Ads 468x60px

maanantai 31. lokakuuta 2011

XBRL ja tietoturva

Sain pyynnön kirjoittaa Tilintarkastus-lehteen artikkelin XBRL:stä. Syy tähän löytyy historiastani, olenhan sekaantunut XBRL:ään jo vuonna 2004 opinnäytetyöni yhteydessä. Artikkelia varten materiaalia kootessani koetin samalla myös miettiä XBRL:ää nykyisen substanssini, tietoturvan, valossa.

XBRL, mitä se on?

eXtensible Business Reporting Language (XBRL) on XML (eXtensible Markup Language)-pohjalta määritelty liiketoiminnan raportointikieli, jolla esitetään tietoa yhdenmukaisella, rakenteisella tavalla. XBRL:n huomattavin etu on se, että se on täysin standardimuotoista ja siten riippumaton käytettävästä laitteistoista sekä ohjelmistoista. Lisäksi XBRL-kielellä tuotetut dokumentit voidaan muotoilla jälkikäteen ja niitä voidaan hyödyntää koneellisesti eri tarkoituksiin.

XBRL:ssä tieto ja tiedon sisäiset suhteet löytyvät samasta tiedostosta, joka mahdollistaa tiedon rakenteen merkintään käytettyjen tunnisteiden avulla hahmottaa sekä tiedoston tietosisältö että metatieto. Tämä XML:n rakenteisuus ja metatiedon mukaanotto erottaa XBRL-raportoinnin paperisista toimintakertomuksista ja pdf-, tai html-muotoisista vuosikertomuksista ja tilinpäätöksistä. Perinteisten formaattien rakennetta tietokoneohjelmat eivät ymmärrä, vaikka se ihmissilmällä on selkeästi havaittavissa. Kauniisti tuloslaskelman eri erät ja rivit esittävä paperi on koneellisesti hankalaa lukea. Sen sijaan, yksinkertaistettuna XBRL tarkoittaa sitä, että XBRL-instanssitiedoston rivi "<liikevaihto>1000000</liikevaihto>" voidaan lukea ja sitä voidaan suoraan hyödyntää koneellisesti.

Mihin sitä käytetään?

XBRL siis helpottaa tilinpäätösinformaation sekä muun taloudellisen informaation raportointia, jakelua sekä käytettävyyttä. XBRL:n käyttöönoton myötä sijoittavat tulevat tasavertaisemmiksi yritysten informaation saatavuuden suhteen ja yritysten keskinäinen vertailtavuus paranee huomattavasti. Samalla myös yrityksen sidosryhmät saavat tarvitsemansa tiedon nopeammin, luotettavammin ja helpommin. Tiedonkäsittelyn automatisoituessa myös virheiden määrä ja niiden mahdollisuus vähenee, kun tietoa haetaan ja kopioidaan automatisoidusti. Tämä mahdollistaa myös automaattisen tietojen tarkastuksen. XBRL:n käytön tavoitteita ovatkin kustannussäästöt, tiedonkäsittelyn tehokkuuden sekä tiedon tarkkuuden ja luotettavuuden parantuminen. Aiemmin manuaalisesti suoritettua työtä voidaan automatisoida XBRL:n käytön myötä, esimerkkeinä tiedon analysointi, tiedon sähköinen jakelu, tiedon esittämistavat, osatietojen poiminta/tunnuslukujen laskenta ja yritysten väliset vertailut.

XBRL ja tietoturva?

