivät muille kuulu.

Toisin kuin tiedonkalasteluteollisuuden lobbarit väittävät yksityisyysvähemistön oikeuksien toteuttaminen on pieni hinta kaikesta siitä hyvästä, jota ilmaisten nettipalveluiden symbioosi tuottaa.

Nyt takaisin lomille :)
 

Tietomurtojen havaitseminen DNS-kyselyistä

Nixu julkaisi hiljattain white paperin aiheesta Have I been compromised (ladattavissa pdf:nä täältä), jossa käytiin läpi tietomurron eri vaiheita aina murrosta jälkitoimiin. Käyn tässä blogikirjoituksessani syvemmin läpi organisaation sisäisen nimipalvelun eli DNS:n roolia tietomurron havaitsemisessa.

Verkkotunnuksia käytettäessä suoritetaan aina DNS-kysely jolla verkkotunnukselle selvitetään sitä vastaava IP-osoite. Tämä siis pätee myös saastuneille koneille asentuneisiin haitakkeisiin, jotka ottavat yhteyttä hallintapalvelimeensa (Command & Control) verkkotunnuksella. Usein verkkotunnus johon haitake ottaa yhteyttä on kovakoodattu haitakkeen koodiin, joten se ei muutu. Kehittyneemmät haitakkeet käyttävät ns. fastflux-tekniikkaa, jossa algoritmi generoi jatkuvasti uusia verkkotunnuksia havainnoinnin ja blokkauksen välttämiseksi. Edellä mainittuja on tosin vaikea havaita automatiikalla niiden satunnaisuuden takia. Lokeja tutkimalla ja vihamielisiin osoitteisiin tehtäviä nimipalvelukyselyjä seuraamalla voidaan käynnissä olevasta tietomurrosta saada kuitenkin vihiä.

Pikalista tehtäviin asioihin:

  • Kerää DNS-lokit! – Lokia tulee paljon joten mieti säilytysaika.
  • Salli DNS-portti 53 ulos vain hyväksyttyihin DNS-resolvereihin ja monitoroi ei-sallittuja kyselyitä.
  • Tarkkaile DNS-lokeista yrityksesi nimeä kolmantena asteena domain-nimessä, esim. yritys.paha.org
  • Tunnista nimipalvelukyselyt tunnettuihin vihamielisiin osoitteisiin.
  • Tarkkaile yli 512 tavua pitkiä DNS-paketteja ja DNS-liikenteen datamäärää.
  • Tunnista pitkät verkkotunnukset ja haut verkkotunnuksiin joita ei ole olemassa.

Liikennöinti vihamielisiin osoitteisiin (Blacklisting)

Liikennöinti tunnettuihin ”pahoihin” osoitteisiin voidaan havaita käyttämällä valmiita osoitelistoja ja verrata niitä esimerkiksi SIEM-tuotteella DNS-lokeihin. Muun muassa seuraavia listoja on saatavilla:

http://www.malwaredomains.com
https://zeustracker.abuse.ch
http://pgl.yoyo.org
http://mtc.sri.com
http://www.malwarepatrol.net

Liikennöinti pahoihin osoitteisiin voidaan estää myös edullisella DNS sinkhole -lähestymistavalla. Yrityksen DNS-kyselyt ohjataan DNS sinkhole -palvelimelle, jonka pahojen verkkotunnusten listaa vasten tarkistetaan onko osoite paha. Mikäli osoite on paha, voidaan verkkotunnusta kysyneelle koneelle palauttaa väärä IP-osoite, joka ohjaa sivulle, jossa ilmoitetaan osoitteen olevan haitallinen/yrityksen politiikan vastainen. Jotta sinkhole-tekniikka toimii, tulee nimipalvelukyselyiden kulkea yrityksen DNS-palvelinten kautta, joka voidaan varmistaa sillä että palomuurissa kielletään muut DNS-kyselyt. Tämä sen takia, että osa haitakkeista käyttää myös omia DNS-palvelimia. Osa kaupallisista tuotteista hyödyntää myös sinkhole-tekniikkaa ja tästä esimerkkinä PaloAlto. DNS sinkhole voidaan tehdä edullisesti avoimen lähdekoodin työkaluin ja tästä esimerkkinä Bind-ohjelmistolla toteutettu sinkhole.

