Verkkokaupan tietoturvariskeistä

Monesti kuvitellaan, etteivät tietoturvaongelmat koske pieniä ”merkityksettömiä” verkkosivustoja, mutta kuvitelma on väärä. Tietoturvariskit koskettavat kaikkia internetin käyttäjiä ja palveluntarjoajia.

Helsingin Sanomat uutisoi syksyllä, että luottokorttitietojen varastaminen verkkokaupoista yleistyy. Ennustus on varmaan ihan oikeassa suunnassa – tuskin tietoverkkorikollisuus on ainakaan laskussa. Mielestäni HS antoi tietoturvasta kuitenkin erittäin puutteellisen kuvan: otsikko lupasi kuvan metsästä ja näimme kuvan puusta.

Viimeisen parin vuoden aikana olemme uudistaneet MyCashflow’n infrastruktuuria ja teknologioita vastaamaan tulevien vuosien tarpeita. Olemme tehneet tätä työtä huolellisesti ja se tarkoittaa muun muassa sitä, että tietoturvan tilaa ja tulevaisuutta on selvitetty tarkasti. Yksikään verkkokauppa tai verkkokauppaa tukeva palvelu ei voi ohittaa näitä kysymyksiä koskaan – ei erityisesti näinä aikoina.

Oma näkemyksemme suomalaisen verkkokaupan tietoturvariskeistä on synkempi kuin HS:n toimittajalla. Kauppa siirtyy verkkoon ja rikolliset siinä mukana. Tulevaisuudessa näemme entistä enemmän huijauksia, jotka ovat pahimmillaan nerokkaita; törkeitä tietomurtoja, joita ei välttämättä koskaan huomata; häikäilemättömästi kohdistettuja hyökkäyksiä ylläpitäjiä ja asiakkaita kohtaan; vakoilua; tietojen varastelua ja kalastelua sekä paljon muita todella likaisia temppuja, kuten kokonaisia verkkoja kaatavia DDoS-hyökkäyksiä.

Käytännön esimerkkinä: luottokorttitietojen varastaminen suomalaisista verkkokaupoista ei ole HS:n artikkelista poiketen yleistä vaan enemmänkin harvinaista. Näin on kahdesta syystä. Ensinnäkään ei ole mitä varastaa, sillä suomalaiset verkkokaupat eivät säilytä korttitietoja vaan maksamisen palvelut on ulkoistettu. (Korttitietojen säilyttäminen vaatii PCI-DSS auditoinnin, joka on pienille suomalaisille verkkokaupoille liian raskas ja kallis. HS:n artikkelista poiketen Nets ei edellytä tätä kaikilta kauppiailta – vain niiltä, jotka tallentavat korttitietoja.) Toinen ja tärkeämpi syy on se, että verkkorikollisen ei tarvitse varastaa tietoja, jos hän murtaa maksun varmistuksen ja näin ollen ohittaa koko maksupalvelun. Tällöin tilaus näkyy verkkokauppiaalle maksettuna ja huijari saa tuotteet ilmaiseksi. Häikälemätön verkkovaras palauttaa tuotteen ja pyytää ”rahansa” takaisin. Esimerkiksi viime vuonna CERT-FI tiedotti vastaavasta OsCommercen PayPal-maksumoduulia koskevasta tietoturvaongelmasta eikä kyseessä ole yksittäistapaus.

Tänä päivänä – yhtään liioittelematta – verkkokauppojen murtaminen on pahimmassa tapauksessa naurettavan helppoa. Pahimmassa tapauksessa? No, sanotaanko esimerkiksi viisi vuotta sitten asennettu OsCommerce-verkkokauppa, jonka ohjelmistopäivityksiä ei ole asennettu. Naurettavan helppoa?

Katso netistä joku tunnettu tietoturva-aukko ja kokeile kestääkö kauppasi. Jos uskallat.

En todellakaan halua sanoa, että tämä koskisi edes suurinta osaa verkkokaupoista, mutta ymmärtääkseni pelkästään Suomessa tällaisia verkkokauppoja on satoja ja kokemuksesta tiedän, ettei tietoturvan kehittäminen ole juuri koskaan korkean prioriteetin asia. Tai kehittäminen ylipäänsä, jos se maksaa. Ja tietoturva maksaa.

