Computerbeveiliging - Hoe je bad guys buiten de deur houdt

WEP veilig genoeg voor creditcard tot medio 2010?

05-10-2008, 21:20 door Bitwiper, 10 reacties
Op 1 oktober heeft de <a href=https://www.pcisecuritystandards.org/ target="_blank">Payment Card Industry (PCI)</a>, dat wil zeggen de samenwerkende creditcardbedrijven, waaronder Mastercard en Visa, een nieuwe versie van haar <a href=https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml target="_blank">Data Security Standard</a> (DSS) vrijgegeven. Ook kleine handelaren met een beperkt aantal creditcardtransacties moeten aan de eisen zoals gesteld in de PCI DSS <a href="http://selfservice.talisma.com/display/2n/kb/article.aspx?aid=5785" target="_blank">voldoen</a>. Versie 1.2 van de Payment Card Industry Data Security Standard <a href=https://www.pcisecuritystandards.org/pdfs/pr_080930_PCIDSSv1-2.pdf target="_blank">(PDF)</a>. Overzicht van wijzigingen tussen PCI DSS v1.1 en v1.2 (<a href="https://www.pcisecuritystandards.org/pdfs/pci_dss_summary_of_changes_v1-2.pdf" target="_blank">PDF</a>). Interessant zijn de wijzigingen m.b.t. het gebruik van <a href=http://nl.wikipedia.org/wiki/WEP target="_blank">WEP</a> bij draadloze WiFi verbindingen: WEP mag bij <i>nieuwe</i> draadloze implementaties nog worden toegepast tot 31 maart 2009, terwijl het in "bestaande" implementaties nog mag worden gebruikt tot 30 juni 2010.

Volgens <a href=http://www.security.nl/artikel/19260/1/Hackers_grootste_creditcard-diefstal_ooit_aangeklaagd.html target="_blank">dit Security.nl artikel</a> werden bij het Amerikaanse grootwinkelbedrijf TJX de creditcardgegevens van 94 miljoen klanten gestolen via een met WEP-beveiligde WiFi-verbinding. Ook John Leyden (The Register) maakt hiervan melding in <a href=http://www.theregister.co.uk/2008/10/02/pci_dss_update/ target="_blank">dit artikel</a> (tevens mijn bron voor dit stuk).

Wellicht is het zo dat veel van de benodigde apparatuur die nu op de markt is nog geen WPA of WPA2 ondersteunt, en de PCI retailers niet op hoge kosten wil jagen (door ze op korte termijn te dwingen om nieuwe apparatuur te kopen, wat uiteindelijk het <i>belang</i> van de creditcardmaatschappijen zu kunnen schaden).

Feit is dat de PCI het handelaren toestaat om van bewezen onveilige protocollen gebruik te maken en daarmee creditcardgebruikers bewust blootstelt aan een eenvoudige mogelijkheid tot diefstal van de inhoud van hun (digitale) portemonnee alsmede personlijke gegevens. Persoonlijk vind ik dit schandalig, helemaal gezien er op geen enkele wijze (anders dan genoemde termijnen) in de DSS op gewezen wordt dat WEP eigenlijk 'not done' is.

Weet iemand of er in Nederland en België aanvullende regels (wettelijk?) bestaan op dit gebied?

Weet iemand of dit soort thema's aan de orde komen bijv. bij seminars van het project <a href=http://www.ecp.nl/projecten/id=47/Vertrouwen_20.html target="_blank">Vertrouwen 2.0</a> van <a href=http://www.ecp.nl/ target="_blank">ECP</a> of vergelijkbare organisaties?
Reacties (10)
06-10-2008, 12:19 door rob
Ik heb gesproken met iemand die verantwoordelijk is voor het certificeren van bedrijven mbt de PCI-DSS standaard. Het gaat echt nergens over. Er wordt met een checklist gewerkt waar bijv. in staat 'wordt er gebruik gemaakt van een firewall j/n?'. Er wordt totaal niet gecontroleerd of zo'n firewall dan ook daadwerkelijk goed is geconfigureerd..
06-10-2008, 12:28 door Jachra
Persoonlijk vind ik dit schandalig, helemaal gezien er op geen enkele wijze (anders dan genoemde termijnen) in de DSS op gewezen wordt dat WEP eigenlijk 'not done' is.

