4.5.2011 | 02:03
Sony uppvíst að brotum á PCI DSS öryggisreglum - Notendur vakti kortafærslur og netsöluaðilar hafi varann á sér
Miklar fréttir berast frá Sony raftækjaframleiðandanum. Yfir 100 milljónum notendaupplýsingum var stolið við innbrot inn á Sony Playstation Network. Það sem verra er, að tugir milljóna kreditkortupplýsinga var stolið og þegar er orðið vart við að kort hafi verið misnotuð.
"Unglingar" um allan heim fengu áfall, enda átti PlayStation Network að vera alveg öruggt. Annað hefur komið á daginn og þeir hafa verið vaktir til meðvitundar um að svo bregðast krosstré sem önnur tré.
Hvernig getur það gerst að fyrirtæki sem á að vera búið að innleiða PCI DSS öryggisstaðalinn (Payment Card Industry Data Security Standard) var annað hvort ekki búið að því eða gerði það svo illa að það var engin fyrirstaða fyrir hakkara? Öryggissérfræðingar um allan heim eru að velta þessu fyrir sér. Vissulega hefur komið í ljós, að notendaaðgangur kerfisstjóra var notaður til illvirkisins, en það á ekki að skipta máli. Sé PCI DSS rétt innleitt, þá á kerfisstjóri einmitt EKKI að hafa aðgang að kortaupplýsingum. PCI DSS reglurnar kveða alveg skýrt á um að þeir einir eiga að hafa aðgang að korta- og korthafagögnum sem þurfa þess starfs síns vegna. Kerfisstjórar hafa ALDREI þörf á því að hafa slíkan aðgang. ALDREI. Ástæðan er hættan sem felst í því að aðili með víðtæk réttindi hafi aðgang að viðkvæmum upplýsingum.
Ég hef margoft reynt að vekja athygli á PCI DSS öryggisreglunum, þar sem ég held að staða þeirra mála sé langt frá því að vera fullnægjandi hér á landi. Eitt stórt innbort hefur á sér stað hér á landi og er talið að það hafi snert jafnvel nokkra tugi þúsunda korta, þó ekki hafi orðið vart við misnotkun nema takmarkaðs fjölda. Auk þess hefur umtalsverður fjöldi íslenskra korta orðið "fórnarlömb" stórinnbrota hjá erlendum aðilum. Ég hef ekki upplýsingar um hve mörg íslensk kort voru í safninu sem stolið var frá Sony, en er nokkuð viss um að þau voru talsvert mörg.
Mér dettur ekki í hug að ráðleggja mönnum frá því að nota greiðslukort í netviðskiptum. Hættan á misnotkun þeirra í slíkum viðskiptum er hvorki meiri né minni en notkun greiðslukorta erlendis. Hættan er heldur ekki meiri en að láta stela af sér seðlaveski fullu af peningum. Hættur leynast alls staðar. Jafnvel hin traustverðustu fyrirtæki lenda í innbrotum.
Eina sem notendur greiðslukorta geta gert og eiga alltaf að gera, er að fylgjast með færslum sem framkvæmdar eru á kortið sitt. Flestir, ef ekki allir, bankar bjóða upp á að fólk fái skilaboð ef kort er notað út frá gefnum forsendum. Þannig væri hægt að fá tölvupóst, ef kort er notað í útlöndum eða upphæð færslu er yfir tiltekinni upphæð. Síðan hafa kortafyrirtækin í einhverjum tilfellum greiningarbúnað sem lætur vita um grunsamlegar færslur og gefur jafnvel ekki út heimild, ef kort er notað í mörgum löndum á stuttum tíma. Slíkt virkar stundum, en ekki í önnur skipti.
