» »

Hekerji večkrat napadli VeriSign, podjetje molčalo

Hekerji večkrat napadli VeriSign, podjetje molčalo

Reuters - Na plano so pricurljale informacije, da je bil VeriSign v letu 2010 večkrat žrtev hekerskih napadov, a o tem do letos niso obvestili nikogar. Z napadom niso bili seznanjeni niti delničarji, nadzorni organi podjetja, regulatorji trga vrednostnih papirjev in celo višji menedžment podjetja. Reuters je odkril, da so neznani storilci leta 2010 večkrat napadli računalniške sistema podjetja VeriSign, a resnost in posledice napadov niso dobro znane.

VeriSign je napade razkril šele lani oktobra v poročilu ameriškemu regulatorju trga vrednostnih papirjev SEC-u, saj je ta 13. oktobra od kotirajočih podjetij zahteval razkritje vseh incidentov v zvezi z varnostjo računalniških sistemov (a zanimivo ni predpisal sankcij za nespoštovanje tega navodila). Javnosti v VeriSignu o tem niso posebej obveščali, a so se novinarji pri Reutersu svojega posla lotili z dovolj skrbnosti in predanosti, da so prečesali več kot 2000 poročil. Po več mesecih dela so naleteli tudi na VeriSignov dokument.

V zadnjem letu smo poročali o napadih certifikatska overitelja DigiNotar in Comodo, s čimer je bilo precej načeto zaupanje v sistem certifikatov za SSL. VeriSign pa je v tem pogledu še večja riba. Podjetje upravlja dva izmed trinajstih vrhovnih imenskih strežnikov (A in J), poleg tega pa je tudi odgovorni registrar za vrhovni domeni .com in .net. Do leta 2010 so bili tudi eden izmed priznanih overiteljev SSL-certifikatov, a so to dejavnost kasneje odprodali Symantecu. To pomeni, da se danes na VeriSign naslanja 56 odstotkov vseh gostiteljev DNS (hosts), njegovi strežniki pa odgovarjajo na 50 milijard poizvedb dnevno, zato je podjetje ključnega pomena za delovanje interneta.

Vdor v táko podjetje ni majhna stvar, zato je nerazumljivo, da javnosti niso obvestili o več vdorih. Iz meglene dikcije v poročilu SEC-u prav tako ni mogoče ugotoviti obsega, resnosti ali posledic napada. Zapisali so le, da napadi niso ogrozili integritete DNS-strežnikov ali SSL-certifikatov, podrobnejših pojasnil pa niso dali. Sporočili so še, da so po napadih takoj izvedli ukrepe za preprečitev in izboljšanje varnosti, a vodstva podjetja o napadih niso obvestili do sredine leta 2011. Ken Silva, ki je bil do novembra 2010 v podjetju zaposlen kot vodja IT-oddelka, je zanje izvedel šele od novinarjev.

29 komentarjev

gruntfürmich ::

očitno ni šlo za tako stvar da bi bilo treba zganjati preplah...
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...

barakus ::

SSL je joke...

Spura ::

Mene bolj skrbi, da bo kdo SIGEN-CA zjebal. Glede na to, da tisti certifikati predstavljajo identiteto osebe in ne neke spletne strani.

Gregor P ::

Z napadom niso bili seznanjeni niti delničarji, nadzorni organi podjetja, regulatorji trga vrednostnih papirjev in celo višji menedžment podjetja.

a vodstva podjetja o napadih niso obvestili do sredine leta 2011. Ken Silva, ki je bil do novembra 2010 v podjetju zaposlen kot vodja IT-oddelka

... kdo točno je potem sploh vedel za napade? Tisti iz IT oddelkov, ki so tiste dni slučajno bili v službi za računalnikom? Omerta pa to 8-O
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

mkljun ::

Tudi meni ni ravno jasno ... kdo je oddal poročilo SEC-u? Taka poročila ponavadi oddajajo vodje sektorjev. In če vodja IT sektorja poročila ni prebral preden je šlo naprej, je to njegova stvar. IT sektor je verjetno tudi edini, ki je vedel za to. V računovodskem sektorju najverjetneje niso pisali o tem. Mah ..

RejZoR ::

Zakaj se mi zdi, da imajo vse te firme sistem, baši čim več denarja, zadaj pa stoji trop clueles šalabajzerjev? Če se firma ukvarja z varnostjo morajo imeti tud sami vse pošlihtano in kar se da zavarovano.
Angry Sheep Blog @ www.rejzor.tk

Spura ::

Zato ker ponavadi je trop salabajzerjev.

In zato me skrbi informatizacija upravnih postopkov, med tem ko je drzavni IT salabajzerstvo delux.