Gezien de hoeveelheid van identiteitsfraude in de USA, kan ik de bovenstaande mening alleen maar onderschrijven.
06-10-2008, 13:51 door Caveman
Door robIk heb gesproken met iemand die verantwoordelijk is voor het certificeren van bedrijven mbt de PCI-DSS standaard. Het gaat echt nergens over. Er wordt met een checklist gewerkt waar bijv. in staat 'wordt er gebruik gemaakt van een firewall j/n?'. Er wordt totaal niet gecontroleerd of zo'n firewall dan ook daadwerkelijk goed is geconfigureerd..

Hmm dan wordt er niet volgens de guideliness gehandeld, er moet weldegelijk naar de configuratie gekeken worden( punt 1.2).
06-10-2008, 14:08 door Caveman
Het gebruik van WEP als enige protocol wordt niet toegestaan al staat dat in de nieuwe versie (pci1.2) niet omschreven.
In de oude pci1.1 versie staan de aanvullende beveiligingsmaatregelen aangeven bij het gebruik van WEP.
06-10-2008, 20:00 door Anoniem
Door Caveman
Door robIk heb gesproken met iemand die verantwoordelijk is voor het certificeren van bedrijven mbt de PCI-DSS standaard. Het gaat echt nergens over. Er wordt met een checklist gewerkt waar bijv. in staat 'wordt er gebruik gemaakt van een firewall j/n?'. Er wordt totaal niet gecontroleerd of zo'n firewall dan ook daadwerkelijk goed is geconfigureerd..

Hmm dan wordt er niet volgens de guideliness gehandeld, er moet weldegelijk naar de configuratie gekeken worden( punt 1.2).

Er zijn verschillende bedrijven die dit soort audits uitvoeren. Niet allemaal even betrouwbaar. De een doet het nauwkeuriger dan de ander. De bedrijven proberen zich net aan die richtlijnen te houden, maar ook niet meer dan dat. Dat schijnt in de praktijk zo te gaan althans.
06-10-2008, 23:30 door Bitwiper
De omgekeerde volgorde van Caveman's uitspraken:
Door CavemanIn de oude pci1.1 versie staan de aanvullende beveiligingsmaatregelen aangeven bij het gebruik van WEP.
Klopt. Hoewel er in PCI-DSS v1.1 onder 2.1.1 ook over WEP gesproken wordt, is 4.1.1 een stuk strenger:
Uit PCI-DSS 1.14.1.1 For wireless networks transmitting cardholder data, encrypt the transmissions by using WiFi protected access (WPA or WPA2) technology, IPSEC VPN, or SSL/TLS. Never rely exclusively on wired equivalent privacy (WEP) to protect confidentiality and access to a wireless LAN. If WEP is used, do the following:
o Use with a minimum 104-bit encryption key and 24 bit-initialization value
o Use ONLY in conjunction with WiFi protected access (WPA or WPA2) technology, VPN, or SSL/TLS
o Rotate shared WEP keys quarterly (or automatically if the technology permits)
o Rotate shared WEP keys whenever there are changes in personnel with access to keys
o Restrict access based on media access code (MAC) address.
De eerste (inleidende zin) lijkt WEP eigenlijk al uit te sluiten, maar vervolgens wordt dit toch toegestaan. De belangrijkste hindernis is de tweede bullet: gebruik van WEP is alleen toegestaan in combinatie met WPA/WPA2 (flauwekul natuurlijk), of indien je het feitelijke verkeer over WEP met goede point-to-point versleuteling ontoegankelijk maakt.

Echter, PCI DSS 1.2 komt onder punt 4.1.1 niet verder dan: 'use industry best practices (for example, IEEE 802.11i)' waarna vermeld wordt dat WEP in bestaande installaties is toegestaan tot 30 juni 2010, zonder aanvullende voorwaarden te noemen (zoals het gebruik van SSL/TLS).

