Background Print only logo
Cert logo
på svenska | in English 		www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2011 > Helmikuu > Verkkokauppojen tietoturvan puutteet voivat vaarantaa kauppiaan edun

Tietoturva nyt!

28.2.2011

Verkkokauppojen tietoturvan puutteet voivat vaarantaa kauppiaan edun

Verkkokauppaohjelmistoista on löytynyt puutteellisesta syötteentarkistuksesta johtuvia ongelmia. Viestintäviraston tietoturvayksikön CERT-FI:n tietoon on tullut tapauksia, joissa ohjelmistojen haavoittuvuuksia on käytetty hyväksi rikollisessa tarkoituksessa kauppiaan tappioksi. Ohjelmistojen virhetilanteita hyväksikäyttämällä voi olla mahdollista suorittaa ostoksia ilman, että maksu siirtyy verkkopankista kauppiaalle. CERT-FI on tiedottanut verkossa liiketoimintaa harjoittaville suomalaisille kauppiaille löytyneistä tietoturvaongelmista. CERT-FI on työskennellyt yhteistyössä Helsingin poliisin, Suomen Elektronisen Kaupankäynnin yhdistys ry:n, OWASP:in ja Nixu Oy:n kanssa.

Poliisin ja CERT-FI:n tietoon on tullut tapauksia, joissa on hyväksikäytetty verkkokauppasovellusten maksujen käsittelyyn liittyvien komponenttien haavoittuvuuksia. Tyypillinen väärinkäytöstilanne on sellainen, jossa huijari tilaa verkkokaupasta hyödykkeitä maksamatta niistä. Ohjelmistohaavoittuvuuksien johdosta verkkokauppasovellusta on muun muassa ollut mahdollista erehdyttää luulemaan, että maksu olisi suoritettu asianmukaisesti, vaikka todellisuudessa näin ei olisikaan.

Haavoittuvuudet johtuvat pääasiassa siitä, ettei kauppiaan käyttämä sovellus noudata maksuliikennepalvelujen tarjoajan, eli esimerkiksi pankin antamia maksutapahtumien välittämiseen liittyviä teknisiä määrittelyjä. Näin käy esimerkiksi silloin, jos maksutapahtuman paluuosoitetta tai tarkistussummaa ei tarkisteta. Verkkokauppasovellus erehdytetään luulemaan, että maksutapahtuma on onnistunut, vaikka maksupalvelua tarjoavalla sivustolla ei maksuprosessin aikana ole välttämättä edes käyty.

Haavoittuvuuden olemassaolo ei estä normaalia ostosten tekoa. Väärinkäyttömahdollisuudet tulevat ilmi vain systemaattisen ohjelmistotestauksen myötä. Näin ollen kauppias ei välttämättä huomaa ohjelmistovirheen olemassaoloa ennen kuin ensimmäiset väärinkäytökset paljastuvat. Verkkokauppiaiden onkin suositeltavaa varmistua tarjoamansa palvelun tietoturvallisuudesta suorittamalla tai teettämällä verkkosovellukselleen asianmukainen ohjelmistotestaus, johon kuuluu myös tietoturvan heikkouksia kartoittava osio.

Verkkokauppasovellusten laaja kirjo


Verkkokauppojen haavoittuvuuksien löytämistä ja korjaamista vaikeuttaa toimijoiden suuri määrä ja sovellusmarkkinoiden pirstaleisuus. Käytössä on suuri määrä yksittäisille kauppiaille räätälöityjä sovelluksia. Lisäksi osa verkkokauppojen käyttämistä, kolmannen osapuolen tuottamista ohjelmistoista saattaa olla hankittu ilman tukipalveluita, jolloin ohjelmistopäivitysten saaminen ja niiden käyttöönotto voi olla vaikeaa. Vuosia sitten hankitun ohjelmiston valmistaja on saattanut tehdä konkurssin tai lopettaa tuotteen ylläpidon. Ohjelmistojen valmistajatkaan eivät aina tiedä, ketkä heidän tuotteitaan käyttävät ja missä yhteyksissä. Näin ollen tieto haavoittuvuuden korjaavasta ohjelmistopäivityksestä ei välttämättä tavoita viallista ohjelmistoa käyttävää kauppiasta.

Epäilyistä yhteyttä poliisiin


CERT-FI suosittelee kauppiaita vertailemaan verkkokauppansa tilitystietoja, tilauksia ja toimituksia. Epäiltäessä petosta tuulee ottaa yhteys paikalliseen poliisilaitokseen.

Maksamisen kiertäminen verkkosovellusten haavoittuvuuksia hyväksikäyttämällä luokitellaan petokseksi tai törkeäksi petokseksi. Rikoslain mukaan myös petoksen yrittäminen on rangaistavaa. Tapausten esitutkinnan suorittaa poliisi.

