Przegląd tygodnia: atak na DigiNotar i blackout

clock 4m 42s

W tym tygodniu zwracamy uwagę na dwa wydarzenia: jedno z obszaru bezpieczeństwa informacji (atak na DigiNotar), drugie związane z business continuity (awaria prądu w Kaliforni, Arizonie i Meksyku).

Sezon huraganów w USA potrwa do końca listopada i wygląda na to, że co tydzień może mieć nowych bohaterów. Z kronikarskiego obowiązku przekazujemy więc, że imiona „na topie” w ostatnich dniach to Katia, Lee, Maria i Nate.

Atak na DigiNotar - wystawcę certyfikatów SSL

Sensacją tygodnia było ujawnienie szczegółów ataku na DigiNotar, holenderskiego wystawcę certyfikatów SSL. Już pod koniec września wiedzieliśmy o fałszywym certyfikacie wystawionym dla domeny google.com, umożliwiającym m.in. przeprowadzenie ataku typu man in the middle na użytkowników poczty GMail i usługi Google Docs. Jednak dopiero w poniedziałek poznaliśmy prawdziwą skalę problemu. Jak się okazało, atak trwał od czerwca, a do 20 lipca. Wygenerowanych zostało ponad 500 certyfikatów, m.in. dla domen będących własnością Microsoftu, Facebooka, Yahoo, CIA i Mossadu. Fałszywe certyfikaty wykorzystano niemal wyłącznie w Iranie.

Jak to się stało, że wystawca certyfikatów został skompromitowany? Raport Fox-IT jest w tej kwestii brutalnie szczery: źle zabezpieczone serwery, zainstalowane w źle zaprojektowanej sieci, bez oprogramowania antywirusowego, nieaktualizowane, źle monitorowane, ze słabymi hasłami. To się mogło zdarzyć w sieci lokalnej osiedlowego sklepu spożywczego, ale nie powinno w organizacji kluczowej dla bezpieczeństwa systemu SSL.

Co gorsza, DigiNotar wiedział o włamaniu od 19 czerwca. Od tego czasu zamiatał problem pod dywan, licząc na to, że uda mu się uniknąć odpowiedzialności. Zupełnie inaczej zachował się GlobalSign, który też mógł paść ofiarą podobnego ataku — firma wstrzymała wydawanie certyfikatów do czasu wyjaśnienia sprawy.

Czy incydent ten oznacza poważne problemy dla wiarygodności SSL, handlu elektronicznego i ogólnie bezpieczeństwa, do którego przyzwyczailiśmy się widząc https w adresie i kłódeczkę w pasku przeglądarki? Naszym zdaniem nie. To, że jeden producent zamków okazał się mało solidny, nie oznacza jeszcze, że w drzwiach zaczniemy montować łańcuchy, zasuwy lub inne, całkowicie nowe zabezpieczenia.

Warto również pamiętać, że fałszywy certyfikat to dopiero połowa sukcesu. Atak man in the middle wymaga dodatkowo przejęcia ruchu sieciowego (np. poprzez DNS poisoning, jak na przykład 5 września w Turcji).

Warto jednak wykorzystać lekcję DigiNotar i spojrzeć krytycznie na zabezpieczenia sieci i systemów w firmie. Wszystkim, którzy zabezpieczają swoje serwery przy pomocy certyfikatów SSL, polecamy zastanowić się nad ryzykiem nagłego unieważnienia certyfikatu głównego CA.

Blackout w Kaliforni, Arizonie i Meksyku

Ósmy września w Kalifornii był wyjątkowo gorący, temperatura przekraczała 40 stopni Celsjusza. Około 15:40 w San Diego zgasły światła, co nie jest niczym zaskakującym w tak gorący dzień, kiedy wszystkie klimatyzatory pracują z pełną mocą. Uruchomiono generatory zapasowe i wszyscy nastawili się na szybki powrót zasilania. Wkrótce okazało się jednak, że awaria jest poważniejsza, niż początkowo sądzono. Zachodnia Arizona i północny Meksyk również były pozbawione prądu.

Bezpośrednią przyczyną awarii była próba wymiany wadliwego elementu nadzorującego sieć energetyczną w jednej z mniejszych stacji. Spowodowało to wyłączenie linii 500kV zasilającej południową część Kalifornii. Równocześnie przerwane zostało zasilanie z drugiej linii z północnej części stanu. Brak prądu doprowadził do chaosu na drogach, przerwania pracy portu lotniczego w San Diego oraz wyłączenia dwóch elektrowni jądrowych. Szacuje się, że zdarzeniem dotkniętych było nawet 5 milionów mieszkańców. Wielu z nich w piątek wciąż nie miało dostępu do energii elektrycznej.