Þó svo að kortaupplýsingum hafi verið stolið í þessu innbroti hjá Sony, þá er ekki víst að nokkurn tímann komi til þess að kort verði misnotað. Það getur líka gerst á morgun eða eftir eitt eða tvö ár. Viðskipti með kortaupplýsingar eru mjög mikil og oft eru kort "seld" í knippum. Almennt verð, samkvæmt því sem hægt er að finna á netinu, er 2 - 5 USD á hvert kort. Algengast er að kaupendur kaupi knippi með 20 -50 kort, nema þeir ætli að vera "endursöluaðilar", þá kaupa þeir þúsundir ef ekki tugþúsundir númera. Hakkararnir sem stela kortaupplýsingum í miklu magni nota þær nær aldrei sjálfir. Mun arðsamara er að selja þær áfram.
Eftir að kortaupplýsingar eru komnar í hendur þess, sem ætlar að misnota þær, þá er algengast að fyrst sé athugað hvort kortið sé í lagi. Tekin eru út lág upphæð, t.d. á bensínstöð eða sjoppu. Heppnist sú úttekt, þá er stærri úttekt reynd og gjarnan keypt vara sem auðvelt er að koma í verð.
Á mínu heimili höfum við þrisvar lent í því að kortaupplýsingum hafi verið stolið og þær misnotaðar. Í fyrsta skiptið í Englandi árið 2000, þá á Spáni árið 2002 og síðasta skiptið í Bandaríkjunum árið 2009. Þjófarnir á Spáni gengu frekar hreint til verks og tóku strax út háa upphæð í bílavarahlutum. Þjófarnir í England og í Bandaríkjunum keyptu fyrst fyrir lága upphæð. Þeir í Englandi notuðu kortaupplýsingarnar bara einu sinni áður en ég uppgötvaði hvað var í gangi og lokaði kortinu. Um var að ræða kortalaus viðskipti, þ.e. þar sem eingöngu kortanúmerið var gefið upp í gegn um síma. Þjófarnir í Bandaríkjunum tæmdu aftur kortið á nokkrum mínútum eftir að í ljós kom að það var virkt. Þeir prófuðu það fyrst í New Jersey, en tæmdu það í Kaliforníu. Augljóst var að þeir höfðu vitorðsmann í versluninni sem þeir fóru í, þar sem teknir voru tvisvar út 800 USD, en þegar það var reynt í þriðja sinn fékkst ekki heimild. Var upphæðin þá lækkuð uns tókst að bæta við 100 USD. Alls tók þetta 15 mínútur, þ.e. frá því að fyrsta færslan var gerð í New Jersey og þar til búið var að tæma kortið í Kaliforníu. Svindlið uppgötvaðist vegna þess að ekki fékkst heimild á kortið þegar átti að nota það nokkrum dögum síðar.
Hvorki við né kortafyrirtækið biðum skaða af þessu og féll allt tjónið á söluaðilann sem tók við kortinu. Þannig er það oftast. Söluaðilar verða að vera á varðbergi gagnvart hugsanlegu svindli. Fái þeir of góða pöntun frá útlöndum, þá er því miður oft maðkur í mysunni. Þetta hafa mjög margir ferðaþjónustuaðilar orðið varir við. Grundvallarregla er að endurgreiða aldrei fé inn á annað kort en greitt var með og helst ekki fyrr en staðfest er að upprunalega greiðslan hafi farið í gegn. Hafi hún ekki farið í gegn, þá er ekki þörf á endurgreiðslu. Annað er að sannreyna eins og hægt er að kort sé gott og gilt sem gefið er upp í netviðskiptum, sérstaklega ef kaupandinn er frá vafasömum svæðum. Mestu umsvif svindlara eru í gömlu Sovétríkjunum og þá sérstaklega Úkraínu, Hvíta-Rússlandi og Rússlandi. Óvænt pöntun í dýra vöru í netverslun frá þessum löndum ber að taka með varúð. Einnig komi hún frá löndum Mið-Ameríku og í Karabíahafi. Ekki er þar með sagt að svindlið geti ekki átt sér upptök í öðrum löndum, en þetta eru helstu sökudólgarnir í netverslun. Ferðaþjónustuaðilar hafa aftru lent í svindlurum frá Bandaríkjunum og Bretlandi, enda má búast við því að ferðamenn komi frá slíkum löndum.
