Jump to content

χρεωκόπησε η Diginotar


afotakel
 Share

Recommended Posts

http://news.cnet.com/8301-17939_109-20109522-2/diginotar-files-for-bankruptcy/

Και όλο αυτό επειδή έχασε ό,τι πολυτιμότερο πουλούσε: Εμπιστοσύνη.

...πράγμα που μου έφερε στο μυαλό κάτι που άκουσα σήμερα:

Security is always too much until it is not enough

περαστικά

Link to comment
Share on other sites

Δεν υπάρχει εγγγυημένη ασφάλεια πληροφοριακών συστημάτων και όσες εταιρείες το πουλάνε απλά πουλάνε ΑΕΡΑ....

Απλά υπάρχουν κάποιες διαδικασίες ασφάλειας πληροφοριακών συστημάτων και Services που δίνονται από κάποιους οργανισμούς ή Vendors με τα δεδομένα γνώσεις

που έχουν για το θέμα μεχρι σήμερα.

Αλλά επειδή στο IT οι εξελίξεις τεχνολογίας και τα δεδομένα αλλάζουν με ταχυς ρυθμούς σημαίνει απλά ότι όλοι οι οδηγοί ασφάλειας συστημάτων είναι ήδη ετεροχρονισμένοι από την ημέρα της έκδοση τους.

Αν σκεφτεί κανείς ότι τα SSL Certificates απλά είναι ένας αλγόριθμος που έχει μια εταιρεία και με αυτόν παράγει τα Certificates καταλαβαίνει ότι αν κάποιος υποκλέψει το μαθηματικό μοντέλο του αλγορίθμου παραγωγής πιστοποιητικών άμεσα ΟΛΑ τα Certificates που εκδόθηκαν από αυτήν την εταιρεία είναι πλέον ουσιαστικά ΑΝΕΝΕΡΓΑ ως ΜΗ αξιόπιστα.

Link to comment
Share on other sites

  • 2 weeks later...

Το μόνο που πουλάνε αυτές οι εταιρείες είναι εμπιστοσύνη. Αυτή προέρχεται τόσο από την επιχειρηματική ασφάλεια που διατηρεί όσο και από το κατά πόσο την τηρεί. Η συγκεκριμένη εταιρεία, από ότι διάβασα, δεν διατηρούσε καν τέτοιες πρακτικές αφού βρέθηκε (μεταξύ πολλών άλλων) να μην έχει ούτε καν antinvirus εγκατεστημένο στους servers της. Απορώ πως την εμπιστεύτηκαν όλοι οι μεγάλοι...

Link to comment
Share on other sites

Αν σκεφτεί κανείς ότι τα SSL Certificates απλά είναι ένας αλγόριθμος που έχει μια εταιρεία και με αυτόν παράγει τα Certificates καταλαβαίνει ότι αν κάποιος υποκλέψει το μαθηματικό μοντέλο του αλγορίθμου παραγωγής πιστοποιητικών άμεσα ΟΛΑ τα Certificates που εκδόθηκαν από αυτήν την εταιρεία είναι πλέον ουσιαστικά ΑΝΕΝΕΡΓΑ ως ΜΗ αξιόπιστα.

Δεν είναι ακριβώς έτσι φίλε skok, η μαγική φράση (μαθηματική για τους επιστήμονες) για τα certificates και το PKI είναι η "one way function" που σημαίνει ότι μας δίνει τη δυνατότητα να εξάγουμε αποτέλεσμα από οποιαδήποτε είσοδο αλλά να είναι "σχεδόν" αδύνατο να υπολογίσουμε την είσοδο από την έξοδο (το αποτέλεσμα). Συνεπώς το μαθηματικό μοντέλο που αναφέρεις παραπάνω και να το κλέψει κάποιος τι ακριβώς θα μπορούσε να κάνει; Think about it..... (hint πχ αν είχε την έξοδο πως θα έβρισκε την είσοδο; και το αντίστροφο, στην καλύτερη θα του έπαιρνε χρόνια και το αποτέλεσμα ενδεχομένως να ήταν μη χρήσιμο πια).

Link to comment
Share on other sites

Δεν είπα αυτό Γιώργο, το αντιθετο είπα αν πάρεις το Engine(τον αλγόριθμο παραγωγής) του CA της π.χ Verisign και το private key μπορείς να παράγεις Certificates σαν να είσαι η Verisign ?

Ειναι γνωστό ότι το αντίθετο και να εξάγεις κάτι απο το Certificate λόγω του τρόπου / αλγοριθμου που παράγετε δεν γίνεται τουλάχιστον μέχρι σήμερα.

Το ίδιο έγινε και με την Diginotar http://www.vasco.com/company/press_room/news_archive/2011/news_diginotar_reports_security_incident.aspx

Αν έστω και ένα "αληθινό" Certificate γνήσια υπογεγραμμένο από Verisign Key/Certificate παραχθεί τότε η οποιαδήποτε Verisign απλά ΔΕΝ υπάρχει άμεσα ΟΛΟΙ και οι Browsers θα καταργήσουν τα CA Certificates της ως μη αξιόπιστα.