Miten on mahdollista, että tunnetut ja suositut verkkokauppaohjelmistot voivat olla niin huonoja ja tietoturvattomia? Niin, ongelma ei koske vain verkkokauppaohjelmistoja vaan oikeastaan kaikkia ohjelmistoja. Eikä – jos nyt puhutaan vaikkapa OsCommercesta – tietoturva ole ainoa osatekijä, joissa voidaan perustellusti puhua huonosta laadusta. Samaa voidaan sanoa myös ohjelmiston arkkitehtuurista, käytettävyydestä ja niin edelleen. Tämä pitää paikkaansa lukemattomien CMS-, taloushallinto-, blogi- ja [lisää oma esimerkki]ohjelmistojen kanssa. Ne ovat tänä päivänä erityisen huonoja ja turvattomia, sillä monien kehittäminen on lopetettu tai niitä on ”puukotettu” kyseenalaisilla taidoilla sekä epämääräisillä laajennuksilla (no hei, ne olivat ilmaisia!).

Monet kaupalliset palvelut perustuvat enemmän tai vähemmän avoimen lähdekoodin ohjelmistoihin. Esimerkkinä Valmiskauppa pohjautuu OsCommerce 2.2 versioon ja suuri osa Internetin palvelimista vuosi sydänverta OpenSSL:n löytyneen HeartBleed-reiän vuoksi. Näin ollen aukko avoimessa koodissa voi tarkoittaa aukkoa kaupallisessa palvelussa.

Mutta ongelma on vieläkin laajempi. Ymmärtääkseen ongelmaa pitää sukeltaa Internetin kehityksen historiaan. Se on uskomaton menestystarina. Internet on oman sukupolveni aikana merkittävin ihmiskuntaa koskettanut teknologinen vallankumous. Se on muuttanut maailmaa enemmän ja nopeammin kuin kukaan uskalsi ajatella. Tietoturvan näkökulmasta tämä historia on aika surullista luettavaa. Ongelma johtuu siitä, ettei tietoturvaa mietitty silloin, kun teknologioita ja standardeja kehitettiin. Tietoturva on ennemminkin liimattu olemassa olevien standardien päälle, usein huonolla menestyksellä. 

Ongelma johtuu siitä, ettei tietoturvaa mietitty silloin, kun teknologioita ja standardeja kehitettiin.

Otetaanpa toinen käytännön esimerkki: HTTP-protokolla (Hypertext Tranfer Protocol) sekä sen salattu HTTPS-versio ovat jokaisen maailman verkkokaupan toiminnalle välttämättömiä. Käyttämäsi www-selain keskustelee verkkokaupan www-palvelimen kanssa HTTP-protokollan avulla – selain pyytää jotain resurssia (lataa etusivu, lataa kuva, jne) ja selain palauttaa pyydetyn dokumentin. Niin yksinkertaista, että kokonainen sukupolvi nuoria pystyi lähtemään mukaan ja kehittämään mitä ihmeellisempiä innovaatioita. Alkuperäinen HTTP 1.0 määrittely mahtui muutamalle A4-liuskalle. Protokolla oli toki yksinkertainen, mutta se olisi pitänyt määritellä tarkemmin. Standardin määrittely ei ottanut kantaa esimerkiksi siihen, että miten palvelinohjelman tai selaimen tulisi käyttäytyä, jos pyynnön yksityiskohdat ovat keskenään ristiriitaiset. Vallankumous oli kuitenkin jo alkanut ja uuden standardin päälle rakennettiin sekä selain- että palvelinohjelmistoja – kaikki näistä tulkitsivat standardia omalla tavallaan. Myöhemmin tullut, edelleen käytössä oleva, HTTP 1.1 standardi on jo tarkempi (muutaman sata liuskaa), mutta jättää edelleen monia yksityiskohtia avoimeksi. Lopputulos? Halpaa, mutta toimii. Tietoturvaan ei juuri otettu kantaa.

Siinä missä HTTP-protokolla kuvaa kuinka www-selain ja www-palvelin keskustelevat toistensa kanssa, HTML-standardi (HyperText Markup Language) kehittyi kuvaamaan dokumenttien rakennetta. HTML on yksinkertainen kuvauskieli, joka on tarkoitettu tekstimuotoisen datan kuvaamiseen (tämä on otsikko, tämä on linkki, tähän tulee kuva). HTML-standardia vaivasi samat ongelmat: kukaan ei tiennyt miten merkittävästä standardista tulee olemaan kysymys eikä tietoturvaa ajateltu riittävästi. Standardin määrittely oli myös löysä, joten se ei tarjonnut selkeää ratkaisua selain- ja palvelinohjelmistojen kehittäjille. Koska standardit eivät määritelleet riittävän tarkasti kuinka www-selaimen tai www-palvelinohjelmiston tulisi toimia, niin ohjelmistojen kehittäjät tulkitsivat standardia eri tavoin ja loivat myös omia toimintamallejaan. Tämän seurauksena teknologiat, joiden päälle Internet kehittyi, näyttävät tietoturvan näkökulmasta lähinnä korttitalolta.