PCI DSS staðlinum er ætlað að draga úr líkum á því (ekki koma í veg fyrir) að kortaupplýsingar komist í rangar hendur, en þá verða söluaðilar líka að fara eftir kröfum staðalsins. Lítið gagn er að hafa reglur, ef menn hunsa þær eða telja allt sé í lagi hjá þeim án þess leita álits sérfræðinga. Hér á landi er enginn aðili (að ég best veit) sem vottar innleiðingu á PCI DSS og er það fyrst og fremst vegna þeirra trygginga sem slíkir aðilar þurfa að leggja fram. Fjölmargir aðilar veita ráðgjöf og skönnun. Greiðsluveitan hf. (áður Fjölgreiðslumiðlun hf. /FGM) á að hafa eftirlit með stöðu PCI DSS innleiðinga hér á landi. Ef farið er inn á vef fyrirtækisins www.greidsluveitan.is, þá er vísað þaðan yfir á vefinn www.kortaoryggi.is. Sé sá vefur skoðaður, þá kemur í ljós að honum hefur ekki verið haldið nógu vel við. T.d. er vísað í gamla (og úrelta) útgáfu af staðlinum í skjalasafni og er fólk því bent á opinberan vef PCI Security Standards Council til þess að fá nýjustu upplýsingar.
Nú, ég vil síðan taka fram, að Betri ákvörðun, ráðgjafaþjónusta Marinós G. Njálssonar, veitir ráðgjöf í tengslum við kortaöryggi, bæði hvað varðar PCI DSS staðalinn og síðan almennt öryggi upplýsinga. Fyrirspurnum má beina til mín á tölvupóstfangið oryggi@internet.is eða hafa samband símleiðis í síma 898-6019.
25 milljónir fleiri notendur í hættu | |
Tilkynna um óviðeigandi tengingu við frétt |
Heimsóknir
Flettingar
- Í dag (21.11.): 4
- Sl. sólarhring: 6
- Sl. viku: 38
- Frá upphafi: 1680019
Annað
- Innlit í dag: 4
- Innlit sl. viku: 34
- Gestir í dag: 4
- IP-tölur í dag: 4
Uppfært á 3 mín. fresti.
Skýringar
Eldri færslur
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
Tenglar
Upplýsingaöryggi og persónuvernd
- Betri ákvörðun ráðgjafarþjónusta Marinós G. Njálssonar
- CISA, CISM, COBIT, Val IT
- Staðlaráð Íslands
- Heimasíða Persónuverndar
Hagsmunabarátta
- Hagsmunasamtök heimilanna
- Hugmyndir að úrræðum fyrir almenning
- Færa þarf höfuðstól lánanna niður
- Fólk þarf leið út úr fjárhagsvandanum
- Innlegg í naflaskoðun og endurreisn
- Er raunhæft að afnema verðtrygginguna eða setja henni skorður?
- Aðgerðaráætlun fyrir Ísland
- Hinn almenni borgari á að blæða
- Leið ríkisstjórnarinnar er röng
- Innantómar aðgerðir til stuðnings heimilunum
- Tillögur talsmanns neytenda
- Á hverju munu Íslendingar lifa?
- Verðbólga sem hefði geta orðið
- Aðgerða þörf strax - Tillaga að aðgerðahópum
- Mikilvægast að varðveita störfin
- Hvar setjum við varnarlínuna?
- 385 milljarða til bankanna og reikningurinn til heimilanna
- 2009 gengið í garð, ár endurreisnar, en hvernig endurreisn viljum við?
