Kortselskapene krever bedre sikkerhet

Kortindustrien, Payment Card Industry (PCI), har lært. Personers identitet har kommet på avveie på forskjellige måter. Nå kreves strengere sikringstiltak. Har man en persons identitet og adresse kreves det ikke ytterligere identifikasjon for å oppnå en rekke tjenester. Typisk er anskaffelse av nytt mobilabonnement.

Det har Idol-dommer Jan Fredrik Karlsen fått erfare som har fått sitt personnummer stjålet og ny falsk adresse.

- Trolig er det rundt 30 slike saker årlig, sier informasjonsdirektør Lise Halvorsen i Skatteetaten til VG.

Problemet er hva en svindler kan gjøre med en falsk identitet. Kravet fra betalingskortindustrien er at alle kunder skal ha en unik identitet. Derfor er personnummer så interessant.

Lag syv

- Angriperne er fokusert på lag syv, sier Ido Breger, produktsjef i F5 Networks.

Lag syv henviser til det øverste nivået i OSI-modellen for nettverkskommunikasjon. Lag syv omfatter kommunikasjon med applikasjonen. Alle avanserte angrep jobber på lag syv. Identitetstyveri fra nettbanker er et typisk eksempel. Professor Kjell Jørgen Holes angrep på egne konti i nettbankene (se egen sak på side 16) viser at data kan plukkes opp slik at penger kan overføres til andre konti.

Ideen er å vise at løsningen med BankID har sikkerhetsbrister slik at uvedkommende kan skaffe viktig informasjon som siden kan misbrukes. Bankene misliker sterkt Holes forskning på svakheter i sikkerhetssystemet for BankID, siden de er livredde for at svindlere skal få tak i Holes metodikk og kode.

En av mulighetene for svindel man er urolig for, betegnes SQL-injeksjon. Det omfatter en utvidelse av databaseinstruksjonene, SQL (Structured Query Language), slik at instruksjonene alltid henter data som tilfredsstiller svindlerens behov.

To alternativer

Det finnes to alternativer, enten å ha en avansert brannmur som forstår applikasjoner, alternativt inspeksjon av koden for å se om det er svakheter eller om noen har klart å legge til ekstra kode.

- Mnemonic er godkjent for kodeinspeksjon, sier Jon Bjørnland, daglig leder i F5 Networks i Norge.

Til nå er Mnemonic det eneste firmaet som betalingskortselskapene godkjenner.

- Vi har gjort mye kodeinspeksjon. Det er ikke nytt for oss, sier Jørn Tore Hov markedsansvarlig i Mnemonic.

Programvareselskapet Move som har spesialisert seg på trådløs kommunikasjon, jobber aktivt med brannmurer som trimmes for å håndtere avansert overvåkning.

F5 har utviklet en applikasjonsbrannmur som skiller mellom godkjente og merkelige trafikkmønstre på nettet. Det gjelder derfor å studere profilene på trafikken og lære seg de normale.

- Virksomheten må overvåke datatrafikken for å lære. Det er nyttig med en liste over godkjent trafikk. Man får mye informasjon fra trafikk mot web-servere, påpeker Ido Breger.

Nye tiltak

Fra juli 2008 krever PCI Security Standards Council at betalingsleverandørene på nettet enten må foreta kodeinspeksjon eller benytte en applikasjonsbrannmur. Det er internettbutikkene som får kravene rettet mot seg, men vanligvis har de satt bort selve korthåndteringen til et spesialfirma.

Ifølge F5 ønsker store kunder deres lastfordelingsprodukt Bigip. Det er nettbutikker som trenger Bigip for å fordele alle henvendelsene til tjenestemaskinene.

- Kunder vil ha Bigip. Derfor legger vi til applikasjonsbrannmuren som en ny funksjon. Alternativt kan brukerne kjøpe et apparat som er enn applikasjonsbrannmur, fremhever Ido Breger.