XBRL:n tietoturvaan vaikuttavia ominaisuuksia voidaan miettiä sen käyttötarkoitusten mukaan. Luottamuksellisuus ei yleensä ottaen ole XBRL:n tärkeimpiä ominaisuuksia, koska XBRL on tarkoitettu julkisen ja julkaistavan tiedon käsittelyyn. XBRL:n sovellukset rakentuvatkin pitkälti XBRL:n hyvän käytettävyyden ja sen eheyden varaan. XBRL-sovellukset pyrkivät helpottamaan tiedon saatavuutta ja yhdenmukaisuutta (XBRL = joustava ja yhdenmukainen rakenteinen talouden raportointikieli). Kuitenkin, koska XBRL on rakenteinen kieli, on sen eheys ensiarvoisen tärkeää. Kaikki XML-johdannaiset kielet validoidaan aina erillistä tiedostoa (skeema tai DTD) vastaan, joka kertoo onko tiedoston rakenne eheä. Rakenteen lisäksi myös XBRL-tiedostojen tietosisältö voi korruptoitua. Erilaiset XBRL-sovellukset tarkistavat yleensä vain rakenteen eheyden eivätkä kiinnitä huomiota itse tietosisältöön. Toisin sanoen, täysin eheän näköinen XBRL-tiedosto voi sisältää väärää tai tiedonsiirron aikana väärennettyä tietoa. Tämän vuoksi XBRL on herkkä korruptoitumiselle ja sen suojaamiseen tulee kiinnittää erityistä huomiota. Tietoturvanäkökulmasta XBRL-tiedostoille on hyvä laskea tarkistussumma säilytettäessä ja tiedostot tulee siirtää ainoastaan salattua siirtotietä pitkin. XBRL itsessään ei siis huolehdi tietoturvasta muuten kuin rakenteen eheyden validoimisen kautta, joten sen turvallinen käyttö on verrattavissa sähköpostin turvalliseen käyttöön, muuttumattomuus ja luottamuksellisuus on siis varmistettava muilla kuin itse välineen keinoilla.

Tilintarkastuslehdessä julkaistaan pidempi artikkeli aiheesta joulukuussa 2011. Pro gradu-työni ”Tilinpäätösdokumenttien elektroninen mallintaminen XML-merkintäkielen avulla” on laadittu Oulun yliopiston kauppatieteelliselle tiedekunnalle vuonna 2004.

sunnuntai 30. lokakuuta 2011

Millainen on (hyvä) tietoturvapolitiikka?

Lueskelin tässä taannoin luonnosta Vahti-ohjeesta, jonka aiheena oli ”Johtajan tietoturvaopas”. Menemättä sen suuremmin itse ohjeen sisältöön jäin miettimään ohjeen lopussa ollutta esimerkin omaista tietoturvapolitiikan sisällysluetteloa (Vahti 3/2007). Henkilökohtaisen mielipiteeni tietoturvapolitiikasta on se, että se on liian pitkä.

Miksi tämä on sitten merkityksellistä? Mitä väliä sillä on, miten pitkä on organisaation tietoturvapolitiikka? Hmm, oikeastaan ei kai tietoturvapolitiikan pituudella olekaan mitään väliä. Kuitenkin, käytännössä kaikissa edes hieman hallinnollisen tietoturvan puolelle osuvissa auditoinnessa kysytään aina onko organisaatiolla tietoturvapolitiikkaa. Ja jos vastaus on kyllä; tässä on dokumentti, joka alkaa sanalla Tietoturvapolitiikka ja päättyy organisaation johtajan allekirjoitukseen, niin väitän tuon dokumentin kelpaavan poikkeuksetta tietoturvapolitiikaksi. Aivan sama mitä on edellä mainittujen sanojen välissä.

Entäpä jos käännämme tilanteen; kuinka auditoija suhtautuu tilanteeseen, jossa organisaatio ilmoittaa, ettei heillä ole tietoturvapolitiikkaa, mutta he esittävät dokumentin, jossa määritellään asiat X, Y ja Z ja joka on organisaation johtajan allekirjoittaman. Täyttääkö tämä dokumentti vaatimuksen siitä, että organisaatiolla tulee olla tietoturvapolitiikka? Tästä päästään siihen filosofiseen kysymykseen, että mikä on oikeastaan tietoturvapolitiikka ja mitä sen tulisi sisältää vähintään?