Door CavemanHet gebruik van WEP als enige protocol wordt niet toegestaan al staat dat in de nieuwe versie (pci1.2) niet omschreven.
Op de [url=https://www.pcisecuritystandards.org/security_standards/pci_dss_download.html]PCI DSS download page[/url] staat duidelijk: 'The Payment Card Industry Data Security Standard (DSS) v 1.2 will replace the DSS v. 1.1 on October 1, 2008', m.a.w. het is geen aanvulling of zo.

Gezien het feit dat wij beiden in PCI 1.2 geen aanvullende voorwaarden m.b.t. het gebruik van WEP zien staan, waar baseer je dan op dat het gebruik van WEP als enige protocol nog steeds niet wordt toegestaan?
07-10-2008, 10:24 door Caveman
zucht ..... RTFM

4.1 Use strong cryptography and
security protocols such as SSL/TLS or
IPSEC to safeguard sensitive cardholder
data during transmission over open,
public networks.
Examples of open, public networks that
are in scope of the PCI DSS are:
- The Internet,
- Wireless technologies,
- Global System for Mobile
communications (GSM), and
- General Packet Radio Service
(GPRS)
07-10-2008, 19:47 door Anoniem
WEP zooo jaren '90.........
08-10-2008, 10:35 door Bitwiper
Door Cavemanzucht ..... RTFM
[...]
Examples of open, public networks that are in scope of the PCI DSS are:
- The Internet,
- Wireless technologies,
[...]
Je kunt dit m.i. op twee manieren lezen (hetgeen slecht is voor een eisendocument): het toepassen van security protocollen zoals SSL/TLS of IPSEC (ik concludeer hieruit dat end-to-end encrytie protocollen worden bedoeld) is vereist bij ofwel:
1. alle wireless networks, ongeacht de eventuele inzet van WEP/WPA/WPA2
2. open, public (waarbij geen gebruik wordt gemaakt van end-to-end encryptie zoals WEP/WPA/WPA2) wireless networks

Jij gaat er duidelijk van uit dat scenario 1 wordt bedoeld. Echter hier wordt geen uitzondering gemaakt voor wireless encryption volgens IEEE 802.11i (WPA2), oftewel zelfs als je al van strong encryption gebruik maakt moet je daarbovenop een tweede methode van encryptie toepassen. Op zich een fraaie eis: als één van de protocollen gebroken wordt (of al is) heb je altijd nog de andere. Maar:
- waarom geldt een dergelijke eis dan niet voor 'The Internet'?
- waarom zou je überhaupt nog WEP/WPA/WPA2 inzetten als je toch al van SSL/TLS/IPSEC gebruik maakt?
- in dat licht, waarom is het gebruik van WEP nog slechts beperkte tijd toegestaan? Is het okay om na 2010 WEP gewoon uit te zetten?

Persoonlijk ligt m.i. scenario 2 meer voor de hand. Immers, een WfFi netwerk met WEP is niet open of public: je moet het kraken om er in te komen, en in veel landen is dat strafbaar.

En dan kom je precies bij mijn punt: waarom is PCI-DSS v1.2 zoveel onduidelijker dan PCI-DSS v1.1 op dit vlak, terwijl iedereen het er ondertussen over eens is dat WEP not done is? Ik kan me niet aan de indruk onttrekken dat de beide passages over het toestaan van WEP tot 2009 voor nieuwe installaties, en tot 2010 voor bestaande, op het laatste mopment zijn toegevoegd en daardoor niet in lijn zijn met de rest van het document. Ben je wel met me eens dat het gewoon een slecht eisendocument is op dit vlak?
08-10-2008, 12:54 door Caveman
Ben je wel met me eens dat het gewoon een slecht eisendocument is op dit vlak?

Ja het laat te veel vrijheid en het is dus de interpretatie van de QSA die bepaald.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.