6.8.2008 | 11:17
Hætta af þráðlausum netum
Hún var nú ekki merkileg aðferðin sem Albert Gonzalez og félagar notuðu til að komast yfir þessa 41 milljón greiðslukortanúmera. Þeir skönnuðu þráðlaus net fyrirtækjanna og komu fyrir njósnahugbúnaði (spy-ware) sem skannaði eftir kortanúmerum í þeirri umferð sem fór um þráðlausa netið. Þegar númer fannst var það sent á tilgreindar tölvur utan fyrirtækjanna um leið og upplýsingarnar voru sendar rétta boðleið.
Því miður þá eru þráðlaus net mjög víða illa eða ekkert varin. Flestir beinar (routerar) eru með þráðlausa eiginleika innbyggðan og það er hreinlega ekki hægt að taka hann úr sambandi. Eina leiðin til að loka fyrir þráðlausan aðgang er að setja inn kóðunarlykil. Vandinn er að fjölmargir notendur hafa ekki tæknilega þekkingu til að gera slíkt.
Nær allir notendur ADSL-tenginga nota beina til að tengja tölvuna sína við internetið. Beinirinn er þá bæði mótald og nettengibox (hub). Fyrir flesta er nógu flókið að setja græjurnar í samband, þó að ekki þurfi nú að hafa áhyggjur af því að setja inn kóðunarlykil og koma síðan á kóðuðu sambandi milli tölvunnar og beinans. Af þeim sökum er hægt að komast í internetsamband í gegnum tengingar nágranna mjög víða á landinu. Þegar menn eru búnir að ná sambandi við óvarða beina, þá er hægt að hlaða niður spy-ware eða öðrum ófögnuði.
Ástæðan fyrir því að þetta er ekki gert í meira mæli en raun ber vitni, er að það er almennt eftir litlu að slægjast. Flest heimilisumferð um internetið er bara flettingar á vefsíðum og mjög sjaldan fara einhverjar bitastæðar upplýsingar um netið. Í tilfelli T.J. Maxx (TJX) og Barnes & Noble, þá komust menn í gullkistu. Ég hef fjallað um mál TJX áður (sjá Kr. 2,4 milljarðar í skaðabætur vegna persónuverndarbrota) , en fyrirtækið hefur gert sátt við VISA og MasterCard vegna þessa máls og auk þess greitt himin háar sektir. Þær hæstu sem um getur í nokkru svona máli. Það er kannski kaldhæðni í þessu máli að peningarnir sem Gonzalez og félagar náðu að svíkja út voru bara brotabrot af þeirri upphæð sem TJX þurfti að punga út.
Nú eiga ALLIR sem taka við greiðslukortanúmer að uppfylla öryggisstaðalinn PCI DSS (sjá nánar PCI gagnaöryggisstaðallinn - kröfur um uppfyllingu og ISO 27002). Sumir þurfa að fara í úttekt, aðrir að fá vottun, en flestir þurfa bara að standast eigin skoðun. En ég ítreka ALLIR sem taka á móti, senda frá sér, vista eða vinna með greiðslukortanúmer þurfa að standast kröfur staðalsins. Þeir sem eru bara með posa hjá sér, þurfa að gæta þess að tengingin við færsluhirðinn sé þannig að hana sé ekki hægt að hlera og að þeirra hluti kvittana sé varinn fyrir óviðkomandi aðgangi og misnotkun. Aðrir þurfa að fara í flóknari aðgerðir. Nánari upplýsingar er hægt að fá með því að senda tölvupóst á oryggi@internet.is.
|
Stálu milljónum greiðslukortanúmera |
| Tilkynna um óviðeigandi tengingu við frétt | |
RSSHeimsóknir
Flettingar
- Í dag (5.5.): 1
- Sl. sólarhring: 5
- Sl. viku: 43
- Frá upphafi: 1678226
Annað
- Innlit í dag: 1
- Innlit sl. viku: 41
- Gestir í dag: 1
- IP-tölur í dag: 1
Uppfært á 3 mín. fresti.
