Leita í fréttum mbl.is

Hætta af þráðlausum netum

Hún var nú ekki merkileg aðferðin sem Albert Gonzalez og félagar notuðu til að komast yfir þessa 41 milljón greiðslukortanúmera.  Þeir skönnuðu þráðlaus net fyrirtækjanna og komu fyrir njósnahugbúnaði (spy-ware) sem skannaði eftir kortanúmerum í þeirri umferð sem fór um þráðlausa netið.  Þegar númer fannst var það sent á tilgreindar tölvur utan fyrirtækjanna um leið og upplýsingarnar voru sendar rétta boðleið.

Því miður þá eru þráðlaus net mjög víða illa eða ekkert varin.  Flestir beinar (routerar) eru með þráðlausa eiginleika innbyggðan og það er hreinlega ekki hægt að taka hann úr sambandi.  Eina leiðin til að loka fyrir þráðlausan aðgang er að setja inn kóðunarlykil.  Vandinn er að fjölmargir notendur hafa ekki tæknilega þekkingu til að gera slíkt. 

Nær allir notendur ADSL-tenginga nota beina til að tengja tölvuna sína við internetið.  Beinirinn er þá bæði mótald og nettengibox (hub).  Fyrir flesta er nógu flókið að setja græjurnar í samband, þó að ekki þurfi nú að hafa áhyggjur af því að setja inn kóðunarlykil og koma síðan á kóðuðu sambandi milli tölvunnar og beinans.  Af þeim sökum er hægt að komast í internetsamband í gegnum tengingar nágranna mjög víða á landinu.  Þegar menn eru búnir að ná sambandi við óvarða beina, þá er hægt að hlaða niður spy-ware eða öðrum ófögnuði. 

Ástæðan fyrir því að þetta er ekki gert í meira mæli en raun ber vitni, er að það er almennt eftir litlu að slægjast. Flest heimilisumferð um internetið er bara flettingar á vefsíðum og mjög sjaldan fara einhverjar bitastæðar upplýsingar um netið.  Í tilfelli T.J. Maxx (TJX) og Barnes & Noble, þá komust menn í gullkistu.  Ég hef fjallað um mál TJX áður (sjá Kr. 2,4 milljarðar í skaðabætur vegna persónuverndarbrota) , en fyrirtækið hefur gert sátt við VISA og MasterCard vegna þessa máls og auk þess greitt himin háar sektir.  Þær hæstu sem um getur í nokkru svona máli.  Það er kannski kaldhæðni í þessu máli að peningarnir sem Gonzalez og félagar náðu að svíkja út voru bara brotabrot af þeirri upphæð sem TJX þurfti að punga út.

Nú eiga ALLIR sem taka við greiðslukortanúmer að uppfylla öryggisstaðalinn PCI DSS (sjá nánar PCI gagnaöryggisstaðallinn - kröfur um uppfyllingu og ISO 27002).  Sumir þurfa að fara í úttekt, aðrir að fá vottun, en flestir þurfa bara að standast eigin skoðun.  En ég ítreka ALLIR sem taka á móti, senda frá sér, vista eða vinna með greiðslukortanúmer þurfa að standast kröfur staðalsins. Þeir sem eru bara með posa hjá sér, þurfa að gæta þess að tengingin við færsluhirðinn sé þannig að hana sé ekki hægt að hlera og að þeirra hluti kvittana sé varinn fyrir óviðkomandi aðgangi og misnotkun.  Aðrir þurfa að fara í flóknari aðgerðir.  Nánari upplýsingar er hægt að fá með því að senda tölvupóst á oryggi@internet.is.


mbl.is Stálu milljónum greiðslukortanúmera
Tilkynna um óviðeigandi tengingu við frétt

« Síðasta færsla | Næsta færsla »

Athugasemdir

1 Smámynd: Riddarinn

já þetta er nú svolítið fróðlegt fyrir þá sem ekkert til þekkja í þessum hraða tölvuheimi.

En ótrúlegar fjárhæðir sem er verið að tala um þarna, heilu miljarðarnir sem fara í þetta bull í skaðabótum og öllu öðru sem til fellur hjá blessuðum Bandaríkjunum.

 Mann myndi nú ætla að svona stór fyrirtæki ráði sérstaka aðila til að sjá um öryggismál eins og þessi.

Annað hvort er því ekki sinnt eða að viðkomandi aðilar sem eiga að sjá um málið eru ekki að nenna að vinna vinnuna sían eða bara óhæfir í sinni vinnu.

Allavega er það dýrt sinnuleysi hvernig sem á það er litið.

Riddarinn , 6.8.2008 kl. 13:54

2 Smámynd: Hrannar Baldursson

Upplýsingaöryggið er í eðli sínu vanmetið og svo er fólk bara þannig að það fer ekkert að gera í hlutunum fyrr en þær hafa tapað ómetanlegum verðmætum. Fólk áttar sig á hversu viðkæmt þetta er þegar fyrsti harði diskurinn klikkar, eða það fer að hægja skuggalega á allri netvinnslu í tölvunni.

Bestu kveðjur,

Lead Auditor Hrannar

Hrannar Baldursson, 6.8.2008 kl. 16:44

3 Smámynd: Marinó G. Njálsson

Það er nú ákveðin kaldhæðni í þessu öllu, að í gær (sama dag og ákærur voru birtar) auglýsti TJX eftir IT Compliance Auditor.  Batnandi mönnum er best að lifa.

Marinó G. Njálsson, 7.8.2008 kl. 11:24

Bæta við athugasemd

Ekki er lengur hægt að skrifa athugasemdir við færsluna, þar sem tímamörk á athugasemdir eru liðin.

Höfundur

Marinó G. Njálsson
Marinó G. Njálsson
Upplýsingaöryggi og persónuvernd eru mínar ær og kýr, þó ég blaðri um allt og ekkert hér á blogginu. Er í Hagsmunasamtökum heimilanna og berst fyrir réttlæti fyrir heimili í landinu.  Loks er ég faggiltur leiðsögumaður.  Netfangið mitt er mgn@islandia.is og netfang fyrirtækisins oryggi@internet.is.

Heimsóknir

Flettingar

  • Í dag (23.12.): 1
  • Sl. sólarhring: 246
  • Sl. viku: 425
  • Frá upphafi: 1680811

Annað

  • Innlit í dag: 1
  • Innlit sl. viku: 39
  • Gestir í dag: 1
  • IP-tölur í dag: 1

Uppfært á 3 mín. fresti.
Skýringar

Des. 2024
S M Þ M F F L
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        

Innskráning

Ath. Vinsamlegast kveikið á Javascript til að hefja innskráningu.

Hafðu samband