Hætta af þráðlausum netum

Birt á Moggablogginu 6.8.2008 - Efnisflokkur: Upplýsingaöryggi, netöryggi og persónuvernd

Hún var nú ekki merkileg aðferðin sem Albert Gonzalez og félagar notuðu til að komast yfir þessa 41 milljón greiðslukortanúmera.  Þeir skönnuðu þráðlaus net fyrirtækjanna og komu fyrir njósnahugbúnaði (spy-ware) sem skannaði eftir kortanúmerum í þeirri umferð sem fór um þráðlausa netið.  Þegar númer fannst var það sent á tilgreindar tölvur utan fyrirtækjanna um leið og upplýsingarnar voru sendar rétta boðleið.

Því miður þá eru þráðlaus net mjög víða illa eða ekkert varin.  Flestir beinar (routerar) eru með þráðlausa eiginleika innbyggðan og það er hreinlega ekki hægt að taka hann úr sambandi.  Eina leiðin til að loka fyrir þráðlausan aðgang er að setja inn kóðunarlykil.  Vandinn er að fjölmargir notendur hafa ekki tæknilega þekkingu til að gera slíkt. 

Nær allir notendur ADSL-tenginga nota beina til að tengja tölvuna sína við internetið.  Beinirinn er þá bæði mótald og nettengibox (hub).  Fyrir flesta er nógu flókið að setja græjurnar í samband, þó að ekki þurfi nú að hafa áhyggjur af því að setja inn kóðunarlykil og koma síðan á kóðuðu sambandi milli tölvunnar og beinans.  Af þeim sökum er hægt að komast í internetsamband í gegnum tengingar nágranna mjög víða á landinu.  Þegar menn eru búnir að ná sambandi við óvarða beina, þá er hægt að hlaða niður spy-ware eða öðrum ófögnuði. 

Ástæðan fyrir því að þetta er ekki gert í meira mæli en raun ber vitni, er að það er almennt eftir litlu að slægjast. Flest heimilisumferð um internetið er bara flettingar á vefsíðum og mjög sjaldan fara einhverjar bitastæðar upplýsingar um netið.  Í tilfelli T.J. Maxx (TJX) og Barnes & Noble, þá komust menn í gullkistu.  Ég hef fjallað um mál TJX áður (sjá Kr. 2,4 milljarðar í skaðabætur vegna persónuverndarbrota) , en fyrirtækið hefur gert sátt við VISA og MasterCard vegna þessa máls og auk þess greitt himin háar sektir.  Þær hæstu sem um getur í nokkru svona máli.  Það er kannski kaldhæðni í þessu máli að peningarnir sem Gonzalez og félagar náðu að svíkja út voru bara brotabrot af þeirri upphæð sem TJX þurfti að punga út.

Nú eiga ALLIR sem taka við greiðslukortanúmer að uppfylla öryggisstaðalinn PCI DSS (sjá nánar PCI gagnaöryggisstaðallinn - kröfur um uppfyllingu og ISO 27002).  Sumir þurfa að fara í úttekt, aðrir að fá vottun, en flestir þurfa bara að standast eigin skoðun.  En ég ítreka ALLIR sem taka á móti, senda frá sér, vista eða vinna með greiðslukortanúmer þurfa að standast kröfur staðalsins. Þeir sem eru bara með posa hjá sér, þurfa að gæta þess að tengingin við færsluhirðinn sé þannig að hana sé ekki hægt að hlera og að þeirra hluti kvittana sé varinn fyrir óviðkomandi aðgangi og misnotkun.  Aðrir þurfa að fara í flóknari aðgerðir.  Nánari upplýsingar er hægt að fá með því að senda tölvupóst á oryggi@internet.is.

Færslan var skrifuð við fréttina: Stálu milljónum greiðslukortanúmera