Liikennöinti pahoihin osoitteisiin (Whitelisting)

Yksi lähestymistapa on verrata kysyttyjä domain-osoitteita Alexan tarjoamaan miljoonan yleisimmän verkkotunnuksen listaan (pakatussa muodossa täällä) ja hälyttää listan ulkopuolisista osoitteista. F-Securen mukaan tällä menetelmällä voidaan jopa välttää 99,61% verkkohyökkäyksistä.


Yrityksen tietojen vuotaminen

Myös yrityksen tiedonvuotamisvaiheessa (eng. data exfiltration) voidaan hyödyntää DNS-protokollaa. DNS -protokolla sallii UDP-protokollaa käyttäen 512 tavun hyötykuorman, kun EDNS-lisäys sallii TCP-protokollaa käyttäen jopa 4096 tavua hyötykuorman. Ilmaisia ohjelmia datan siirtämiseen DNS:n avulla on mm. Iodine. DNS-tunnelin käyttö vaatii että hyökkääjällä on hallinnassa verkkotunnus tai aliverkkotunnus, johon hän tekee nimipalvelukyselyn. Esimerkiksi hyökkääjä kysyy osoitetta fdsfok43dfbvfdshprsådf.paha.org jossa on aliverkkotunnukseen koodattu ulos kuljetettava data.

NGFW- ja IPS-tuotteet myös pystyvät havaitsemaan DNS-tunneleita niihin tehdyillä sormenjäljillä. NSTX DNS -tunnelia voidaan yrittää havaita esimerkiksi etsimällä DNS TXT-kyselyitä joissa on hyökuormassa ”cT”-merkkijono. Lisää aiheesta SANS:n julkaisemassa artikkelissa ”Detecting DNS tunneling”.

DNS-tunneleita voidaan havaita myös tarkkailemalla DNS-pakettien kokoa ja DNS-liikenteen datamäärää. Tätä voidaan tehdä palomuurien, flow-datan tai IPS/IDS-laitteiden avulla.
 

Epäilyttävät verkkotunnukset

DNS-liikenteestä pystyy tunnistamaan asioita, jotka vaativat lisätutkintaa. Tällaisia asioita ovat pitkät DNS-nimet. DNS-nimi voi olla maksimissaan 255 merkkiä pitkä ja verkkotunnus/aliverkkotunnus 63 merkkiä kuten aliverkkotunnus.verkkotunnus.fi . Tarkkaile domain-nimiä jotka ovat kokonaisuudessaan yli 63-merkkiä pitkiä tai verkkotunnus/aliverkkotunnus on yli 13-merkkiä pitkä.
Epäonnistuneet DNS-kyselyt yrityksen alidomaniin voivat olla merkki kohteiden etsinnästä esim. kyselyt intra.yritys.fi, ad.yritys.fi joita ei ole olemassa, mutta voisivat hyvin olla olemassa ja paljastaisivat kohteita.
 

Kysymyksiä ja vastauksia lähimaksukorteista

Lähimaksukortit eli NFC-teknologiaan (Near Field Communication) perustuvat maksukortit ovat yleistyneet Suomessa. Samaan aikaan kun kortit ja maksupaikat yleistyvät, herättävää korttien yleistyminen laajalti keskustelua mediassa ja ihmisten parissa. Erityisesti korttien turvallisuus puhututtaa monia.
Päätimme Nixussa koota listan yleisimpiä väitteitä ja kysymyksiä lähiluettaviin maksukortteihin liittyen, sekä vastata näihin kysymyksiin testiemme ja kokemuksemme perusteella. Tämä kirjoitus käsittelee vain ja ainoastaan kansainvälisten korttiyhtiöiden myöntämiä lähimaksukortteja, eikä ota kantaa muihin NFC-kortteihin ja niiden turvallisuuteen (esim. matkakortit, avainkortit).
Suoritimme testit muutaman eri suomalaisen pankin myöntämillä korteilla ja teimme johtopäätökset testitulosten pohjalta. On siis mahdollista, että kaikki korttityypit eivät toimi samalla tavalla.