Kukaan ei tiennyt miten merkittävästä standardista tulee olemaan kysymys eikä tietoturvaa ajateltu riittävästi.

Erityisesti Microsoft oli ahkera rakentamaan omia standardejaan Windows-ympäristöihin ja Internet Explorer (IE) noudattelee osin vieläkin täysin omaa logikkaansa (käytännössä vieläkin kirjoitetaan paljon ”IE-only” -koodia, jotta sivustot toimivat oikein kaikilla selaimilla). Moni muistaa varmasti vieläkin selainsodat, jotka olivat vahvimmillaan 2000-luvun vaihteen molemmin puolin. Selainsotien aikana selaimiin kehitettiin monia turvatoimintoja ja siihen aikaan myös tietoturva-aukot olivat ilkeitä – esimerkiksi pelkästään Internet Explorerissa oli kymmenittäin aukkoja, jotka mahdollistivat tietojen lukemisen asiakkaan tietokoneelta tai vaikkapa ohjelmien käynnistämisen, joka teki virusten ja haittaohjelmien leviämisestä helppoa.

Selaimiin myös tuotiin uusia lisäominaisuuksia, kuten Flash-teknologian, jotka taas toimivat eri selaimissa hieman eri tavoin. Ajateltiinko tällä kertaa tietoturvaa? Eipä kyllä. Vaikka tässä yhteydessäkin esiteltiin uusia turvamekanismeja, niin tietoturvaongelmilta ei vältytty. Pahimmassa tapauksessa lisäosien ja laajennusten avulla pystyi kiertämään selaimiin rakennettuja tietoturvatoimintoja – esimerkiksi kun ohjelmien suorittamisen mahdollistanut bugi oli paikattu selaimesta, niin Flash-laajennus saattoi sisältää vastaavan tietoturva-aukon. Kun kaikista eri valmistajien selaimista, käyttöjärjestelmistä, lisäosista ja muusta tuli jatkuvasti uusia versioita (muistatko, kuinka bugisia ne olivat?) ja usein ohjelmistopäivitykset jäivät tekemättä niin käyttäjiltä kuin ylläpitäjiltäkin, niin teknologiaympäristö alkoi olla täynnä reikiä, joita paikattiin laastareilla sieltä täältä.

Näiden teknologioiden rinnalla kehittyi paljon asioita. Internetiin liittyi miljardeja käyttäjiä, verkkokauppa kasvoi Suomessa nollasta miljardeihin ja ympäri maailmaa erilaiset organisaatiot uudistivat tietojärjestelmänsä tähän uuteen ja kummalliseen Internet-aikaan. Samaan aikaan myös tietoturva kehittyi, mutta ei kuitenkaan samassa vauhdissa muun kehityksen kanssa eikä läheskään sillä paino-arvolla, joka sillä olisi pitänyt olla. On myönnettävä, että verkkorikollisuus on kehittynyt jatkuvasti nopeammin ja tietoturvatoimiala on joutunut keskittämään voimansa puolustustaisteluun.

Tänä päivänä moni asia on paremmin ja tietoturvaa ajatellaan enemmän. Kuitenkin, edelleen Internetiä rakennetaan mm. HTTP- ja HTML-standardien päälle, joita itsessään ei voi pitää erityisen turvallisina. Pienenkin verkkokaupan käytössä voi olla useita eri sovelluksia ja palveluita, joiden ehdoton minimivaatimus on tiedot ovat turvassa. Yksittäiset sovellukset ovat kasvaneet entistä suuremmiksi ja monimutkaisemmiksi (jokainen uusi ominaisuus on mahdollinen tietoturvariski). Lisäksi järjestelmät ja prosessit muuttuvat jatkuvasti. Nopeasti muuttuva liiketoimintaympäristön muutenkin vaikeasti hallittavissa, joten monimutkaiselle tietoturvalle on helppoa sanoa vaikka että ”ei se kosketa meitä” tai ”tietoturvamme on jo huipputasoa” ja suunnata budjettia jonnekin muualle.

