Przegląd tygodnia: finał DigiNotar, kłopoty SSL, raport o cyberbezpieczeństwie

Kilka słów o tym, że zamknięcie biznesu czasami oznacza dobre zarządzanie i o tym, że nasze dane są w niebezpieczeństwie (znowu). Dodatkowo pouczający raport o cyberbezpieczeństwie.

Zgubne skutki utraty zaufania – o DigiNotar

Na początku września pisaliśmy o włamaniu do DigiNotar — holenderskiego wystawcy certyfikatów SSL. Sprawa bardzo szybko znalazła swój finał, gdy firma VASCO — amerykański właściciel DigiNotara — poinformowała o zgłoszeniu wniosku o upadłość swojej duńskiej córki. Przy okazji zgrabnie odcięła się od firmy zależnej („Infrastruktura obu firm jest całkowicie odizolowana, co oznacza brak ryzyka infekcji działalności VASCO związanej z silnym uwierzytelnianiem”), w którą jeszcze w styczniu tak bardzo wierzyła („Ufamy, że inwestycja w DigiNotar będzie miała zasadnicze znaczenie dla przyszłego wzrostu i sukcesu VASCO”).

Być może w innym czasie i w innej branży podobna wpadka zakończyłaby się mniej spektakularnie — wadliwa partia zostałaby wycofana, prezes zarządu być może podałby się do dymisji, spadłaby cena akcji (przy obecnej koniunkturze na giełdach spadłaby po prostu trochę bardziej, niż cała reszta rynku)… i na tym pewnie by się skończyło.

Upadek DN pokazuje diametralną różnicę w poziomie zarządzania ryzykiem (i incydentem) w VASCO i jej spółce zależnej. Z jednej strony fatalnie zarządzana działalność podstawowa. Przypomnę: źle zabezpieczone serwery, zainstalowane w źle zaprojektowanej sieci, bez oprogramowania antywirusowego, nieaktualizowane, źle monitorowane, ze słabymi hasłami. Dodatkowo totalny brak jakiejkolwiek informacji przez długie tygodnie. Z drugiej strony szybka reakcja i eliminacja ryzyka (zamknięcie zagrożonego biznesu). Gratuluję VASCO odwagi przyznania się do błędu, bo nie wątpię, że mogliby próbować ratować Holendrów.

SSL też ma się nienajlepiej

Skoro już jesteśmy w temacie podstaw bezpieczeństwa sieci WWW, warto wspomnieć o „bestii”.

„Browser Exploit Against SSL/TLS” (w skrócie: BEAST) jest narzędziem stworzonym przez Thai Duonga i Juliano Rizzo; stanowi pierwszą udaną implementację ataku na poufność transmisji (wcześniejsze ataki naruszały autentyczność). Pocieszeniem (minimalnym) jest fakt, że odszyfrowanie sensownej ilości danych zajmuje mu sporo czasu (pół godziny dla paczki 2 kilobajtów), ale kwestią czasu jest optymalizacja algorytmu (poza tym, od czego mamy niezliczone serwery dostępne w chmurze?).

Co możemy zrobić, kiedy chwieją się kolejne warstwy zabezpieczeń? Najpierw model zaufania centrów autoryzacji, a teraz sam protokół? Możemy postawić kolejne warstwy — na przykład zacząć szyfrować pocztę PGP, jeśli nie chcemy, by włamywacze podglądali przez webmaila naszą korespondencję. Możemy też próbować zmniejszyć wartość chronionych zasobów. Coraz bardziej obawiam się o bezpieczeństwo danych mojej karty kredytowej, dlatego w transakcjach internetowych zacząłem posługiwać się kartą przedpłaconą.

Rok 2011 pod znakiem naruszeń bezpieczeństwa

RSA, Sony, Citigroup, Lockhead Martin, SEGA, SK Communications i ponad dwadzieścia innych dużych firm padło ofiarą włamywaczy. Nad wyraz dużo tego było ostatnio, dlatego analitycy z X-Force — specjalnego centrum R&D IBMa do spraw bezpieczeństwa — ochrzcili 2011 rokiem naruszeń bezpieczeństwa.

Dwa krótkie cytaty „reklamujące” raport (uwaga, będzie trochę nowomowy tłumaczonej z angielskiego, ale przesłanie słuszne):

Każde nowe naruszenie bezpieczeństwa zwiększa świadomość podstawowego bezpieczeństwa sieci nie tylko jako problemu technicznego, ale raczej jako złożonego wyzwania biznesowego, w którym należy wziąć pod uwagę delikatną równowagę pomiędzy ekspozycją na ryzyko, komunikacją, edukacją użytkowników oraz technologią.

Urządzenia mobilne szybko stają się główną platformą dla malware. Wzrost ilości szkodliwego oprogramowania bazuje na usługach premium SMS, dzięki którym można pobierać opłaty od użytkowników, a także na rosnącej popularności urządzeń oraz niezałatanym dziurom w platformach mobilnych.

Którędy wchodzą włamywacze, czy się różni phishing od whaling i co dla przedsiębiorstw oznacza rosnąca liczba smartfonów — dowiecie się z raportu X-Force.