1. Ovatko lähimaksukortit turvallisia?
Kysymykseen ei voi vastata kyllä tai ei määrittelemättä ensin mitä ”turvallisuudella” tarkoitetaan, ja kenen näkökulmasta asiaa tarkastellaan (kuluttaja, kauppias, pankki, korttiyhtiö, kortin valmistaja jne.). Jos asiaa tarkastellaan kuluttajan eli kortinhaltijan näkökulmasta, voidaan sanoa, että kortit ovat turvallisia, sillä tähän tekniikkaan liittyvistä mahdollisista väärinkäytöksistä vastaa lähtökohtaisesti pankki. Väärinkäytöksen havaitseminen ja siitä reklamoiminen on kuitenkin kuluttajan vastuulla. Suosittelemme tarkkaavaisuuden lisäksi kortinhaltijaa tutustumaan sopimusehtoihin.

2. VÄITE:
Lähimaksukortit ovat turvallisia, sillä niiden tiedot on suojattu salauksella.
Lähimaksukortit hyödyntävät salaustekniikkaa esim. PIN-koodin varmistamisessa ja transaktioiden tekemisessä, mutta kortilta voi kuitenkin lukea salaamatonta tietoa. Kaikkea kortilla olevaa tietoa ei siis ole salattu.

3. VÄITE:
Lähimaksukorteilta voi lukea tietoa, mutta sitä ei voi väärinkäyttää.
Lähimaksukortilta voi lukea mm. maksukorttinumeron (PAN, Primary Account Number) sekä voimassaoloajan. Näillä tiedoilla on mahdollista tehdä esim. verkkokauppaostoksia (etäostos, card-not-present). Kortilta luettua tietoa voi siis väärinkäyttää.

4. VÄITE:
NFC-sirulla oleva korttinumero ei ole sama kuin korttiin painettu maksukortinnumero, joten väärinkäytöksiä ei voi tehdä.
Valitettavasti testaamissamme korteissa korttinumero on sama sekä NFC-sirulla että kortin päällä. On kuitenkin totta, että eri korttinumeroilla etäostoksiin liittyvät väärinkäytökset olisi voitu estää. On mahdollista, että kaikkien pankkien järjestelmät eivät tue kortteja, joilla on kaksi tai kolme erillistä maksukorttinumeroa, minkä vuoksi tällaista ominaisuutta ei ole ainakaan vielä voitu toteuttaa kaikkiin kortteihin.

5. VÄITE:
Maksukorttinumerolla ja voimassaoloajalla ei voi tehdä verkkokauppaostosta, sillä kaikki verkkokaupat edellyttävät lisäksi erillisen tarkistusnumeron (CVV2).
Jotkut kansainväliset verkkokaupat, kuten Amazon, hyväksyvät ostosten tekemisen ainoastaan maksukorttinumeron ja voimassaoloajan yhdistelmällä. On totta, että tarkistusnumeroa  ei voi lukea NFC-sirulta, ja että suurin osa verkkokaupoista edellyttää sen antamista. Olemme käsitelleet asiaa aiemmin täällä.

6. VÄITE:
Kortin tiedot voi lukea enintään 2 cm päästä, joten todellista uhkaa ei ole.
Tavallisella muutaman kympin maksavalla lukijalla tiedot voidaan lukea n. 10 cm päästä. On mahdollista, että etäisyyttä voisi kasvattaa paremmalla laitteistolla.

7. Voisiko vilpillinen kauppias tehdä ylimääräisiä veloituksia ohikulkijoiden korteilta?
Teoriassa kyllä. Kauppias jäänee vilpillisestä toiminnasta kuitenkin hyvin nopeasti kiinni. Olemme käsitelleet asiaa aiemmin täällä.