- Jöklabréf, erlend lán og vaxtaskiptasamningar
Færsluflokkar
- Áhættustjórnun
- Bloggar
- Dægurmál
- Efnahagsmál
- Endurreisn
- Ferðalög
- Ferðaþjónusta
- Heimspeki
- HRUNIÐ
- Icesave
- Íbúðalánasjóður
- Íþróttir
- Lánamál
- Leiðsögn
- Lífeyrissjóðir
- Lífspeki
- Menning og listir
- Menntun og skóli
- Neytendavernd
- Persónuvernd
- Skuldamál heimilanna
- Snjóhengjur
- Stjórnmál og samfélag
- Trúmál og siðferði
- Tölvur og tækni
- Umhverfismál
- Upplýsingaöryggi
- Utanríkismál/alþjóðamál
- Viðskipti og fjármál
- Vinir og fjölskylda
- Vísindi og fræði
Athugasemdir
Það er hægt að vera með fyrirfram greitt kreditkort sem hentar einmitt í svona netviðskipti. Um leið og það er gjaldfært þá er sent SMS til eiganda. Þannig er hægt að leggja inná kortið nákvæmlega það sem má gjaldfæra það hverju sinni.
Sumarliði Einar Daðason, 4.5.2011 kl. 16:44
Það er rétt, Sumarliði. Einnig er hægt að greiða svona áskrift í gegn um greiðslusíður, eins og PayPal, NetPurse og aðra slíka. Málið er að þessir aðilar geta orðið fyrir árás eins og allir aðrir.
Marinó G. Njálsson, 4.5.2011 kl. 16:51
PCI DSS kröfurnar hafa verið til staðar í langan tíma og í raun alltof lítið verið fylgt eftir hérlendis. Þar sem þú nefnir fyrirtæki í greininni þá vil ég benda á að fyrirtækið mitt, Kortaþjónustan hf. hefur verið PCI-DSS vottað á hverju ári af til þess bærum aðilum frá árinu 2005.
Það sem þarf að taka inn í þessa umræðu hérlendis er að ekki bara seljendur/kaupmenn falla undir þennan staðal heldur þurfa þjónustuveitendur einnig að uppfylla þessar öryggiskröfur. Á meðan þjónustuveitendur geta ekki uppfyllt PCI-DSS öryggiskröfur þá eiga þeir erfitt með að krefjast þess af seljendum.
Það er til umhugsunar að Greiðsluveitan hf. (áður FGM hf.), Reiknistofa Bankanna hf., Valitor hf. og Borgun hf., skuli ekki enn vera með PCI-DSS vottun þrátt fyrir að meðhöndla stærstan hluta af kortafærslum á íslenska markaðnum. Jafnvel greiðslulausnir þeirra á internetinu sem þeir kynna sem öruggar eru ekki PCI-DSS vottaðar. Ef PCI-DSS stöðlum er fylgt í hvívetna er það í raun formsatriði að fá PCI-DSS vottun. Það er algjört lágmark að stóru aðilarnir á markaðnum sýni fordæmi og fari að kröfum alþjóðlegu kortafyrirtækjanna, þó löngu fyrr hefði verið.
Gunnar Már Gunnarsson (IP-tala skráð) 4.5.2011 kl. 18:12
Gunnar Már, mér finnst þú heldur draga úr mikilvægi PCI DSS að segja að það sé nánast formsatriði að fá vottun. Ég held þú sért að rugla saman að standast sjálfsmat og hins vegar að fá vottun.
Mér finnst þú líka rugla saman hugtökum hvað varðar greiðslulausnirnar. Greiðslulausnir þurfa að standast PA-DSS kröfur, ekki PCI DSS. Mér vitanlega uppfylla allar nýlegar greiðslulausnir fyrirtækjanna PA-DSS, þó eldri lausnir geri það ekki. Á þessu kunna að vera undantekningar. Ekki má setja nýjar greiðslulausnir á markað án þess að þær standist PA-DSS. Þetta nær ekki til eldri lausna, hver svo sem ástæðan er fyrir því.