Skýringar
Eldri færslur
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
Tenglar
Upplýsingaöryggi og persónuvernd
- Betri ákvörðun ráðgjafarþjónusta Marinós G. Njálssonar
- CISA, CISM, COBIT, Val IT
- Staðlaráð Íslands
- Heimasíða Persónuverndar
Hagsmunabarátta
- Hagsmunasamtök heimilanna
- Hugmyndir að úrræðum fyrir almenning
- Færa þarf höfuðstól lánanna niður
- Fólk þarf leið út úr fjárhagsvandanum
- Innlegg í naflaskoðun og endurreisn
- Er raunhæft að afnema verðtrygginguna eða setja henni skorður?
- Aðgerðaráætlun fyrir Ísland
- Hinn almenni borgari á að blæða
- Leið ríkisstjórnarinnar er röng
- Innantómar aðgerðir til stuðnings heimilunum
- Tillögur talsmanns neytenda
- Á hverju munu Íslendingar lifa?
- Verðbólga sem hefði geta orðið
- Aðgerða þörf strax - Tillaga að aðgerðahópum
- Mikilvægast að varðveita störfin
- Hvar setjum við varnarlínuna?
- 385 milljarða til bankanna og reikningurinn til heimilanna
- 2009 gengið í garð, ár endurreisnar, en hvernig endurreisn viljum við?
- Jöklabréf, erlend lán og vaxtaskiptasamningar
Færsluflokkar
- Áhættustjórnun
- Bloggar
- Dægurmál
- Efnahagsmál
- Endurreisn
- Ferðalög
- Ferðaþjónusta
- Heimspeki
- HRUNIÐ
- Icesave
- Íbúðalánasjóður
- Íþróttir
- Lánamál
- Leiðsögn
- Lífeyrissjóðir
- Lífspeki
- Menning og listir
- Menntun og skóli
- Neytendavernd
- Persónuvernd
- Skuldamál heimilanna
- Snjóhengjur
- Stjórnmál og samfélag
- Trúmál og siðferði
- Tölvur og tækni
- Umhverfismál
- Upplýsingaöryggi
- Utanríkismál/alþjóðamál
- Viðskipti og fjármál
- Vinir og fjölskylda
- Vísindi og fræði
Athugasemdir
já þetta er nú svolítið fróðlegt fyrir þá sem ekkert til þekkja í þessum hraða tölvuheimi.
En ótrúlegar fjárhæðir sem er verið að tala um þarna, heilu miljarðarnir sem fara í þetta bull í skaðabótum og öllu öðru sem til fellur hjá blessuðum Bandaríkjunum.
Mann myndi nú ætla að svona stór fyrirtæki ráði sérstaka aðila til að sjá um öryggismál eins og þessi.
Annað hvort er því ekki sinnt eða að viðkomandi aðilar sem eiga að sjá um málið eru ekki að nenna að vinna vinnuna sían eða bara óhæfir í sinni vinnu.
Allavega er það dýrt sinnuleysi hvernig sem á það er litið.
Riddarinn , 6.8.2008 kl. 13:54
Upplýsingaöryggið er í eðli sínu vanmetið og svo er fólk bara þannig að það fer ekkert að gera í hlutunum fyrr en þær hafa tapað ómetanlegum verðmætum. Fólk áttar sig á hversu viðkæmt þetta er þegar fyrsti harði diskurinn klikkar, eða það fer að hægja skuggalega á allri netvinnslu í tölvunni.
Bestu kveðjur,
Lead Auditor Hrannar
Hrannar Baldursson, 6.8.2008 kl. 16:44
Það er nú ákveðin kaldhæðni í þessu öllu, að í gær (sama dag og ákærur voru birtar) auglýsti TJX eftir IT Compliance Auditor. Batnandi mönnum er best að lifa.
Marinó G. Njálsson, 7.8.2008 kl. 11:24
Bæta við athugasemd [Innskráning]
Ekki er lengur hægt að skrifa athugasemdir við færsluna, þar sem tímamörk á athugasemdir eru liðin.