Minun filosofiani mukaan tietoturvapolitiikan (olipa se millä nimellä tahansa) tulisi täyttää seuraavat reunaehdot:
  1. Dokumentin tulee kuvata organisaation suhtautuminen tietoturvaan. Itse toivon, että löytäisin dokumentista seuraavat osa-alueet:
    • Johdanto: mikä on tämä dokumentti?
    • Päämäärät ja tavoitteet: mikä on tämän dokumentin tavoite?
    • Vastuut: Miten vastuut on jaettu?
    • Tietoturvatyön organisointi ja toteutuskeinot: Miten tietoturvatyö on priorisoitu ja organisoitu sekä miten riskejä hallitaan?
    • Tiedottaminen ja koulutus: Miten tietoturvaohjeistus hoidetaan ja miten se jalkautetaan henkilöstölle?
    • Seuranta ja ongelmatilanteet: Miten ohjeiden noudattamista seurataan ja miten puututaan rikkomuksiin?
  2. Dokumentin tulee olla allekirjoittanut organisaation tämän hetkinen toimiva johto
  3. Dokumentin tulisi olla julkinen. Vastaavalla tavalla kuin yrityksen mission ja vision tulisi olla julkisia, niin tulisi olla myös tietoturvapolitiikan.
  4. Dokumenttiin ei tule kirjoittaa mitään sellaista, mitä organisaation ylin johto ei ymmärrä. Tekniset nippelit eivät siis kuulu tietoturvapolitiikkaan vaan dokumenttiin halutaan suuret linjat.
  5. Dokumentin maksimi pituus on viisi sivua, mieluummin kuitenkin korkeintaan kolme sivua. (Emme voi olettaa, että rivityöntekijä jaksaa lukea ajatuksella tätä pidempiä dokumentteja.)
Edellä mainitut eivät ole ehdottomia totuuksia, vaan vain oma henkilökohtainen näkemykseni. Juhani Tammista lainatakseni, ”jokaisella valmentajalla on oma pelikirjansa, jonka mukaan hän johtaa joukkuettaan”. Samoin, organisaatiolla tulisi olla siis itsensä näköinen tietoturvapolitiikka, jonka tarkoituksena on olla organisaation tietoturvatyön ylin ohjenuora.

Jos sinulla on vahva mielipide siitä, mitä organisaation tietoturvapolitiikan tulisi vähintään sisältää, niin kommentoi kirjoitukseen. Lupaan koostaa kommenttien perusteella tietoturvapolitiikan, joka huomioi annetut kommentit!

Ystävällisin terveisin
Antti

keskiviikko 26. lokakuuta 2011

KPMG saavutti Microsoftin Gold -tason Software Asset Management (SAM) alueella

KPMG:n Management Consulting -yksikön IT-neuvontapalveluiden tarjonta laajentui syyskuussa, kun KPMG täytti Microsoftin Gold -tason vaatimukset Software Asset Management (SAM) –kompetenssissa, jonka avulla asiakasorganisaatiot voivat tehostaa lisenssiomaisuuden hallintaansa.

  • Lisenssit muodostavat merkittävän osan organisaatioiden IT-kuluista ja mahdollisesta lisenssiehtojen rikkomuksista aiheutuvat kulut ovan yleensä sitäkin suurempia.
  • Pahimmillaan organisoimaton ja päivittämätön ohjelmisto jättää yrityksen avoimeksi viruksille ja muille mahdollisille tietoturvaongelmille.
  • Tehokkaalla lisenssien hallinnalla ja hankinnalla säästöt voivat olla merkittäviä.

KPMG:n SAM-palvelut auttavat lisenssien hallinnan monisäikeisessä ja joskus jopa mahdottomilta tuntuvissa haasteissa. Palvelun avulla ylimääräiset, päällekkäiset ja vanhat ohjelmistot voidaan poistaa ja näin saadaan minimoitua niihin liittyviä kustannuksia.