Και ας αλλάξει αύριο μηχανισμο παραγωγής Certificates αυτή η εταιρεία θα έχει χάσει πλέον την αξιοπιστία της.

Link to comment
Share on other sites

Ωραία τώρα είναι πιο ξεκάθαρο για όλους :)

Αυτό που έπαθε λοιπόν η εν λόγω εταιρία ήταν ακριβώς αυτό που περιέγραψες μόλις, κάποιος τύπος κατάφερε να τρυπώσει και άρχισε να χρησιμοποιεί την υποδομή τους (το πιο πιθανό από αυτά που διάβασα) για να εκδώσει πιστοποιητικά (ουτε καν χρειάστηκε να έχει πρόσβαση μάλλον στο μυστικό της μονόδρομης συνάρτησης), σκέψου ότι ο μηχανισμός παραγωγής certificates είναι σχετικά απλουστεύμενος στη χρήση του, όπως η μηχανή του κιμά (παράδειγμα ενός καθηγητή μου στο σχετικό μάθημα στο πανεπιστήμιο).

Το τραγικό είναι ότι αυτοί οι οργανισμοί έπρεπε να έχουν δρακόντια μέτρα, σωστές διαδικασίες (είτε λειτουργικές είτε ασφαλείας καθώς και διοικητικές) και να ελέγχονται από ένα σκασμό εξωτερικές εταιρίες auditing, μην πω να διενεργούν penetration tests 8 φορές το 24ωρο, αλλά φαίνεται ότι αρπακολατζήδες δεν υπάρχουν μόνο στο Ελλάντα.....

Another one bites the dust....

Link to comment
Share on other sites

Πιστεύω ότι έχουμε περάσει στην δεκαετία της απομυθοποιήσης σε οτιδηποτε έχει να κάνει με την ασφάλεια γενικά πληροφοριακών συστημάτων.

Η δεκαετία του '90 ήταν η δεκαετία της "άγνοιας" και "παραπληροφόρησης" σε σχέση με το WWW και την ασφάλεια .

Η δεκαετία το '00 ήταν η δεκαετία της "πληροφόρησης" της μυθοποίησης και του Marketing...Πουλάμε κάτι που λέγετε Ασφάλεια το μυθοποιούμε το οτιδήποτε έχει σχέση με αυτά.

Επίσης σε αυτήν την δεκαετία αποκτήσαμε και διαφορες εταιρείες Εγγυητές Ασφαλειας  , Auditors κάτι ISO SOX κατι διαδικασίες ITIL και διάφορα άλλα κωμικοτραγικά

με διαδικασίες 30000 σελίδων ΜΗ ΤΕΧΝΙΚΕΣ κτλ.

Πως γίνετα οι εταιρείες να παίρνουν κάτι βούλες ασφαλείας ISO κτλ γράφοντας 30000 σελίδες με Business πληροφορία χωρίς τεχνική εμβάθυνση δεν το κατάλαβα ποτέ ...

Marketing πουλάμε αερα και ασφάλεια και διαδικασίες ...επηξε το σύμπαν του IT από διαδικασίες.

Ο κάθε Manager έχει και ένα book 30000 σελίδων απο την εταιρεία για το τι πρέπει ή όχι να κάνει.

Η δεκαετία που διανύουμε '10 όλα αυτά θα απομυθοποιηθούν και πλέον κανένας δεν θα μπορεί να εγγυηθεί καμία ασφάλεια πληροφοριακού συστήματος.

Και έχουν αρχισει σιγά σιγά να υπάρχουν και να αναδυκνύονται κενά ασφαλείας σε μεγάλους οργανισμούς και εταιρείες ( Sony ) κτλ.

Aλήθεια η Sony δεν είχε ISO SOX και όλα αυτά τα ωραια marketing κόλπα "πουλάμε διαδικασίες" ?

Είπα στην αρχή του thread ότι λόγω ταχύτητας ανάπτυξης της Τεχνολογίας στο χώρου του IT οποιαδήποτε διαδικασία ασφαλείας συστήματος εκδίδετε σήμερα θα είναι πλέον απο άυριο "σχετικά" ετεροχρονισμένη αρα θεωρητικά ανενεργή.

Οι διαδικασίες ασφάλειας εκδίδονται απο το Vendor του OS/Services ή απο κάποιον που πουλάει ασφάλεια με τις γνώσεις που έχει σήμερα για το αντικείμενο.

Αποτέλεσμα οι διαδικασίες ασφαλείας για ένα προιον να αναθεωρούνται συνεχώς και ο λόγος είναι ότι άμεσα μόλις βγούνε πρέπει την επόμενη μέρα να αναθεωρηθούν γιατί πιθανόν να είναι ήδη "παλιες" .

Ειμαι υπερβολικός θα μου πείτε αλλά έτσι περίπου είναι .

Επίσης όλες οι εταιρείες έχουν κάνει τους engineers τους  να γράφουν κάθε μέρα σελίδες με το τι κάνανε όπως προστάζουν κάτι διαδικασίες SOX ISO ITIIL κτλ και χάνουν την ουσία.