8. Minkä muun tyyppisiä hyökkäyksiä lähimaksukortteja vastaan voisi tehdä?
Uudelleenohjaamalla viestit (ns. relay-hyökkäys) voidaan tehdä lähimaksu vaikka toiselle puolelle maapalloa. Tämä kuitenkin edellyttää, että kortin välittömässä läheisyydessä on NFC-lukija, joka välittää tiedot esimerkiksi internetin yli toiselle NFC-lukijalle, joka puolestaan on maksuautomaatin välittömässä läheisyydessä. Molempien NFC-lukijoiden tulee olla samanaikaisesti maksukortin ja maksuautomaatin välittömässä läheisyydessä lyhyen hetken. NFC-lukijana voi toimia esim. älypuhelin.




9. Voiko NFC-sirulta kopioidulla tiedolla luoda toimivan korttikopion?
Ei voi. NFC- tai EMV-sirulta ei voi lukea sellaista tietoa, jonka avulla voisi luoda toisen kortin, jossa on toimiva EMV- ja/tai NFC-siru. Vaikka NFC- ja EMV-siruilta löytyy myös magneettiraidan sisältämä vastaava tieto (ns. uratieto), ei se kuitenkaan mahdollista magneettiraidan kopioimista, sillä tieto ei ole täysin identtinen oikean magneettiraidan sisältämän tiedon kanssa.

10. VÄITE:
Väärinkäyttöriski rajautuu 25 euroon, joten asiasta on turha murehtia.
Lähimaksuostot ovat tyypillisesti rajattu 25 euroon, ja niitä voi tehdä enintään muutaman kappaleen jonka jälkeen tulee syöttää PIN-koodi. Jos korttia kuitenkin väärinkäyttää esim. verkkokaupassa (etäostos), ei tämä rajoitus ole voimassa, vaan kortilta voi pahimmassa tapauksessa ostaa niin paljon kuin mitä luottoraja tai tilin saldo sallii.

11. VÄITE:
Väärinkäytökset voi estää tai minimoida erillisillä käyttörajoituksilla.
Totta. Monet pankit tarjoavat esim. erillisiä päiväkohtaisia käyttörajoituksia eri maksutyypeille sekä esimerkiksi geoblokkausta (esim. kortti toimii vain Pohjoismaissa ja verkkokaupassa, ei muissa maissa). Näitä ominaisuuksia säätämällä väärinkäytösriskin voi joko estää tai sitä voi pienentää. Haittapuolena kuitenkin saatetaan menettää yksi kansainvälisten maksukorttien suurin etu: ne käyvät kaikkialla ja niillä on helppo ja nopea maksaa. Sopivien rajoitusten asettaminen vaatii siis kortinhaltijalta aina jonkin verran aikaa ja vaivaa, ja on näin lopulta kompromissi turvallisuuden ja käytettävyyden välillä.

12. VÄITE:
Rikolliset eivät voi lukea kortilta tietoa, mikäli se on RFID-suojatussa lompakossa.
Totta. Oikein toteutettuna suojattu lompakko muodostaa kortin ympärille ns. Faradayn häkin, joka estää kortin lukemisen lompakon läpi. Tee-se-itse -mies käärii kortin ja koko lompakon folioon.

13. Miten etäostoksiin liittyvän väärinkäytösriskin olisi voinut estää korttia suunniteltaessa?
NFC-sirulla voisi olla kortin päälle painetusta poikkeava korttinumero. Näin etäostokset olisi voitu rajata vain painetulle numerolle, ja vastaavasti sallia lähimaksuostot vain NFC-sirulla olevalle numerolle. Pankin järjestelmät eivät välttämättä kuitenkaan tue kortteja, joilla on useita maksukorttinumeroita. Tämä ei myöskään estäisi aiemmin kuvattua relay-hyökkäystä (katso kohta 8).

14. VÄITE:
Lähimaksukortit lisäävät osaltaan kuluttajan turvallisuutta, kun PIN-koodin käyttö vähenee.
Totta. Lähimaksukortit vähentävät PIN-koodien näpyttelyä, joka puolestaan vaikeuttaa PIN-koodin urkkimista. Erityisen hyödyllisenä tämä voidaan nähdä esimerkiksi  yökerhoissa, joissa tehdään tyypillisesti monta alle 25 euron transaktiota ja joissa tarkkaavaisuus on heikentynyt ja urkintariski on keskimääräistä suurempi. Perinteisiä sirukortteja on moitittu siitä, että sama PIN-koodi tarvitaan sekä mitättömän pieniin että erittäin suuriin ostoksiin.