Internetiä rakennetaan edelleen mm. HTTP- ja HTML-standardien päälle, joita itsessään ei voi pitää erityisen turvallisina.

Verkkorikollisuus kasvaa, kehittyy ja voi hyvin: Pelissä on aina vain isommat rahat, kiinnijäämisen riski on pieni ja kohteet eivät ole hereillä – tai ainakin vuosia jäljessä. Tämä ajaa verkkorikollisia investoimaan yhä enemmän ja johtaa yhä häikäilemättömämpiin hyökkäyksiin.

Mitkä ovat tyypillisimpiä uhkia, joihin suomalainen verkkokauppa voi törmätä?

  • Ehkä yleisin verkkorikollisten luomus, johon verkkokauppiaat (monesti huomaamattaan) törmäävät ovat pahat botit, jotka selaavat verkkoa läpi etsien sähköpostiosoitteita, spämmäämällä palaute- ja muita lomakkeita sekä tietenkin etsimällä tunnettuja tietoturva-aukkoja tai merkkejä niistä. Arvioiden mukaan kymmeniä prosentteja verkon monien verkkosivustojen liikenteestä on tämän tyyppistä. Moni blogin ylläpitäjä on saanut todistaa tätä ilmiötä ja todeta, että suurin osa kommenteista on silkkaa roskapostia. Palautelomakkeet, jotka lähettävät lomakkeen sisällön sähköpostilla taas voivat mahdollistaa tietojen muuntelun niin, että hyökkääjä voi käyttää lomaketta spämmin lähettämiseen. Näin kotisivustosi on yhtäkkiä verkkorikollisten sähköpostijärjestelmä eikä kukaan välttämättä huomaa mitään. Jokin aika sitten CERT-FI tiedotti tapauksesta, jossa OsCommerce-verkkokauppojen tunnettua tietoturva-aukkoa käytettiin haittaohjelmien levittämiseen.
  • XSS-hyökkäykset (Cross-Site Scripting) mahdollistavat oman koodin suorittamista asiakkaan www-selaimessa. Mitä tämä koodi sitten voi tehdä? Eräässä tapauksessa kirjautuneen MySpacen käyttäjän selaimessa suoritettuna virus/mato aiheutti sen, että käyttäjä alkoi automaattisesti seurata hyökkääjän profiilia ja levitti itseään käyttäjän kavereille. Tämä ketjureaktio ”lähti hieman lapasesta” ja koko MySpace oli pian tukossa. Verkkokaupan tapauksessa hyökkääjälle olisi vain haittaa näkyvästä toiminnasta, joten todennäköisesti se kalastelisi asiakkaiden sähköpostiosoitteita ja salasanoja. Mikäli se onnistuisi kalastelemaan myös ylläpitäjän salasana, olisi hyökkääjällä täysi pääsy järjestelmään. XSS-hyökkäykset ja -aukot ovat yleisiä ja CERT-FI tiedotti XSS-aukon löytymisestä myös omilta sivuiltaan.
  • CSRF-hyökkäyksillä (Cross-Site Request Forgery) hyökkääjä voi pyrkiä kaappaamaan käyttöoikeudet, jossa esimerkiksi ylläpitäjä houkutellaan saastuneelle sivulle, jolle liitetty haitallinen koodi saattaa esimerkiksi lähettää ylläpitäjän nimissä komentoja verkkokaupan hallintatyökaluun (tämä onnistuu, jos käyttäjä on kirjautunut eikä hallintaa ole asianmukaisesti suojattu ulkopuolisilta sivuilta tulevia komentoja ajatellen – yleensä ei ole).
  • SQL-injektioilla pyritään rikkomaan sovelluksen toimintaa lähettämällä siihen sellaisia kyselyitä, joita se ei käsittele oikein. Tällaiset aukot voivat avata pääsyn verkkokaupan tietokantaan eli verkkokaupan tapauksessa se tarkoittaa esimerkiksi asiakasrekisteriä, tilaushistoriaa, tuotteiden ostohintoja ja ylläpitäjien tietoja. Tästä ei ole välttämättä enää pitkä matka siihen, että hyökkääjä saa koko sovelluksen käyttöoikeudet haltuunsa. Muutama kuukausi takaperin CERT-FI tiedotti laajasta tietomurtojen sarjasta, jossa SQL-injektioiden avulla murrettiin satoja sivustoja ja vääriin käsiin joutui satojen tuhansien käyttäjien tietoja.
  • DDoS-hyökkäykset (Distributed Denial Of Service) ovat palvelunestohyökkäyksiä, joiden tavoitteena on kaataa tai hidastaa sovelluksen toimintaa.
  • Luottokorttivarkaisiin verkkokauppias törmää todennäköisesti tilanteessa, jossa kauppaan tehdään tilaus varastetulla kortilla. Mikäli petosten hallinta ei ole kunnossa, tappiot voivat napsahtaa verkkokauppiaan maksettaviksi vaikka periaatteessa luottokorttiyhtiö vastaisi luottoriskistä. Tällä hetkellä Bitcoin on yksi harvoista maksutavoista, joissa kauppias voi luottaa siihen että tilille tulevia rahoja ei voi periä takaisin.