maanantai 24. lokakuuta 2011

Maksukorttialan tietoturvapäivät Lontoossa, osa 2


Nykytrendin mukaisesti konferenssissa oli sosiaalinen media myös hyvin käytössä. #PCICM hashtagilla kommentoitiin puheenvuoroja reaaliajassa ja mielenkiintoisia pointteja ja esiinnostoja viserrettiin eteenpäin myös maksukorttialan turvallisuudesta vähemmän kiinnostuneiden seuraajien iloksi. Jopa itse Jeremy King (PCI SSC:n European Director) että vielä legendaarisempi Bob Russo (PCI SSC:n General Manager) olivat aktivoituneet twitterissä. Bob Russon voi bongata oheisesta Councilin vuonna 2010 julkaisemasta promomusiikkivideosta, jossa tiivistetysti hauskalla tavalla käydään läpi myös itse PCI DSS -standardin vaatimukset:

http://www.youtube.com/watch?v=OceYWri86Ts

Mutta sitten niihin luvattuihin muihin mielenkiintoisiin puheenvuoroihin:

Johtaja David Evans Ison-Britannian "tietosuojatoimistosta" ja konsultti Matthias Hauss SRC Security Research and Consulting Gmbh:sta kertoivat mielenkiintoisia esimerkkejä sekä Britannian että Saksan raportointivaatimuksista tietomurtotapauksissa. Britanniassa paikallinen tietosuojatoimisto alkaa ylläpitämään listaa tietomurroista ja tietomurron kohteeksi joutuneista organisaatioista. Jatkossa ennen asiointia verkkokaupassa kannattaakin tsekata onko organisaatio tietosuojatoimiston listalla. Saksassa käytäntö on toisenlainen, tietomurron kohteeksi joutunut organisaatio joutuu antamaan asiasta ilmoituksen kahdessa maanlaajuisessa lehdessä. Lisäksi Hauss omassa puheenvuorossaan otti kantaa Euroopan tietosuojadirektiiviin sekä Saksan vastaavaan lainsäädäntöön ja totesi, että PCI DSS:n näkökulmasta suojattavat tiedot ovat yksi suojattavien henkilötietojen ilmentymä. Hauss kehottikin kaikkia tietosuojadirektiivin ja vastaavan lainsäädännön alaisia organisaatioita ottamaan PCI DSS:n perustasoksi tietojensa suojaamiseen.

Kuten Hauss, mekin KPMG:llä olemme jo useiden vuosien ajan suositelleet PCI DSS:n käyttöönottoa myös maksukorttialan ulkopuolisille toimijoille hyvänä tietoturvan kehittämistyökaluna. PCI DSS on ilmainen standardi, jonka toteuttamisvaatimukset sekä paljon ohjeistusta vaatimusten toteuttamiseksi ovat ilmaiseksi kaikkien käytettävissä.

Lontoon yliopiston professori Fred Piper piti todella mielenkiintoisen, hauskan ja mukaansatempaavan luennon kryptografiasta. Uusien salausmenetelmien keksimisen ja vanhojen salausmenetelmien murtamisen kilpajuoksusta huolimatta sirulla varustettua maksukorttia ei ole vielä onnistuttu murtamaan. Maksukorttien väärinkäytökset ovat aina perustuneet muihin menetelmiin, kuten esim. shoulder surfing tai perinteiset tietomurtomenetelmät. Fred Piper kiteytti asian lauseeksi: "Chip and PIN is not Broken!", josta muodostui varmasti yksi #PCICM-hashtagin eniten retweetattu lausahdus. Lisäksi puheenvuorossa käytiin läpi salausmenetelmien historiaa kymmenien vuosien takaa aina tähän päivään asti. Mielenkiintoista oli myös spekulaatiot siitä, miten menetelmien luomiseen ja murtamiseen on ajansaatossa suhtauduttu. Riippuen näkökulmasta aina ei ole ollut yksiselitteistä onko murtaja ollut se hyvä vaiko paha kaveri. Fred myös spekuloi sitä, mitkä asiat olisivatkaan muuttuneet, jos tietyt salausalgoritmit olisivat tulleet aikoinaan murretuksi. Vaikutuksia olisi saattanut olla hyvinkin suoraan esimerkiksi juuri pankkimaailmaan. Matematiikan ja kryptografian suurena guruna hän myös naureskeli sitä, kuinka usein algoritmin luojat olettavat kaikkien potentiaalisten ihmisten haluavan käyttää aikaansa uuden algoritmin murtamiseen. Tiivistettynä voidaan siis sanoa, että vaikka algoritmia ei puoleen vuoteen ole joku taho murtanut, se ei tarkoita sitä, että se olisi turvallinen. Ihmisillä on saattanut olla "parempaakin tekemistä", kuin viettää yöt ja päivät murtopuuhissa.