Zgodovina sprememb…

  • spremenil: Spura ()

Mipe ::

Danes je pomemben samo še denar, zato nihče ne gleda več na kvaliteto, vsaj interno ne. Blago se prodaja in trži kot top kvaliteta, medtem ko v resnici večkrat pade na tovarniška tla.

Kje je zdaj stremenje k vrhunski kvaliteti tako storitve, proizvoda kot procesa?

nekikr ::

Stremenje je, ampak ker si ti prevelik škrtuh, da bi to plačal, tega posledično nimamo.

Matthai ::

Problem so tudi slovenska IT podjetja, ki večinoma nimajo pojma o varnosti. Pol pa vidiš kako so sprogramirali Sparkasse in še kakšno drugo banko, in ti je vse jasno...
All those moments will be lost in time, like tears in rain...
Time to die.

ZaphodBB ::

Problem so tudi slovenska IT podjetja, ki večinoma nimajo pojma o varnosti. Pol pa vidiš kako so sprogramirali Sparkasse in še kakšno drugo banko, in ti je vse jasno...


No to ni ravno neka značilnost slovenskih podjetij. Cel Enterprise sektor je tak.

enadvatri ::

Gregor P je izjavil:

Z napadom niso bili seznanjeni niti delničarji, nadzorni organi podjetja, regulatorji trga vrednostnih papirjev in celo višji menedžment podjetja.

a vodstva podjetja o napadih niso obvestili do sredine leta 2011. Ken Silva, ki je bil do novembra 2010 v podjetju zaposlen kot vodja IT-oddelka

... kdo točno je potem sploh vedel za napade? Tisti iz IT oddelkov, ki so tiste dni slučajno bili v službi za računalnikom? Omerta pa to 8-O


Gotovo bodo nagrajeni za molk, ker niso naredili preplaha med strankami. Dvakrat (od zlobnežev in lastnega menedžmenta).

In dvomim, da je šlo za nedolžne napade, saj so se ti ponavljali, podjetje pa jih ne komentira.

Mimogrede, Schneier je pred kratkim v odzivu na to novico s svojim zapisom namignil, da to utegne biti konec rabe sistemov z dig. potrdili ...

Zgodovina sprememb…

Spura ::

Matthai je izjavil:

Problem so tudi slovenska IT podjetja, ki večinoma nimajo pojma o varnosti. Pol pa vidiš kako so sprogramirali Sparkasse in še kakšno drugo banko, in ti je vse jasno...

A niso te stvari ponavadi v rokah sistemcev, ne pa programerjev?

ender ::

Spura je izjavil:

A niso te stvari ponavadi v rokah sistemcev, ne pa programerjev?
Nekako se mi ne zdi, da bi sistemec programiral spletno banko...
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

noraguta ::

ender je izjavil:

Spura je izjavil:

A niso te stvari ponavadi v rokah sistemcev, ne pa programerjev?
Nekako se mi ne zdi, da bi sistemec programiral spletno banko...

ma jasne ločnice med programerjem in sistemcem nebi smelo bit. ampak realnost je rahlo drugačna. zato se kar strinjam z zaohodom da je neterprise market preplavljen s tovrstnimi problemi. niti sistemc ne more zasigurat slabega programa proti napadom niti programer ne more infrastrukturno bullet proof programa. pa po mojih izkušnjah obstaja veliko programerjev kateri so popolni analfabeti o sistemski administraciji. bog nedaj šele heterogenih sistemov.
Pust' ot pobyedy k pobyedye vyedyot!

BlueRunner ::

enadvatri je izjavil:

Mimogrede, Schneier je pred kratkim v odzivu na to novico s svojim zapisom namignil, da to utegne biti konec rabe sistemov z dig. potrdili ...

Konec verjetno ne, je pa pred nami zagotovo nekaj bistvenih sprememb.

Sicer pa gre zgodovina tako: Fantje pri Netscape so uporabili nekaj koščkov iz X.500 serije standardov. Na žalost pa so pi postavljanju tega PKI-ja spregledali, da so ti standardi za omejevanje škode imeli tudi nekaj nujnih predpostavk (assertions). Te pa v distribuiranem okolju razvijajočega se interneta niso bile izpolnjene in tudi še danes niso izpolnjene.

Zaradi tega je večina varnostnih strokovnjakov PKI, kot ga pozna večina laičnih uporabnikov, odpisala že dolgo tega, zgodba z Diginotar-jem, pa je bila samo še epitaf ali pa milosten strel v glavo... kakor pač to želi kdo vzeti.

Trenutno najbolj vroče ključne besede na področju reševanja teh težav so SHTS in public key pinning, dodatno pa tudi DNSSEC, ki bi trenutno obstoječo DNS infrastrukturo povzdignil skoraj na nivo tega, kar se je privzemalo za X.500 imenik.