Kröfur á seljendur hafa verið til staðar frá 2006, en fresturinn var sífellt framlengdur hér á landi. Kröfur á færsluhirða og útgefendur koma til framkvæmda í haust, en ljúka þarf vottun á þessu ári. Vottun segir ekki allt um hvort allt sé í lagi, bara að við úttekt hafi ekkert komið upp. Úttekt er byggð á sýnishornum af starfsemi. Mörg dæmi eru um að PCI DSS vottuð fyrirtæki hafi orðið fórnarlömb misyndismanna, þar sem úttekt dróg ekki fram veikleikana sem voru til staðar eða fyrirtækin fylgdu ekki reglunum í reynd sem þau þóttust við vottun vera að vinna eftir.
Marinó G. Njálsson, 4.5.2011 kl. 19:01
Held að Gunnar hafi ekki verið að gera lítið úr PCI DSS staðlinum. Hann var að segja þegar unnið er eftir Staðlinum þá er formsatriði að fá vottun.
Steinþor (IP-tala skráð) 4.5.2011 kl. 20:03
Steinþór, þetta hljómar samt eins og það sé nánast ekkert mál að uppfylla kröfur staðalsins. Svo er ekki og mjög mörg fyrirtæki eiga greinilega í mesta basli með það öryggið hjá sé þrátt fyrir vottun. Mér dettur t.d. ekki annað í hug, en að Sony Playstation Network hafi verið vottað fyrirtæki. Samt óðu menn þar inn án mikilla vandræða að því virðist.
Það á ekki að vera formsatriði að fá vottun, hversu vel sem menn eru undirbúnir. Hafi slíkt gerst, þá leyfi ég mér að efast um gæði vottunarúttektarinnar.
Marinó G. Njálsson, 4.5.2011 kl. 20:51
Sæll Marinó, mikilvægið á öryggismálum er augljóst, það kemur vel fram í þinni grein og ég vil alls ekki draga úr því, þvert á móti. Ég skrifaði mjög skýrt ef PCI-DSS stöðlum er fylgt í hvívetna þá er það í raun formsatriði að fá vottun.
Orðið formsatriði var kannski ekki vel til valið en það sem ég á við er að ef þú ert að fara eftir öryggisstaðlinum að öllu leyti þá geturðu verið nokkuð viss um að öryggið hjá þér er í góðu horfi og þú getur farið í vottunarferlið og staðist það. Það er ekki auðvelt mál að fylgja PCI-DSS stöðlum í hvívetna. Jafnframt má geta þess að það er stórt mál að koma fyrirtæki í þá stöðu að standast PCI-DSS kröfur og annað og ekki minna mál að halda fyrirtækinu PCI-DSS samhæfðu. Það vita þeir sem þekkja til.
Þessu er við að bæta að ég er ekki að rugla saman hugtökum. Það sem ég skrifaði á við um PCI-DSS. PA-DSS vottun er ætluð hugbúnaðarframleiðendum sem selja búnað til annars aðila. PA-DSS vottun á hugbúnaði skýtur þjónustuveitendum sem reka greiðslukortaþjónustur ekki undan þeirri ábyrgð að fá PCI-DSS vottun sbr. PA-DSS staðalinn "Use of a PA-DSS compliant application by itself does not make an entity PCI DSS compliant, since that application must be implemented into a PCI DSS compliant environment...".
Samkvæmt mínum upplýsingum þá eiga þjónustuveitendur (e. Service Providers) á borð við Greiðsluveituna hf. og Reiknistofu Bankanna hf. að uppfylla PCI-DSS staðalinn til jafns við seljendur frá 1. apríl 2009 og miðað við umfang þeirra í kortaviðskiptum að vera vottaðir af til þess bærum aðila.