Ostaminen verkosta on kuluttajalle edelleen turvallista


CERT-FI muistuttaa, että verkossa maksaminen on kuluttajalle edelleen turvallista. Verkkosovellukset, niiden tietoturva ja tekniset toteutukset ovat kauppiaan vastuulla. Kauppiaan vastuulla on myös noudattaa pankkien tai muun maksuliikennepalvelujen tarjoajan maksuliikenteen välittämiseen tehtyjä määrittelyjä. Haavoittuvuus ei koske pankkien tai muiden maksuliikennepalveluita tarjoavien tahojen palveluita, vaan se rajoittuu verkkokauppapaikkojen teknisiin toteutuksiin.

Piilevä ongelma on tulossa näkyväksi


Hyökkäystekniikka on CERT-FI:lle tuttu jo parin vuoden takaa. Keväällä 2009 raportoitiin avoimen lähdekoodin verkkokauppasovellusten maksumoduuleissa olevista haavoittuvuuksista (CERT-FI:n haavoittuvuustiedote 046/2009), jotka tuotteen valmistaja korjasi. CERT-FI:n tietojen mukaan haavoittuvuuksia ei vielä tuolloin hyödynnetty rikollisiin tarkoituksiin. Myöhemmin on käynyt ilmi, että rikolliset ovat löytäneet vastaavia haavoittuvuuksia myös muista verkkokauppaohjelmistoista ja hyväksikäyttäneet niitä.

CERT-FI on tehnyt yhteistyötä suomalaisen tietoturvayhtiö Nixu Oy:n kanssa levittääkseen tietoa ohjelmistojen valmistajien ja kauppiaiden parissa. Nixu on toimeksiantojensa perusteella arvioinut useiden verkkokauppasovellusten tietoturvaa. Nixun tekemät haavoittuvuuslöydökset on raportoitu vastuullisesti ja korjattu yhteistyössä toimeksiantajien kanssa. CERT-FI:n ja Nixun yhteinen näkemys kuitenkin on, että suuri määrä haavoittuvia verkkokauppasovelluksia on edelleen löytämättä ja päivittäisessä käytössä. Vastuu käytetyn ohjelmiston turvallisuudesta ja turvallisen ohjelmiston valinnasta on kauppiaalla itsellään.

OWASPin Helsingin jaosto julkaisee kehittäjille suunnatun lyhyen muistilistan yleisimmistä virheistä verkkomaksamiseen liittyen. OWASP, Open Web Application Security Project, on kansainvälinen ei-kaupallinen yhteisö jonka tarkoituksena on parantaa tuoteturvallisuutta.

CERT-FI on yhdessä Suomen Elektronisen kaupankäynnin yhdistys ry:n ja Helsingin Poliisin kanssa toimittanut ennakkotietoa haavoittuvuuksista useille kaupan ja ohjelmistoalan toimijoille.

CERT-FI:n haavoittuvuuskoordinoinnin yhteystiedot:


Sähköposti: vulncoord@ficora.fi
Puh. 09 6966 510

Mainitkaa sähköpostin aihekentässä tunniste [FICORA #420654]


Helsingin Poliisi
Jukkapekka Risu
071 877 5390

Suomen Elektronisen Kaupankäynnin yhdistys ry
Kare Casals
050 560 8760
kare.casals@ecf.fi


Lisätietoa


Helsingin poliisin tiedote
http://www.poliisi.fi/poliisi/helsinki/home.nsf/PFBD/4DDA272AE355A7C3C225784500369232

CERT-FI haavoittuvuustiedote 046/2009
http://www.cert.fi/haavoittuvuudet/2009/haavoittuvuus-2009-046.html

CERT-FI:n kuluttajaohje turvalliseen verkko-ostamiseen
https://www.cert.fi/tietoturvanyt/2011/02/ttn201102080950.html
http://www.youtube.com/watch?v=ut9RgdGweQs

OWASP:in ohjeet turvallisen verkkomaksutoteutuksen tekemiseen
http://www.owasp.org/index.php/Verkkomaksut

CERT-FI:n haavoittuvuuskoordinoinnin toimintaperiaatteet
http://www.cert.fi/en/activities/Vulncoord/vulncoord-policy.html

Liikenne- ja viestintäministeriön julkaisu 11 / 2011: Vie palvelusi tietoturvallisesti verkkoon - palveluntarjoajan vastuut, oikeudet ja velvollisuudet
http://www.lvm.fi/web/fi/julkaisu/view/1229418

Sivua päivitetty 28.02.2011   Tulostusversio Tulostusversio