Žal razne PIPA in SOPA zgodbe (pa tudi slovenska lokalna zgodba z UNPIS debilizmom) rušijo ravno DNSSEC, s čemer se praktično uničuje bistveno predpostavko obstoja enotnega globalnega imenika, brez katere postane izziv zagotavljanja istovetnosti sistemov zelo težko rešljiv, če se ga sploh še bo dalo potem rešiti na zadovoljiv način.

Tako, da je res... PKI verjetno ne bo izginil, zagotovo pa več ne bo podoben temu, kar imamo danes, če naj začne dejansko izpolnjevati svojo funkcijo.

Zgodovina sprememb…

kuglvinkl ::

Ja, UNPIS je prilomastil, pri tem pa pojma ni imel, kaj počne. Divje...

BlueRunner ::

kuglvinkl je izjavil:

Ja, UNPIS je prilomastil, pri tem pa pojma ni imel, kaj počne. Divje...

Ko berem to "zakonsko podlago" v Zakonu o igrah na srečo, imam za pripravljalce besedila na zalogi besede, kot so debili, kreteni, idioti, imbecili, govno, ipd. Za vsaj enega poslanca predhodnega sklica Državnega zbora, ki je dejansko javno izjavil, da je "glasoval za zakon, čeprav je ta točka slaba", pa je njegova usoda že doletela. Nekaj časa bo sicer še imel nadomestilo, srčno pa upam, da se ta usmrajenec, katerega edina naloga je bila v osnovi samo ta, da naj deluje moralno, ne bo več nikoli izvoljen na kakoršno koli politično funkcijo.

Vem, da je zakon slab, vendar ga vseeno podpiram. Idiot. Mar bi bil tiho, potem bi vsaj mislil, da je polpismen ali pa navadna lenoba, ne pa idiot.

Franco Juri.

Zakon pa je še vedno usran, kot je.

kuglvinkl ::

:)

Sam bi rad imel potrebno geografsko distanco, da bi, ko bi bilo to potrebno, posameznim subjektom povedal, kar jim gre.

Je pa prilik ananesla, da zdej besno berem ACTO. Tko kot se spodobi, z gradivi in komentarji, akademskimi članki pred tem in na to temo, ipd.

Zlo mi teče po čelu, pa sem diplomiral iz avtorskega prava, precej "vem" o infromatiki, pa še DP mi ni tuj.

No friking way, da so razen redkih izjem sploh vedeli, za kaj se gre v ACTI.

Zgodovina sprememb…

enadvatri ::

@BlueRunner, žal rešitve še ni na obzorju, polom(i) pa. Kdo je kriv, je težko iskati s kazalcem v zraku. Bolj ko ne so na tem področju varnosti razvijalci zaspali, saj zrele alternative še ni.

enadvatri ::

kuglvinkl je izjavil:

:)

Sam bi rad imel potrebno geografsko distanco, da bi, ko bi bilo to potrebno, posameznim subjektom povedal, kar jim gre.

Je pa tko, da zdej besno berem ACTO. Tko kot se spodobi, z gradivi in komentarji, akademskimi članki pred tem in na to temo, ipd.

Zlo mi teče po čelu, pa sem diplomiral iz avtorskega prava, precej "vem" o infromatiki, pa še DP mi ni tuj.

No friking way, da so razen redkih izjem sploh vedeli, za kaj se gre v ACTI.


Meni je ta sporazum sam po sebi že smešen, ker nas v osnovi niti ne more (vsaj v bližnji prihodnosti) ugrizniti. Zobe, ki so jih spisali, si ACTA na naši ustavi boleče polomi. Tako se mi zastavlja laično vprašanje, ker se mi ga ne da brati, kaj se zgodi, če ga podpisnica krši? So kakšne sankcije določene?

BlueRunner ::

enadvatri je izjavil:

@BlueRunner, žal rešitve še ni na obzorju, polom(i) pa. Kdo je kriv, je težko iskati s kazalcem v zraku. Bolj ko ne so na tem področju varnosti razvijalci zaspali, saj zrele alternative še ni.

Ne gre se za krivdo, ampak za malo zgodovine, ki pojasnjuje razlog za tezave. Igralci so drugotnega pomena.

Izhodisci za resitve sta dve: ena globalna hirearhija, ki mora biti decentralizirana (DNS + DNSSEC namesto X.500 je ena varianta). To je nacin kako prepreciti, da nekdo tretji izda potrdilo za isto DNS ime brez vednosti lastnika DNS imena. Torej stop z MITM. Drugi del pa je vprasanje neposrednega zaupanja mimo PKI. Tukaj imas tako kombinacijo HSTS in pripetih kljucev. Tako lahko tudi sam zaznas, ce se je nekdo igral s tvojim DNS.