Lista on turhan lyhyt eikä sitä pidä ajatellakaan kokonaiskuvana verkkokaupan tietoturvariskeistä. Paras tiivistys tämän päivän tietoturvariskeihin lienee OWASP:n (Open Web Application Security Project) Top 10 listaus yleisimmistä tietoturvariskeistä verkkopalveluissa. Tämäkin listaus keskittyy vain teknisiin ongelmiin ja jättää tarkastelun ulkopuolelle mm. sosiaalisen hakkeroinnin (esimerkkinä hakkeri soittaa, esittäytyy ylläpidon edustajana ja pyydää salasanaasi) ja käyttäjän ”maalaisjärjen vastaisen toiminnan” (esimerkkinä sama tai helposti arvattava salasana).

Suurimmat verkkokaupat Amazonista Apple Storeen, Suomen ulkoministeriö, Adobe ja monet muut ovat kärsineet tietoturvahyökkäyksistä ihan lähiaikoina.

Kun katsotaan tulevaisuuteen, niin tilanne näyttää hieman valoimmalta. Ohjelmistojen ja verkkopalveluiden kehityksessä tietoturvaan kiinnitetään yhä enemmän huomiota ja rakennuspalikat ovat turvallisempia. Suurin riski kohdistuu yrityksiin, joiden verkkokauppaohjelmisto on vanhentunut ja tietoturvapäivitykset tekemättä sekä niihin, joilla on itse kehitettyä verkkokauppaohjelmisto, jonka kehityksessä tietoturva ei ole korkealle priorisoitu ja tietoturva-auditoinnit tekemättä. Ei tarvitse lukea kovin pitkään tietoturvauutisia huomatakseen, että tietomurrot ovat kaikkien ongelma. Suurimmat verkkokaupat Amazonista Apple Storeen, Suomen ulkoministeriö, Adobe ja monet muut ovat kärsineet tietoturvahyökkäyksistä ihan lähiaikoina. Monesti kuvitellaan, ettei ongelma koske pieniä ”merkityksettömiä” tekijöitä, mutta kuvitelma on väärä. Tietoturvariskit koskettavat kaikkia Internetin käyttäjiä ja palveluntarjoajia.

Verkkokauppias voi kehittää tietoturva-asioita monella tapaa. Nämä on kuitenkin parempi jättää seuraavan artikkelin aiheeksi. Me ajattelemme, että tietoturva on erottamaton ja sisäänrakennettu osa MyCashflow-verkkokauppaohjelmistoa. Omaa tietoturvastrategiaamme avaamme enemmän verkkosivullamme Verkkokaupan tietoturva.

  • Ismo Ruotsalainen

    Moi,

    kun ylläpitää omaa verkkokauppaa, niin täytyy ottaa vakavasti se vastuu mikä tietojen ylläpitäjällä on. Tietoturvan ja -suojan minimitaso on säädetty laissa, mutta tiukempi ote on mielestäni paikallaan, jos verkkokauppa on merkittävän kokoista bisnestä (esim. jos toimeentulo koostuu pääasiassa verkkokaupasta, isot asiakasrekisterit ja tietokannat). Tällöin kyberturvallisuuden aiheuttamat riskit (esim. toimintahäiriöt, jatkuvuus, korjaus- ja palautumiskustannukset, maine) ovat monesti sen verran kalliita, että tietoturvan kehitykseen investointi on hyvinkin perusteltua.

    Olemme koonneet tänne asioita, joilla varmistamme MyCashflown tietoturvan nyt ja tulevaisuudessa. Siellä on varmasti paljonkin asioita, joita voi vaatia omilta ohjelmistojen ja laitteistojen toimittajiltaan.
    https://www.mycashflow.fi/verkkokaupan-tietoturva