Troy Leach PCI SSC:stä antoi Councilin "ohjeita" vaatimustenmukaisuuden elinkaaren hallintaan ja vaatimustenmukaisuuden saavuttamisen nopeuttamiseen. Ideana oli lyhentää tietä (tai siltaa, kuten he asiasta puhuivat) vaatimustenmukaisuuteen käyttämällä PA-DSS (Payment Application Data Security Standard ), PCI PTS (PIN transaction security) jne. sertifioituja laitteita, palveluita jne. Myös mm. tuleva P2PE (Point-to-Point Encryption) -salaus ja sen sertifiointimahdollisuus auttavat PCI DSS vaatimustenmukaisuuden kanssa painivia organisaatioita. Tiivistetysti: ulkoista kaikki minkä voit, jolloin sinulle itsellesi jää vain murto-osa vaatimuksista toteutettavaksi. Monet suomalaisetkin organisaatiot ovat tämän jo huomanneet ja sitä toteuttaneet.

...ja vielä se tärkein huomio tietoturva-asiantuntijoiden näkökulmasta. Suurin osa tietomurroista tehdään edelleen web-pohjaisina hyökkäyksinä ja erityisesti pitkäaikaisen OWASP TOP10 – listallakin mainittujen SQL-injektioiden kautta. Herätys! :)



Mika Iivari & Olli Knuuti

Maksukorttialan tietoturvapäivät Lontoossa, osa 1


Vain viikko RSA-Europe – konferenssin jälkeen Lontoon Lancaster – hotelli keräsi jälleen tietoturvaihmisiä ympäri maailman paikalle. Tällä kertaa kyseessä oli PCI SSC:n (Payment Card Industry Security Standards Council) järjestämä yhteisötapaaminen, johon osallistui itse neuvoston jäsenten lisäksi mm. luottokorttiyhtiöiden edustajia, laitevalmistajia sekä standardin parissa toimivia auditoijia ja konsultteja aina Kookossaarilta asti. Tapaamisen tarkoituksena oli käsitellä alaan ja standardiin liittyviä ajankohtaisia asioita, osallistua standardien kehittämiseen ja verkostoitua alan toimijoiden kesken.

Tilaisuuden avasi PCI SSC:n Euroopan johtaja Jeremy King. Puheenvuorossa käsiteltiin PCI yhteisön saavutuksia ja kehitystä kuluneen viiden vuoden aikana, jonka ikäinen neuvosto on. Huomionarvoista oli muun muassa vuosittaisen tapaamisen osallistujamäärän suuri kasvu. Siinä missä vuonna 2009 osallistujia oli ollut kokonaisuudessaan 187, tänä vuonna päästiin jo lukuun 505. Kasvu kuvastaakin hyvin sitä, kuinka PCI standardi saa jatkuvasti enemmän jalansijaa ympäri maailman.

Seuraavat kaksi päivää sisälsi runsaasti keskustelua ja hyviä puheenvuoroja. Aloitamme käytännön kokemuksilla PCI DSS -vaatimuksenmukaisuudesta:

British Airwaysin Phil Morton ja Kingfisherin David Lumley kertoivat kokemuksiaan pitkäkestoisen PCI-vaatimustenmukaisuusohjelman implementoinnista edustamiinsa yrityksiin. Molempien esityksissä tiivistyi tärkeä sanoma: vaatimuksenmukaisuuden saavuttaminen ja ylläpitäminen on haastava, mutta mahdollinen projekti, kunhan se toteutetaan huolellisesti ja oikealla asenteella koko organisaation laajuisesti. David Lumley korostikin erityisesti sitä, että PCI ei ole missään tapauksessa IT-projekti, vaan formaali ja hallittu liiketoiminnan muutosprosessi. ”Business” on siis taho, joka vastaa PCI-vaatimuksenmukaisuudesta. Onnistumisen elementtejä lueteltiin molempien toimesta useita ja monilta osin yhteneväisesti. Muun muassa seuraavat elementit korostuivat:

- Hyvien suhteiden luominen QSA:n, ASV:n, pankkien, PCI-työryhmien, IT-osaston ja muiden vastaavassa tilanteessa olevien organisaatioiden kanssa.
- Johdon sitoutuminen ja täydellinen ymmärrys siitä, mistä on kyse
- Tulevaisuuden suunnittelu ja vastuiden selkeä määrittäminen
- Tietoisuuden lisääminen
- Tekniset valmiudet ja valikoidut asiantuntijat
- ”Don’t think cards, think customers”, eli yritysjohdolle on turha puhua korttinumeroiden turvaamisesta - puhukaa asiakkaidenne turvaamisesta

Jatkamme seuraavassa blogikirjoituksessa muiden mielenkiintoisten puheenvuorojen yhteenvetämistä. Tulossa on muun muassa tietovuotojen käsittely- ja raportointikäytännöistä Iso-Britanniasta ja Saksasta, kryptografiaguru Fred Piperin luento salauskäytännöistä ja PCI councilin ohjeet siitä, kuinka voi lyhentää tietä vaatimustenmukaisuuteen... stay tuned.


-Olli Knuuti & Mika Iivari

lauantai 15. lokakuuta 2011

RSA Europe 2011: 3. päivä

Varsin pitkä, mutta antoisa viikko alkaa olla takanapäin. Konferenssi päättyi torstaina ja osallistujat lähtivät omiin suuntiinsa konferenssireppu kokemuksia täynnä.

Torstain antia kuvaavat mm. seuraavat ajatukset:

  • "Metrics are Bunk!?" Konferenssin yksi eniten ajatuksia herättävistä aiheista, joka kyseenalaistaa nykyisin käytössä olevat tietoturva- ja riskimittarit. Tämä ansaistsee syvällisemmän käsittelyn, joten seuratkaahan blogia.
  • "Wikileaks is not the problem - the problem is that information leaks out of organizations in the first place!" Wikileaks:n toiminnan moraalista voidaan olla montaa mieltä, mutta perimmäinen ongelma on, että arkaluontoista tietoa vuotaa ulos organisaatioista ja esim. Wikileaksin kaltaisten tahojen käsiin.

Konferenssin loppupuheenvuorossa Sir Tim Berners-Lee toi esiin omaa visiotaan tulevaisuuden Internetistä. Hänen ajatuksensa olivat hyvin käyttäjäkeskeisiä ja kuvastivat ehkä laajempaakin muutosta ympäristössä jossa toimimme - tietotekniikka ja Internet ovat arkipäiväistyneet, mutta teknologioista paistaa edelleen läpi niiden kehittäjien insinööritaustaisuus.

Sähköinen kommunikaatio perustuu edelleen valtaosin suojaamattomaan sähköpostiin. Palvelinten välillä liikenne alkaa tosin olla kohtalaisen usein salattua, mutta päästä-päähän salaus puuttuu edelleen. Tekniikka suojaukseen on olemassa - julkisen avaimen salaus - mutta edelleen puuttuu yhtenäinen toteutusmalli ja menetelmä avaintenvaihtoon. Tässä varmaan osasyynä on rakennettujen työvälineiden ja tekniikoiden käytön vaikeus. Käyttäjänäkökulmaa kaivataan enemmän - tilaisuuksia turvalliseen avaintenvaihtoon on kyllä riittämiin kunhan itse vaihtotoimenpide saadaan tehtyä sujuvasti.

Kokonaisuutena konferenssi oli varsin onnistunut ja antoi hyvän kokonaiskuvan tämän hetken tietoturvallisuuskentästä. Bleeding edge tekniset esitykset tosin olivat varsin harvassa - näitä hakeville Black Hat on parempi kohde.

Suomalaisia osallistujia konferenssissa oli joitakin kymmeniä, pohjoismaisia vajaa sata. Kaiken kaikkiaan osallistujia lienee ollut lähempänä tuhat. Verkottumismahdollisuuksia siis löytyy.

