Przegląd tygodnia: atak na DigiNotar i blackout

clock 4m 42s

W tym tygodniu zwracamy uwagę na dwa wydarzenia: jedno z obszaru bezpieczeństwa informacji (atak na DigiNotar), drugie związane z business continuity (awaria prądu w Kaliforni, Arizonie i Meksyku).

Sezon huraganów w USA potrwa do końca listopada i wygląda na to, że co tydzień może mieć nowych bohaterów. Z kronikarskiego obowiązku przekazujemy więc, że imiona „na topie” w ostatnich dniach to Katia, Lee, Maria i Nate.

Atak na DigiNotar - wystawcę certyfikatów SSL

Sensacją tygodnia było ujawnienie szczegółów ataku na DigiNotar, holenderskiego wystawcę certyfikatów SSL. Już pod koniec września wiedzieliśmy o fałszywym certyfikacie wystawionym dla domeny google.com, umożliwiającym m.in. przeprowadzenie ataku typu man in the middle na użytkowników poczty GMail i usługi Google Docs. Jednak dopiero w poniedziałek poznaliśmy prawdziwą skalę problemu. Jak się okazało, atak trwał od czerwca, a do 20 lipca. Wygenerowanych zostało ponad 500 certyfikatów, m.in. dla domen będących własnością Microsoftu, Facebooka, Yahoo, CIA i Mossadu. Fałszywe certyfikaty wykorzystano niemal wyłącznie w Iranie.

Jak to się stało, że wystawca certyfikatów został skompromitowany? Raport Fox-IT jest w tej kwestii brutalnie szczery: źle zabezpieczone serwery, zainstalowane w źle zaprojektowanej sieci, bez oprogramowania antywirusowego, nieaktualizowane, źle monitorowane, ze słabymi hasłami. To się mogło zdarzyć w sieci lokalnej osiedlowego sklepu spożywczego, ale nie powinno w organizacji kluczowej dla bezpieczeństwa systemu SSL.

Co gorsza, DigiNotar wiedział o włamaniu od 19 czerwca. Od tego czasu zamiatał problem pod dywan, licząc na to, że uda mu się uniknąć odpowiedzialności. Zupełnie inaczej zachował się GlobalSign, który też mógł paść ofiarą podobnego ataku — firma wstrzymała wydawanie certyfikatów do czasu wyjaśnienia sprawy.

Czy incydent ten oznacza poważne problemy dla wiarygodności SSL, handlu elektronicznego i ogólnie bezpieczeństwa, do którego przyzwyczailiśmy się widząc https w adresie i kłódeczkę w pasku przeglądarki? Naszym zdaniem nie. To, że jeden producent zamków okazał się mało solidny, nie oznacza jeszcze, że w drzwiach zaczniemy montować łańcuchy, zasuwy lub inne, całkowicie nowe zabezpieczenia.

Warto również pamiętać, że fałszywy certyfikat to dopiero połowa sukcesu. Atak man in the middle wymaga dodatkowo przejęcia ruchu sieciowego (np. poprzez DNS poisoning, jak na przykład 5 września w Turcji).

Warto jednak wykorzystać lekcję DigiNotar i spojrzeć krytycznie na zabezpieczenia sieci i systemów w firmie. Wszystkim, którzy zabezpieczają swoje serwery przy pomocy certyfikatów SSL, polecamy zastanowić się nad ryzykiem nagłego unieważnienia certyfikatu głównego CA.

Blackout w Kaliforni, Arizonie i Meksyku

Ósmy września w Kalifornii był wyjątkowo gorący, temperatura przekraczała 40 stopni Celsjusza. Około 15:40 w San Diego zgasły światła, co nie jest niczym zaskakującym w tak gorący dzień, kiedy wszystkie klimatyzatory pracują z pełną mocą. Uruchomiono generatory zapasowe i wszyscy nastawili się na szybki powrót zasilania. Wkrótce okazało się jednak, że awaria jest poważniejsza, niż początkowo sądzono. Zachodnia Arizona i północny Meksyk również były pozbawione prądu.

Bezpośrednią przyczyną awarii była próba wymiany wadliwego elementu nadzorującego sieć energetyczną w jednej z mniejszych stacji. Spowodowało to wyłączenie linii 500kV zasilającej południową część Kalifornii. Równocześnie przerwane zostało zasilanie z drugiej linii z północnej części stanu. Brak prądu doprowadził do chaosu na drogach, przerwania pracy portu lotniczego w San Diego oraz wyłączenia dwóch elektrowni jądrowych. Szacuje się, że zdarzeniem dotkniętych było nawet 5 milionów mieszkańców. Wielu z nich w piątek wciąż nie miało dostępu do energii elektrycznej.