Cała sieć w dużym stanie posiadała pojedynczy punkt awarii. Czy blackoutu dało się uniknąć? Być może… Współczesne systemy — nie tylko energetyczne i komputerowe, ale również finansowe, ekonomiczne, geopolityczne i inne — są coraz bardziej złożone i trudniejsze do nadzorowania. Ryzyko „unknown unknowns” rośnie więc w każdej branży.

Plany ciągłości działania

Skończyły się wakacje i większość z nas wróciła z urlopów. Warto wykorzystać świeży zapał do pracy i dokonać przeglądu naszych planów ciągłości działania i list zagrożeń. Czy zmieniło się coś istotnego w naszym otoczeniu? Czy ciągłość naszych procesów uzależniona jest od pojedynczych, słabo zabezpieczonych zasobów? Jak wygląda aktualność list kontaktowych? Czy nie zmieniły się trasy dojazdu do lokalizacji zapasowych? Przygotujmy się, aby nie zaskoczyły nas wyzwania jesieni.

Jeśli potrzebujesz wsparcia w zakresie ciągłości działania, napisz do nas maila na adres: kontakt@resilia.pl .
O wszystkich naszych usługach przeczytasz w tym miejscu.

Warto przeczytać:

  • Microsoft releases patch to shun DigiNotar certificates
  • Why Diginotar may turn out more important than Stuxnet – Securelist
  • Nearly 300,000 Iranian IP Addresses Likely Compromised – CSO Online – Security and Risk
  • DigiNotar investigators uncover woeful security – Hackers – SC Magazine Australia – Secure Business Intelligence
  • BBC News – Iranians hit in email hack attack
  • Spy agencies hit by CA hack; Iran suspected – ZDNet Asia News
  • DigiNotar Hacker Comes Out – F-Secure Weblog : News from the Lab
  • GlobalSign stops issuing SSL certificates in response to Iranian hacker | Naked Security
  • Iranian net users hacked after security breach in Holland | Technology | guardian.co.uk
  • Operator blamed for massive blackout in U.S., Mexico
  • Report From the Blackout
  • Wide-area power outage hits Southwest US
Skontaktuj się z nami
Resilia Sp. z o.o.
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818

Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci imienia, nazwiska, adresu e-mail, nr telefonu przez Resilia Spółka z o.o. w celu prowadzenia działań marketingowych dotyczących jej produktów lub usług, w tym przesyłania informacji handlowych, w formie:



Podanie danych osobowych oraz wyrażenie zgody na ich przetwarzanie i/lub otrzymywanie newslettera jest dobrowolne.

Zgoda na przetwarzanie danych osobowych może zostać wycofana w dowolnym momencie przez złożenie oświadczenia – pisemnie – na adres Resilia sp. z o. o. ul. Żurawia 43 lok 205, 00-680 Warszawa lub elektronicznie – na adres kontakt@resilia.pl

Administratorem Pana/Pani danych osobowych jest Resilia Spółka z o.o. Więcej o przetwarzaniu danych osobowych w związku ze skorzystaniem z formularza kontaktowego oraz usługą newsletter w Polityce prywatności.

Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.

    Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci imienia,
    nazwiska, nr telefonu, adresu e-mail przez Resilia Spółka z o.o. w celu
    prowadzenia działań marketingowych dotyczących jej produktów lub usług, w
    tym przesyłania informacji handlowych, w formie:



    Podanie danych osobowych oraz wyrażenie zgody na ich przetwarzanie i/lub
    otrzymywanie newslettera jest dobrowolne.

    Zgoda na przetwarzanie danych osobowych może zostać wycofana w dowolnym
    momencie przez złożenie oświadczenia – pisemnie – na adres Resilia sp. z o.
    o. ul. Żurawia 43 lok 205, 00-680 Warszawa lub elektronicznie – na adres
    kontakt@resilia.pl

    Administratorem Pana/Pani danych osobowych jest Resilia Spółka z o.o. Więcej
    o przetwarzaniu danych osobowych w związku z zapisem na szkolenie lub
    webinar oraz usługą newsletter w Polityce prywatności.