/Samuel

torstai 13. lokakuuta 2011

RSA Europe 2011: 1. ja 2. päivä

Konferenssin puoliväli on ohitettu, joten lienee korkea aika luoda pieni katsaus kuluneeseen kahteen päivään.

Tiistain avauspuheenvuorot tulivat RSA:n johtoryhmän puheenjohtajalta Arthur W. Coviello Jr.:ltä ja toimistusjohtajalta Thomas P. Heiser:ltä. Puheet käsittelivät odotetusti RSA:n keväistä tietomurtoa, ja muutama uusi tiedonjyvänenkin saatiin. Hyökkäykseen osallistui kaksi ryhmää, jotka koordinoivat toimintaansa (toinen suojasi toisen ryhmän etenemistä). Vieläkään RSA ei paljastanut ryhmien identiteettiä, mutta puheista nousi viittaus siitä että kyseessä olisi valtiotasoinen toimija. Tämä huomioitiin nopeasti verkkomedioissa, mm. The Register:n artikkelissa RSA defends handling of two-pronged SecurID breach. Toisaalla verkkokirjoittelussa spekulaatio jatkuu (esim. Slashdot).

Muissa esityksissä ja keskusteluissa näiden kahden päivän aikana on esiin noussut mm. seuraavia asioita:

  • "Context defines risk!" Perinteisen riskianalyysin ongelma on, se että uhkakuvia ja sitä kautta riskejä käsitellään irrallisina. Riskin määrittely vaatii kuitenkin aina asiayhteyden. Esimerkkinä henkilö seisomassa kallion reunalla - tässähän on selkeä riski? Riski tulee kuitenkin asiayhteydestä, eli oletamme kallion reunalla seisovan henkilön haluavan elää. Mikäli kyseessä on itsemurhaa hautova henkilö, on kallion reuna hänelle mahdollisuus saavuttaa tavoitteensa.
  • "Embrace failure and create safety nets. Agility will be key!" Melko radikaali ehdotus ottaa pessimistinen näkökulma asioihin - olettaa että virheitä/epäonnistumisia tapahtuu. Ohjataan resursseja enemmänkin siihen miten toimitaan kun jotain tapahtuu. Opitaan virheistä ja muutetaan toimintatapoja tarpeen mukaan.
  • "Opt-in security is worthless!" Useissa sovelluksissa ja palveluissa monet tietoturva-asetukset ovat oletuksena pois päältä. Vastuu on siis siirretty käyttäjälle (tai organisaation IT-osastolle) ottaa kyseiset asetukset käyttöön. Aina tulee kuitenkin olemaan käyttäjiä, jotka eivät välttämättä edes tiedä kaikkien asetusten olemassaolosta saati sitten ymmärrä niiden merkitystä.
  • "People are the new perimeter!" Päätelaite on siirtynyt organisaation verkon reunalle erityisesti älykkäiden mobiililaitteiden yleistymisen myötä; näiden tekninen suojaaminen on haasteellista, jolloin käyttäjän merkitys organisaation portinvartijana korostuu. Nykypäivänä pitää huomioida myös kuluttajalaitteet ja niiden käyttö organisaatioissa.
  • "Security fundamentals guard against most attacks!" APT on täällä ja tullut jäädäkseen. Organisaatioiden kannalta on kuitenkin tärkeämpää huolehtia perustietoturvasta kuin murehtia yksittäisestä hyökkäystyypistä.

Koostamme blogiin syvällisemmän analyysin muutamasta aiheesta konferenssin jälkeen, joten pysykää kuulolla.

// Samuel Korpi ja Juhana Yrjölä //

keskiviikko 12. lokakuuta 2011

Teknisen tietoturvallisuuden testaajaksi KPMG:lle?

Haluaisitko lähteä Kiinaan testaamaan kansainvälisen kauppaketjun langattomien verkkojen ja IT-järjestelmien tietoturvaa tai osallistua Diginotarin tietovuodon jäkimainingeissa kansallisten PKI-toteutusten penetration testing toimeksiantoihin osana globaalia tiimiä?

