Tietoturva median valokeilassa

Viimeisin uutinen kertoo, että Krp tutkii Netcar Finland Oy:n verkkosivujen tietomurtoa, jossa palveluun rekisteröityjen tietoja julkaistiin verkossa. Tietomurrossa paljastui noin 12 000 käyttäjätunnusta, salasanaa ja sähköpostiosoitetta. Viestintäviraston tietoturvayksiköstä kerrotaan, että hyökkäyksissä on käytetty SQL-injektiohyökkäyksiä tai niiden rinnalla myös muita menetelmiä. Suomalaisia koskettavista tietoturvaongelmista monella verkkokauppiaalla varmasti vielä hyvässä muistissa helmikuussa paljastuneet avoimen lähdekoodin verkkokauppaohjelmistojen vakavat haavoittuvuudet.

Tietomurrot kansainvälinen muoti-ilmiö

Tietomurroilla on kansainvälinen kontekstinsa. Viime vuosina kansainvälinen media on näyttävästi uutisoinut erilaisista tietovuodoista ja iskuista verkossa toimivia järjestelmiä vastaan. Vapaassa tietoyhteiskunnassa myös tieto halutaan vapauttaa, vaikka sitten laittomin keinoin. Niin WikiLeaks kuin vaikeasti hahmotettava Anonymous-hakkeriliikekin ovat omilla tavoillaan sekoittaneet pakkaa ympäri maailman. Suuren luokan tietomurrot ja verkkorikollisuuteen keskittyvän alakulttuurin esiintyminen otsikoissa ovat omiaan hämmentämään tavallista verkossa asioivaa kuluttajaa. Voiko netissä enää luottaa mihinkään?

 
Tietoturvan mielikuvia ja todellisuutta

Fakta on, että useimmilla kuluttajilla ei ole riittävää tietoteknista osaamista verkkopalveluiden todellisen tietoturvan arvioimiseen. Tällöin luottamus perustuu lähinnä palvelun viestittämiin mielikuviin, joiden perusteella kuluttaja arvioi palvelun luotettavuutta. Olemme Anders Innolla pyrkineet aina panostamaan sekä turvallisuutta viestittäviin mielikuviin että teknisiin valintoihin, jotka tekevät tuotteidemme tietoturvasta todellisuutta. Verkkopalvelumme perustuvat Django-ohjelmistokehykseen, jonka valinnassa korkea tietoturva oli yksi keskeinen kriteeri. Lisätietoja Djangon hyödyistä verkkopalvelualustana on luettavissa täältä.

Verkkokaupassa on omat riskinsä ja tietoturvan kannalta merkittävät tekijänsä. Tietomurtoa suunnitteleville verkkokauppa on puoleensavetävä kohde koska se sisältää mahdollisuuden taloudelliseen hyötyyn ja petokseen. Verkkokaupan tuleekin vaikuttaa kuluttajat luotettavuudestaan. Kaupan hyvä maine ja tunnettuus on uusimpien tutkimusten mukaan erityisen tärkeää suomalaisilla kuluttajille. Verkkokaupparatkaisun tilaajan näkökulmasta riskit ovat hallittavissa oikeilla kumppanivalinnoilla.

Tietoturvallisuutta vahvistavia tekniikoita

Anders Innon verkkokaupparatkaisut sisältävät useita ominaisuuksia, jotka vahvistavat verkkokaupparatkaisujemme tietoturvaa. Pääsy kaupan hallintaliittymään on mahdollista vain yhtä reittiä, mikä tekee käyttäjän tunnistamisesta varmempaa. Salasanoissa käytetään turvallisia SHA1-tarkisteita sekä ohjelmisto- että käyttäjäkohtaisessa salauksessa. Luottokorttitietoja ei koskaan säilytetä tai käsitellä verkkokauppajärjestelmässä, vaan asiakas ohjataan suorittamaan maksu maksutapajärjestelmään. Lisäksi suosittelemme verkkokauppa-asiakkaillemme SSL-suojausta.

Tietoturvan kannalta web-sovellusten kriittisin osa on käyttäjän syöttämän datan käsittely. Kaiken ohjelmaan ulkopuolelta tulevan tiedon - kuten syötetyn käyttäjätunnuksen ja salasanan - käsittelyssä tulee noudattaa ohjelmiston sisällä suurta varovaisuutta. Suomen viimeisimmät tietomurrot ovat nähtävästi olleet niin sanottuja SQL-injektioita, jotka ovat seurausta web-sovelluksen ulkopuolelta tulevan datan turvattomasta käsittelystä. Ohjelmistoissamme on vahva suoja SQL-injektioita vastaan.

Vika voi olla työkaluissa tai koodarissa

Tuotteemme ja palvelumme on toteutettu Python-kielellä, toisin kuin tietomurron kohteeksi joutuneet palvelut, joissa käytetään PHP:tä. Totuuden nimessä on sanottava, että vika on tuskin ollut kielessä - sekä Pythonissa että PHP:ssä on mahdollista torjua helposti SQL-injektiot käyttämällä asianmukaisia rajapintoja. Valitettavasti verkko on kuitenkin täynnä PHP-kielellä toteutettuja amatöörimaisia palveluita ja ohjelmistoja, jotka ovat haavoittuvaisia SQL-injektioiden kaltaisille äärimmäisen yksinkertaisille murtotekniikoille.

PHP:llä toteutetuissa työkaluissa esiintyy myös yleisesti kielen huonosta suunnittelusta johtuvia ongelmia kuten puskurin ylivuotovirheitä ja haavoittuvuuksia merkkijonojen käsittelyssä. PHP:tä ei yleisesti pidetäkään parhaana valintana tietoturvan kannalta kriittisiin sovelluksiin.