Przegląd tygodnia: finał DigiNotar, kłopoty SSL, raport o cyberbezpieczeństwie

clock 3m 22s

Kilka słów o tym, że zamknięcie biznesu czasami oznacza dobre zarządzanie i o tym, że nasze dane są w niebezpieczeństwie (znowu). Dodatkowo pouczający raport o cyberbezpieczeństwie.

Zgubne skutki utraty zaufania - o DigiNotar

Na początku września pisaliśmy o włamaniu do DigiNotar — holenderskiego wystawcy certyfikatów SSL. Sprawa bardzo szybko znalazła swój finał, gdy firma VASCO — amerykański właściciel DigiNotara — poinformowała o zgłoszeniu wniosku o upadłość swojej duńskiej córki. Przy okazji zgrabnie odcięła się od firmy zależnej („Infrastruktura obu firm jest całkowicie odizolowana, co oznacza brak ryzyka infekcji działalności VASCO związanej z silnym uwierzytelnianiem”), w którą jeszcze w styczniu tak bardzo wierzyła („Ufamy, że inwestycja w DigiNotar będzie miała zasadnicze znaczenie dla przyszłego wzrostu i sukcesu VASCO”).

Być może w innym czasie i w innej branży podobna wpadka zakończyłaby się mniej spektakularnie — wadliwa partia zostałaby wycofana, prezes zarządu być może podałby się do dymisji, spadłaby cena akcji (przy obecnej koniunkturze na giełdach spadłaby po prostu trochę bardziej, niż cała reszta rynku)… i na tym pewnie by się skończyło.

Upadek DN pokazuje diametralną różnicę w poziomie zarządzania ryzykiem (i incydentem) w VASCO i jej spółce zależnej. Z jednej strony fatalnie zarządzana działalność podstawowa. Przypomnę: źle zabezpieczone serwery, zainstalowane w źle zaprojektowanej sieci, bez oprogramowania antywirusowego, nieaktualizowane, źle monitorowane, ze słabymi hasłami. Dodatkowo totalny brak jakiejkolwiek informacji przez długie tygodnie. Z drugiej strony szybka reakcja i eliminacja ryzyka (zamknięcie zagrożonego biznesu). Gratuluję VASCO odwagi przyznania się do błędu, bo nie wątpię, że mogliby próbować ratować Holendrów.

SSL też ma się nienajlepiej

Skoro już jesteśmy w temacie podstaw bezpieczeństwa sieci WWW, warto wspomnieć o „bestii”.

„Browser Exploit Against SSL/TLS” (w skrócie: BEAST) jest narzędziem stworzonym przez Thai Duonga i Juliano Rizzo; stanowi pierwszą udaną implementację ataku na poufność transmisji (wcześniejsze ataki naruszały autentyczność). Pocieszeniem (minimalnym) jest fakt, że odszyfrowanie sensownej ilości danych zajmuje mu sporo czasu (pół godziny dla paczki 2 kilobajtów), ale kwestią czasu jest optymalizacja algorytmu (poza tym, od czego mamy niezliczone serwery dostępne w chmurze?).

Co możemy zrobić, kiedy chwieją się kolejne warstwy zabezpieczeń? Najpierw model zaufania centrów autoryzacji, a teraz sam protokół? Możemy postawić kolejne warstwy — na przykład zacząć szyfrować pocztę PGP, jeśli nie chcemy, by włamywacze podglądali przez webmaila naszą korespondencję. Możemy też próbować zmniejszyć wartość chronionych zasobów. Coraz bardziej obawiam się o bezpieczeństwo danych mojej karty kredytowej, dlatego w transakcjach internetowych zacząłem posługiwać się kartą przedpłaconą.

Rok 2011 pod znakiem naruszeń bezpieczeństwa

RSA, Sony, Citigroup, Lockhead Martin, SEGA, SK Communications i ponad dwadzieścia innych dużych firm padło ofiarą włamywaczy. Nad wyraz dużo tego było ostatnio, dlatego analitycy z X-Force — specjalnego centrum R&D IBMa do spraw bezpieczeństwa — ochrzcili 2011 rokiem naruszeń bezpieczeństwa.

Dwa krótkie cytaty „reklamujące” raport (uwaga, będzie trochę nowomowy tłumaczonej z angielskiego, ale przesłanie słuszne):

Każde nowe naruszenie bezpieczeństwa zwiększa świadomość podstawowego bezpieczeństwa sieci nie tylko jako problemu technicznego, ale raczej jako złożonego wyzwania biznesowego, w którym należy wziąć pod uwagę delikatną równowagę pomiędzy ekspozycją na ryzyko, komunikacją, edukacją użytkowników oraz technologią.

Urządzenia mobilne szybko stają się główną platformą dla malware. Wzrost ilości szkodliwego oprogramowania bazuje na usługach premium SMS, dzięki którym można pobierać opłaty od użytkowników, a także na rosnącej popularności urządzeń oraz niezałatanym dziurom w platformach mobilnych.

Którędy wchodzą włamywacze, czy się różni phishing od whaling i co dla przedsiębiorstw oznacza rosnąca liczba smartfonów — dowiecie się z raportu X-Force.

 

Skontaktuj się z nami
Resilia Sp. z o.o.
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818

Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci imienia, nazwiska, adresu e-mail, nr telefonu przez Resilia Spółka z o.o. w celu prowadzenia działań marketingowych dotyczących jej produktów lub usług, w tym przesyłania informacji handlowych, w formie:



Podanie danych osobowych oraz wyrażenie zgody na ich przetwarzanie i/lub otrzymywanie newslettera jest dobrowolne.

Zgoda na przetwarzanie danych osobowych może zostać wycofana w dowolnym momencie przez złożenie oświadczenia – pisemnie – na adres Resilia sp. z o. o. ul. Żurawia 43 lok 205, 00-680 Warszawa lub elektronicznie – na adres kontakt@resilia.pl

Administratorem Pana/Pani danych osobowych jest Resilia Spółka z o.o. Więcej o przetwarzaniu danych osobowych w związku ze skorzystaniem z formularza kontaktowego oraz usługą newsletter w Polityce prywatności.

Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.

    Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci imienia,
    nazwiska, nr telefonu, adresu e-mail przez Resilia Spółka z o.o. w celu
    prowadzenia działań marketingowych dotyczących jej produktów lub usług, w
    tym przesyłania informacji handlowych, w formie:



    Podanie danych osobowych oraz wyrażenie zgody na ich przetwarzanie i/lub
    otrzymywanie newslettera jest dobrowolne.

    Zgoda na przetwarzanie danych osobowych może zostać wycofana w dowolnym
    momencie przez złożenie oświadczenia – pisemnie – na adres Resilia sp. z o.
    o. ul. Żurawia 43 lok 205, 00-680 Warszawa lub elektronicznie – na adres
    kontakt@resilia.pl

    Administratorem Pana/Pani danych osobowych jest Resilia Spółka z o.o. Więcej
    o przetwarzaniu danych osobowych w związku z zapisem na szkolenie lub
    webinar oraz usługą newsletter w Polityce prywatności.