Mikäli haluat ja omaat hyvät tekniset valmiudet murtotestausten ja koodiauditoinnin suorittamiseen laita hakemus tulemaan.

http://tyopaikat.oikotie.fi/avoimet-tyopaikat/tekninen-tietoturva-asiantuntija---helsinki/577235

maanantai 10. lokakuuta 2011

Ennakkotunnelmia vuoden 2011 RSA Europe-konferenssista Lontoosta

RSA Europe 2011 -konferenssi kokoaa Lontooseen tietoturva-asiantuntijoita ympäri maailmaa seuraavaksi kolmeksi päiväksi. Konferenssin arvostuksesta kertoo se, että mukaan on saatu maailmanluokan puheenvuoroja, huipentuen Sir Tim Berners-Leen loppuyhteenvetoon WWW:n kehityksestä ja tulevaisuudesta. Yritysmaailmasta mukana ovat IT-alan jättiläiset Microsoft, HP, Symantec, Cisco, Google, EMC, Verisign jne. Muita sektoreita edustavat mm. CERT, W3C, ENISA ja CSA.

CSA (Cloud Security Alliance) otti varaslähdön järjestämällä CSA Summit 2011 -tapahtuman tänään, päivää ennen konferenssin virallista avausta. CSA on maailmanlaajuinen organisaatio, joka pyrkii edistämään pilvipalveluiden tietoturvallista käyttöä. CSA on laatinut pilvipalveluiden tietoturvallisuusohjeen ja myös vastaa sen ylläpidosta. Ohjeen nykyinen versio on 2.1, mutta päivitetty versio 3.0 on viimeistelyä vaille valmis. Päivitetyn ohjeen suunniteltu julkaisuaikataulu on marraskuussa.

Konferenssin virallinen ohjelma alkaa huomenna, ja luvassa on - yllätys, yllätys - RSA:n oma kuvaus keväisestä tietomurrosta ja mitä siitä on opittu. Iltapäivällä esitykset hajautuvat eri aihepiireihin, joista blogissa tulemme käsittelemään mm. mobiilitietoturvaan ja tietoliikenteen suojaukseen liittyviä kysymyksiä.

KPMG:n RSA-delegaatio toivottaa tässä vaiheessa hyvää yötä ja seuraa tiiviisti konferenssin kulkua.

// Samuel Korpi ja Juhana Yrjölä //

torstai 6. lokakuuta 2011

American Express XSS'd

Satuin lukemaan ruotsalaisen tietoturvablogaajan Nilklas Femerstrandin kirjoituksen, jossa hän esittelee American Express -luottokorttifirman kotisivuilta löytämäänsä cross-site scripting (XSS) -haavoittuvuutta.

Haavoittuvuus löytyi näin:
  1. American Expressin sivustoilta löytyi Internetiin avoinna oleva admin-konsoli.
  2. Konsoliin tutustumalla selviää, että sivuston debug-ominaisuudet saa käyttöön lisäämällä "debug"-lipun URL-osoitteen perään. Tällöin sivustolla näytetään JavaScriptillä toteutettu debug-konsoli: (https://www.americanexpress.com/?debug)
  3. Kuten tyypillistä, debug-toiminnallisuuden syötteenkäsittely on olematonta, jolloin XSS saadaan laukaistua lisäämällä JavaScript-koodia heroOverride-parametriin.

Vaarallisinta koko haavoittuvuudessa on se, että injektoitua koodia kutsutaan silmukassa jatkuvasti. Haavoittuvuutta hyväksikäyttäen voisi siis toteuttaa helposti monenlaisia hyökkäyksiä (CSRF, istuntotunnisteiden varastus jne.) Amexin tai kolmannen osapuolen verkkosivuja vastaan.

Femerstrand yritti ilmoittaa haavoittuvuudesta American Expressille Twitterin välityksellä, jolloin ilmeni että Amex hyväksyy sähköpostia vain kortinomistajilta. Haavoittuvuus kuitenkin varmaan korjataan nopeasti, joten alla vielä kuvakaappaus epäuskoisille.