Ég vona svo sannarlega að menn snúi sér til þín og fái ráðgjöf varðandi öryggismál því miðað við það sem maður hefur séð úti á markaðnum þá er full þörf á því.
Gunnar Már Gunnarsson (IP-tala skráð) 5.5.2011 kl. 10:38
Í töluðu máli þykir það gott ef 60% skilst þegar verið er útskýra eitthvað flókið. Í tölvupóstum og bloggathugasemdum fellur þetta niður fyrir 50%. Þið hljótið að fyrirgefa hvor öðrum. :)
Ég hef einmitt unnið við forritun og innleiðingu greiðslukortlausna Kortaþjónustunnar samkvæmt PCI stöðlum og einnig komið nálægt þeim lausnum sem risarnir á markaðnum bjóða upp á. Ég get vottað að þarna er himinn og haf á milli, Borgun er til dæmis algjör risaeðla. Ef ég væri að stofna fyrirtæki væri Kortaþjónustan EINA fyrirtækið sem kæmi til greina að semja við um greiðslukortalausnir.
Hafi Sony verið með 100 milljón greiðslukortanúmer vistuð á netþjóni er það ekki bara stórfurðulegt, heldur beinlínis glæpsamlegt.
Þegar ég var að útfæra þetta tók það langan tíma því ég þurfti nánast að útlæra mig í dulkóðunarkerfinu á eldri kynslóð Windows. Verkkaupanum gramdist hversu tímafrekt það var og ekki leið á löngu áður en ég hóf leit að nýju starfi. Eftir á að hyggja er augljóst hvers vegna, aðrir forritarar voru miklu fljótari að þess með því að svindla á öryggisstöðlunum. Þar með var ég ekki samkeppnishæfur í augum yfirmannsins, sem vissi einfaldlega ekki betur (non-technical manager).
Guðmundur Ásgeirsson, 6.5.2011 kl. 15:17
Samkvæmt frétt á PCW í dag þá eru hakkarar ennþá með fullan aðgang að netþjónum Sony og hóta að valda enn meiri skaða.
Sjá nánar: http://www.pcworld.com/article/227297/sony_faces_weekend_hack_attack_report_claims.html#tk.fb_pcw
Sumarliði Einar Daðason, 6.5.2011 kl. 16:34
Fram kemur í frétt PC World að kortaupplýsingar sem stolið var, hafi verið dulkóðaðar. Það breytir samt ekki að brotið var gegn PCI DSS, þar sem kerfisstjórar höfðu aðgang að gögnum.
Á sínum tíma, þegar ég vann hjá Íslenskri erfðagreiningu setti fyrirtækið upp fyrirkomulag vegna veitingu aðgangs að gögnum. Það fól í sér að gagnaaðgangur var eingöngu veittur til almennra notenda. Þegar slíkur aðgangur var veittur, þá sá sérstakur aðili (ekki kerfisstjóri) um að stofna aðganginn, ábyrgðaraðili upplýsinganna sá um að veita aðganginn og þriðji aðili sá um að virkja aðganginn. Með þessu átti að koma í veg fyrir að einn aðili gæti opnað fyrir aðgang sem ekki átti að vera opið fyrir.
Marinó G. Njálsson, 6.5.2011 kl. 17:11
Númer 1: það voru 10 eða 11 miljónir kort
2: það eru til 20,000 accountar
3: það kom í ljós að öryggis kerfið apache hafði ekki verið uppfært í nokkur ár og þannig hökkuðu þeir sig inn ekki með neinu master accounti
4: þetta voru kortin sem voru vistuð við accountin en þú getur valið um það
5:kort renna út og þannig væri vit fyrir því að visa mundi breyta einhverjum númerum við endurnýun á kortinu
Ari (IP-tala skráð) 6.5.2011 kl. 22:51
Bæta við athugasemd [Innskráning]
Ekki er lengur hægt að skrifa athugasemdir við færsluna, þar sem tímamörk á athugasemdir eru liðin.