Cała sieć w dużym stanie posiadała pojedynczy punkt awarii. Czy blackoutu dało się uniknąć? Być może… Współczesne systemy — nie tylko energetyczne i komputerowe, ale również finansowe, ekonomiczne, geopolityczne i inne — są coraz bardziej złożone i trudniejsze do nadzorowania. Ryzyko „unknown unknowns” rośnie więc w każdej branży.

Plany ciągłości działania

Skończyły się wakacje i większość z nas wróciła z urlopów. Warto wykorzystać świeży zapał do pracy i dokonać przeglądu naszych planów ciągłości działania i list zagrożeń. Czy zmieniło się coś istotnego w naszym otoczeniu? Czy ciągłość naszych procesów uzależniona jest od pojedynczych, słabo zabezpieczonych zasobów? Jak wygląda aktualność list kontaktowych? Czy nie zmieniły się trasy dojazdu do lokalizacji zapasowych? Przygotujmy się, aby nie zaskoczyły nas wyzwania jesieni.

Jeśli potrzebujesz wsparcia w zakresie ciągłości działania, napisz do nas maila na adres: kontakt@resilia.pl .
O wszystkich naszych usługach przeczytasz w tym miejscu.

Warto przeczytać:

  • Microsoft releases patch to shun DigiNotar certificates
  • Why Diginotar may turn out more important than Stuxnet – Securelist
  • Nearly 300,000 Iranian IP Addresses Likely Compromised – CSO Online – Security and Risk
  • DigiNotar investigators uncover woeful security – Hackers – SC Magazine Australia – Secure Business Intelligence
  • BBC News – Iranians hit in email hack attack
  • Spy agencies hit by CA hack; Iran suspected – ZDNet Asia News
  • DigiNotar Hacker Comes Out – F-Secure Weblog : News from the Lab
  • GlobalSign stops issuing SSL certificates in response to Iranian hacker | Naked Security
  • Iranian net users hacked after security breach in Holland | Technology | guardian.co.uk
  • Operator blamed for massive blackout in U.S., Mexico
  • Report From the Blackout
  • Wide-area power outage hits Southwest US
Skontaktuj się z nami
Resilia Sp. z o.o.
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818
Wyrażam zgodę na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących Administratora danych zgodnie z ustawą z dnia 16 lipca 2004 roku Prawo telekomunikacyjne (Dz.U. z 2017 r. poz. 1907 j.t.z późn. zm.)
Uzupełnienie powyższego pola oznacza zgodę na otrzymywanie od RESILIA Sp. z o.o. (RESILIA) informacji dotyczących oferty RESILIA drogą e-mailową. Zgodę można wycofać w każdym czasie bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem. Administratorem danych osobowych jest RESILIA Sp. z o.o. z siedzibą w Warszawie przy ul. Żurawiej 43 lok. 205, 00-680 Warszawa. Dane osobowe osób korzystających z formularza kontaktowego przetwarzane są w celu identyfikacji nadawcy oraz obsługi zapytania przesłanego przez udostępniony formularz . Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu uprawnieniach, znajduje się w naszej Polityce przetwarzania danych osobowych.
Administratorem danych osobowych jest RESILIA Sp. z o.o. z siedzibą w Warszawie przy ul. Żurawiej 43 lok. 205 , 00-680 Warszawa. Dane osobowe osób korzystających z formularza kontaktowego przetwarzane są w celu identyfikacji nadawcy oraz obsługi zapytania przesłanego przez udostępniony formularz . Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu uprawnieniach, znajduje się w naszej Polityce przetwarzania danych osobowych.
Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.

    Wyrażam zgodę na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących Administratora danych zgodnie z ustawą z dnia 16 lipca 2004 roku Prawo telekomunikacyjne (Dz.U. z 2017 r. poz. 1907 j.t.z późn. zm.)

    Uzupełnienie powyższego pola oznacza zgodę na otrzymywanie od RESILIA Sp. z o.o. (RESILIA) informacji dotyczących oferty RESILIA drogą e-mailową. Zgodę można wycofać w każdym czasie bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem. Administratorem danych osobowych jest RESILIA Sp. z o.o. z siedzibą w Warszawie przy ul. Żurawiej 43 lok. 205, 00-680 Warszawa. Dane osobowe osób korzystających z formularza kontaktowego przetwarzane są w celu identyfikacji nadawcy oraz obsługi zapytania przesłanego przez udostępniony formularz . Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu uprawnieniach, znajduje się w naszej Polityce przetwarzania danych osobowych.

    Administratorem danych osobowych jest RESILIA Sp. z o.o. z siedzibą w Warszawie przy ul. Żurawiej 43 lok. 205 , 00-680 Warszawa. Dane osobowe osób korzystających z formularza kontaktowego przetwarzane są w celu identyfikacji nadawcy oraz obsługi zapytania przesłanego przez udostępniony formularz . Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu uprawnieniach, znajduje się w naszej  Polityce przetwarzania danych osobowych.