Ε Manager ... ωραίο το ITIL αλλά έχεις τρύπιο Web Services - SQL - και Exchange ...δεν το πρόβλεψε το Managerial Βοοκ για ITIL που διάβασες όχι Ε?

Και τώρα πως θα το κλείσουμε αφού δεν το γραφει η διαδικασία που μας δώσανε ...E ? Πανικός δεν έχουμε διαδικασία να καλέσουμε ένα Auditor ...ε .. τον ειδικό.

Μπήκανε όλες οι εταιρείες σε αυτό το τρυπάκι του "γραφω βιβλία με διαδικασίες" για να πάρω ένα χαρτί και μία βούλα που κάποιος θα με πιστοποιεί ότι είμαι ασφαλής και τηρώ τους νόμους και το σύνταγμα του IT.

Και χάσανε το βασικό : Την ασφάλεια και να έχουν μια ομάδα που να ασχολείτε μόνο με αυτό και να είναι υπεύθυνη για αυτό.

Στηρίζονται σε διαδικασίες που τους γράψανε άλλοι για την ασφάλεια τους... γιατί οι άλλοι είναι πιστοποιημένοι εταιρείες auditing κτλ έχουν την βούλα πουλάνε ασφάλεια και ΑΕΡΑ.

Μου θυμήζει αυτο ότι γίνετε στα KTEO .Παίρνεις μια βούλα για να κυκλοφορείς ακόμη και αν ο "κουβάς" σου ειναι επικύνδυνος να κυκλοφορήσει...

Αρα το θέμα μια εταιρείας πλέον είναι ΟΧΙ να είναι πράγματι ασφαλής αλλά να έχει περάσει τα "auditing" τεστς που έχουν καταγραψει ως διαδικασία άλλοι για να πάρει μια πιστοποίηση ασφαλείας... ΠΕΡΑΣΤΙΚΑ !!!

Link to comment
Share on other sites

skok, θίγεις ενδιεφέροντα πράγματα αλλά γενικά, θα διαφωνήσω. Το ότι πολλές διαδικασίες και πρότυπα δεν έχουν εφαρμοστεί σωστά δε σημαίνει ότι δεν έχουν λόγο ύπαρξης. Κατ'αρχήν καμμία μα καμμία επιτυχημένη συνταγή ασφάλειας (και όχι μόνο) δεν εφαρμόζεται από κάτω προς τα πάνω. Δηλαδή, χωρίς την υποστήριξη της διοίκησης, η ασφάλεια (όπως και οτιδήποτε άλλο) δεν μπορεί να είναι πλήρης. Διότι μην ξεχνάμε ότι η ασφάλεια δεν είναι μόνο θέμα τεχνικό αλλά πολύ περισσότερα πράγματα. Από physical security μέχρι, ναι, και τις διαδικασίες. Και όλα αυτά τα μη-τεχνικά (διαδικασίες, πιστοποιήσεις, ISO κλπ) υπάρχουν για να τυποποιήσουν/απλοποιήοουν το πως δουλεύει η εταιρεία. Η ασφάλεια δεν είναι ο σκοπός τους αλλά σίγουρα βοηθιέται όταν τα παραπάνω εφαρμόζονται σωστά. Σε μαθηματικούς όρους, οι διαδικασίες κλπ είναι ικανή αλλά όχι αναγκαία συνθήκη - χωρίς αυτά δεν έχεις ασφάλεια, αλλά η παρουσία τους και μόνο δεν την εγγυάται.

Επίσης, η κάθε εταιρεία δραστηριοποιείται σε 3 επίπεδα: Strategical, Tactical, Operational. Και χρειάζονται όλα για να δουλέψει ασφάλεια ικανοποιητικά. Το τεχνικό μέρος αφορά στο Operational το οποίο αν και είναι σημαντικό δεν αναιρεί τα άλλα. Για την ακρίβεια, δεν μπορεί να υπάρξει χωρίς αυτά. Και σε αυτά αναφέρονται τα frameworks, guidelines κλπ.

Το παράδειγμα με το ΚΤΕΟ είναι έξοχο. Αλλά το ότι δεν εφαρμόζεται σωστά ή θέλει βελτίωση δεν αναιρεί τη χρησιμότητά του (μια βόλτα σε Αλβανία & Σκόπια που δεν έχουν ΚΤΕΟ θα μας πείσει όλους).

Τέλος, τα SOX & ITIL δεν έχουν παρά έμμεση σχέση με την ασφάλεια. Το δε auditing δεν είναι αποτρεπτικό μέσο αλλά υπάρχει για να αποθαρρύνει και να ανιχνεύει τα προβλήματα.

Εν κατακλείδει: Χωρίς "security governance" (δεν ξέρω τον ελληνικό όρο δυστυχώς) δεν πας πουθενά. Και αυτόα προϋποθέτει και διαδικασίες, και θεωρητικά/αόριστα πράγματα αλλά και τεχνικά/χειροπιαστά.

 

Link to comment
Share on other sites

 Share

×
×
  • Create New...