15. VÄITE:
Lähimaksukortin olisi voinut korvata nykyisellä sirukortilla siten, että PIN-koodin kysely olisi poistettu pienistä ostoksista.
Sirukortti tukee toiminnallisuutta, jossa maksu tapahtuu työntämällä kortti maksupäätteeseen, eikä PIN-koodia kysytä. Tämä ei täysin vastaa lähiluettavien korttien toiminnallisuutta, eikä tällaista toimintoa ole jostain syystä haluttu toteuttaa Suomessa.

16. Mitä muuta tietoa korteilta saa luettua?
Tämä riippuu kortista, mutta mm. seuraavat tiedot olemme onnistuneet lukemaan kortilta:

- Kortinhaltijan nimi (VISA-kortilta, mutta ei MasterCard-kortilta)
- Kielivalinta
- Edellisiä sirumaksutapahtumia (katso kohta 17)
- Magneettiraidan uratietoa vastaava tieto (ei identtinen)
- Teknistä tietoa

Lisäksi tietysti kortin numerosta voi päätellä pankin sekä mikä kortti on kyseessä (esim. tavallinen VISA tai VISA Gold).

17. Voiko kortilta todella nähdä, että olen käynyt Kallen Kukkakaupassa ostoksilla?
Ei voi. Ostohistoriasta näkyy ainoastaan muutaman edellisen siru- ja lähimaksun ostopäivämäärä, loppusumma ja valuutta. Kaupan nimi ei siis tallennu kortille. Etä- ja magneettiraitaostokset eivät luonnollisesti myöskään tallennu kortille.

18. VÄITE:
NFC-sirulta luettavissa olevat tiedot voi lukea myös EMV-sirulta, magneettiraidalta tai kortin päältä. Mikään ei siis todellisuudessa ole muuttunut, vaan tiedot on aina voitu lukea kortilta hyvinkin helposti.
On totta, että EMV-sirulta, magneettiraidalta ja kortin päältä voi lukea vastaavaa tietoa kuin mitä NFC-sirulta. Tilanne on kuitenkin siinä mielessä muuttunut, että NFC-sirulta tiedot voidaan lukea ilman kortinhaltijan selkeää tahdonilmaisua. Jotta perinteisen maksukortin tiedot voidaan lukea, on kortti näytettävä kolmannelle osapuolelle tai se pitää syöttää maksupäätteeseen/magneettijuovanlukijaan. NFC-kortin osalta riittää, että tiedoista kiinnostunut pääsee hetkeksi riittävän lähelle korttia. Lisäksi NFC-lukijat (toisin kuin EMV-sirulukijat tai magneettiraidanlukijat) ovat kohta kaikilla mukana, sillä ne alkavat olla osa älypuhelinten vakiovarustusta.

Yhteenvetona voidaan sanoa, että NFC-kortteja vastaan on mahdollista hyökätä ainakin muutamalla eri tavalla (katso kohdat 3, 7 ja 8). Toisaalta vastuu tämän tyyppisistä väärinkäytöksistä on yleensä pankilla, mutta kortinhaltijan tulee silti seurata kortilta tehtäviä veloituksia. Tämän tyyppisiä väärinkäytöksiä ei kuitenkaan tietojemme mukaan ole esiintynyt. Meidän on myös vaikea ennustaa minkä tyyppisiä korttirikoksia rikolliset tulevaisuudessa tekevät. Tilanteen tekee kuitenkin mielenkiintoiseksi se, että tulevaisuudessa entistä suurempi osa maksukorteista on varustettu lähimaksuominaisuudella, ja samanaikaisesti entistä suurempi osa puhelimista on varustettu NFC-lukijalla. Toisaalta lähimaksukorteista on myös hyötyä: maksaminen nopeutuu, eikä PIN-koodia välttämättä tarvitse näppäillä turvattomassa ympäristössä.
 

Sivut