Seveda so to samo tehnicne resitve za en aspekt tezav. Tudi niso se do konca razdelane in ni receno, da so prave ali edine zvelicave. Nekaterih drugih tezav s PKI recimo sloh ne naslavljajo. So pa to trenutno IMHO najbolj obetavne smeri.

kuglvinkl je izjavil:

Sam bi rad imel potrebno geografsko distanco, da bi, ko bi bilo to potrebno, posameznim subjektom povedal, kar jim gre.

Zanimivo... moja težava je postala ravno nasprotna. ;)

Zgodovina sprememb…

enadvatri ::

@BlueRunner, da. Ampak to je le niz alternativ. Nobena še ni zrela, da bi prešla v masovno rabo čez noč. Pa tudi, če je, se to dogaja (iz zgodovine očitno) precej počasi. Tu pa nastane ta gap, ki ga zdaj živimo v spletnu.

Zgodovina sprememb…

Matthai ::

Spura je izjavil:

A niso te stvari ponavadi v rokah sistemcev, ne pa programerjev?

Če je ranljivost v spletni apliakciji (a.k.a. še niso slišali za session cookije), pol je to stvar programerjev.
All those moments will be lost in time, like tears in rain...
Time to die.

BlueRunner ::

enadvatri je izjavil:

@BlueRunner, da. Ampak to je le niz alternativ. Nobena še ni zrela, da bi prešla v masovno rabo čez noč. Pa tudi, če je, se to dogaja (iz zgodovine očitno) precej počasi. Tu pa nastane ta gap, ki ga zdaj živimo v spletnu.

V nekoliko omejenem obsegu so te stvari že v uporabi. "Masovno" je malo meglen pridevnik, so pa to rešitve, ki so javno že dostopne in jih marsikdo tudi že nevede uporablja. Glede hitrosti ne vem. Iz danes na jutri v planetarnem obsegu? Verjetno res ne. Ampak napredek pa je in sam mislim, da je tempo glede na vse okoliščine kar soliden. Je pa to samo moje osebno mnenje.

Zgodovina sprememb…

enadvatri ::

BlueRunner je izjavil:

enadvatri je izjavil:

@BlueRunner, da. Ampak to je le niz alternativ. Nobena še ni zrela, da bi prešla v masovno rabo čez noč. Pa tudi, če je, se to dogaja (iz zgodovine očitno) precej počasi. Tu pa nastane ta gap, ki ga zdaj živimo v spletnu.

V nekoliko omejenem obsegu so te stvari že v uporabi. "Masovno" je malo meglen pridevnik, so pa to rešitve, ki so javno že dostopne in jih marsikdo tudi že nevede uporablja. Glede hitrosti ne vem. Iz danes na jutri v planetarnem obsegu? Verjetno res ne. Ampak napredek pa je in sam mislim, da je tempo glede na vse okoliščine kar soliden. Je pa to samo moje osebno mnenje.


Si ti kaj skadil, preden si to napisal? ... pa brez zamere, prosim. 8-)

BlueRunner ::

enadvatri je izjavil:

Si ti kaj skadil, preden si to napisal? ... pa brez zamere, prosim. 8-)

Daj malo bolj konkretno povej kateri del komentarja te je tako navdušil, pa greva od tam naprej... Seveda brez zamer. 8-)

enadvatri ::

BlueRunner je izjavil:

enadvatri je izjavil:

Si ti kaj skadil, preden si to napisal? ... pa brez zamere, prosim. 8-)

Daj malo bolj konkretno povej kateri del komentarja te je tako navdušil, pa greva od tam naprej... Seveda brez zamer. 8-)


Ta komentar sem pribil brez razloga, zataknil sem se pri pridevniku planetarnem ... :)) Drugače pa se strinjam z zapisanim, tudi tvojim mnenjem. :)

BlueRunner ::

Ah... planetaren... :D
Včasih v trenutku pisanja ne najdem prevoda nazaj v slovenščino. "Svetovnem obsegu" bi verjetno bilo manj leteče, ampak takrat mi ni padlo na pamet. ;)


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Ob vstopu na stran spletne banke mi ne ponudi okna s certifikatom

Oddelek: Pomoč in nasveti
427252 (4936) mepa
»

Posiljanje osebnih podatkov (imena, priimki, naslov, rojstni podatki, mobitel št., ..

Oddelek: Informacijska varnost
275327 (4345) Matthai
»

Izdajanje ponarejenih CA certifikatov

Oddelek: Novice / Zasebnost
336343 (4202) denial
»

Odgovor VeriSigna MID-u

Oddelek: Novice / Omrežja / internet
162058 (2058) Exilian
»

Verisign odgovarja na vprašanje MID o spletnih goljufijah

Oddelek: Novice / Omrežja / internet
282192 (2192) Matthai

Več podobnih tem