Криптиране

Екипът на Sophos за бързо реагиране (Sophos Rapid Response team) е съставил списък с най-често срещаните погрешни възприятия за киберсигурността. Става дума за грешки на мениджърите / администраторите, с които специалистите от екипа са се сблъскали през последните 12 месеца, докато са неутрализирали и разследвали кибератаки в широк кръг организации.

Десетте най-разпространени заблуди по отношение на киберсигурността, които Sophos опровергава са:

Заблуда 1: Ние не сме цел – твърде малки сме и / или нямаме ценни активи

Контрапункт: Повечето киберпрестъпници търсят лесна плячка и бърза финансова облага – те преследват пропуски в сигурността и погрешни конфигурации, които могат лесно да използват. Ако смятате, че вашата организация не е цел, вероятно не проверявате редовно мрежата си за подозрителна активност и може да пропуснете ранни признаци на кибератака.

Заблуда 2: Нямаме нужда от усъвършенствани технологии за сигурност, инсталирани навсякъде

Контрапункт: Ежедневно се увеличават техниките за атака, които заобикалят или деактивират софтуера за защита на крайните точки. Сървърите вече са цел номер едно за атака и нападателите могат лесно да намерят директен маршрут, използвайки откраднати идентификационни данни за достъп. Всички грешки в конфигурането, пачването или защитата правят сървърите уязвими, включително тези под Linux. Дори нападателите често инсталират задна врата (backdoor) на Linux машини, за да ги използват после като безопасни укрития за достъп до мрежата ви.

Заблуда 3: Имаме непоклатими политики за сигурност

Контрапункт: Да, наличието на политики за сигурност на приложенията и потребителите е много важно. Те обаче трябва да се проверяват и актуализират постоянно, тъй като към устройствата, свързани в мрежата, се добавят непрекъснато нови функции и функционалности.

Заблуда 4: Можем да защитим RDP сървърите от нападатели чрез промяна на портовете, на които се намират, и въвеждане на многофакторно удостоверяване (MFA)

Контрапункт: Сканирането на портове от страна на нападателите ще идентифицира всички отворени услуги, независимо къде точно се намират, така че смяната на портове, само по себе си, предлага малка или никаква защита.

Колкото до въвеждането на MFA, то е важно, но няма да подобри сигурността, ако политиката не бъде приложена за всички служители и устройства.

Заблуда 5: Блокирането на IP адреси от високорискови региони като Русия, Китай и Северна Корея ни предпазва от атаки, идващи от тези географски локации

Контрапункт: Блокирането на IP адреси от определени региони е малко вероятно да навреди, но може да създаде фалшиво усещане за сигурност, ако разчитате само на него за защита. Нападателите хостват своята злонамерена инфраструктура в различни държави, включително САЩ, Холандия и останалата част на Европа.

Заблуда 6: Нашите архиви ни осигуряват имунитет срещу въздействието на рансъмуера

Контрапункт: Поддържането на актуални архиви е от решаващо значение за бизнеса. Ако обаче те са свързани към мрежата, остават в обсега на нападателите и са уязвими на криптиране, изтриване или деактивиране при рансъмуер атака.

Ограничаването на броя на хората с достъп до вашите архиви може да не подобри значително сигурността, тъй като нападателите ще са прекарали време във вашата мрежа, търсейки точно тези хора и техните идентификационни данни за достъп.

По същия начин и съхраняването на резервни копия в облака трябва да се извършва внимателно – при инцидент, разследван от Sophos Rapid Response, е разкрито, че нападателите са изпратили имейл до доставчика на облачни услуги от хакнат акаунт на ИТ администратор и са го помолили да изтрие всички архиви – доставчикът е удовлетвотил молбата!

Стандартната формула за сигурни архиви, които могат да се използват за възстановяване на данни и системи след атака с рансъмуер, е 3:2:1: три копия на всичко, на две различни системи, едната от които е офлайн.

Последна забележка: офлайн резервни копия няма да ви защитят от престъпници, които крадат и заплашват да публикуват вашите данни, дори и да не ги криптират.

Заблуда 7: Нашите служители разбират киберсигурността

Контрапункт: Според The State of Ransomware 2021, 22% от организациите вярват, че ще бъдат засегнати от рансъмуер през следващите 12 месеца, защото е трудно да се спрат крайните потребители да компрометират сигурността.

Тактиките за социално инженерство като фишинг имейли стават все по-трудни за откриване. Съобщенията често са ръчно изработени, точно написани, убедителни и внимателно насочени.

Заблуда 8: Екипите за реагиране при инциденти могат да възстановят данните ми след рансъмуер атака

Контрапункт: Това е много малко вероятно. Днес атакуващите правят много по-малко грешки и процесът на криптиране се е подобрил, така че намирането на вратичка, която може да премахне щетите, се случва изключително рядко.

Заблуда 9: Ако платя откуп ще си получа обратно данните, откраднати при рансъмуер атака

Контрапункт: Според доклада State of Ransomware 2021, организация, която плати откуп, възстановява средно около две трети (65%) от своите данни. Само 8% получават обратно всичките си данни, а 29% възстановяват по-малко от половината.

Освен това връщането на данните е само част от процеса по възстановяване – в повечето случаи рансъмуерът напълно деактивира компютрите и софтуера и системите трябва да бъдат вдигнати от нулата, преди да се стигне до възстановяване на данните. Проучването през 2021 г. показва, че разходите за съвземане на бизнеса са средно десет пъти по-големи от търсения на откуп.

Заблуда 10: Криптирането изчерпва атаката – ако оцелеем, всичко е наред

За съжаление това рядко е така. Чрез криптирането нападателите ви дават да разберете, че са там и какво са направили.

Вероятно те са престояли във вашата мрежа в продължение на дни, ако не и седмици преди пускане на рансъмуера. Те са проучвали, деактивирали или изтривали резервни копия, открили са машини с ценна информация или приложения, които да криптират, премахнали са информация и са инсталирали задни врати… Продължителното присъствие в мрежата на жертвата позволява на нападателите да предприемат втора атака, ако пожелаят.

Как да се справите с организирането на киберсигурността във вашата фирма, прочетете тук:

• Киберсигурност на фирмата: откъде да започнете?
• Десет грешки при защитата на данните, които фирмите не трябва да допускат

Договори с клиенти. Оферти. Планове и стратегии. Лични данни за клиенти. Собствените ви снимки. Това са само част от данните, за които сме сигурни, че съхранявате на вашия служебен или личен компютър, смартфон, в облака или на USB флашка. Ако е така, продължете да четете.

Предполагаме, че вече сте защитили достъпа до устройствата си с парола, биометрично влизане или дори комбинация от двете (ако не сте, направете го сега). Дотук добре, но какво се случва ако загубите устройството си или то бъде откраднато?

Именно в такава ситуация идва на помощ криптирането. Основната му функция: да предотврати възможността информацията от загубено или откраднато устройство да попадне в чужди ръце. Криптирането защитава не само информацията ви, но и комуникацията ви, уеб трафика ви и паролите за достъп. Някой ще каже: нямам нужда, аз нямам какво да крия. Помислете отново: сигурни ли сте, че искате да рискувате най-съкровените ви моменти да станат публично достояние?

Ако отговорът е не, вижте по-долу кои са най-добрите практики за защита на чувствителните ви данни и лична комуникация:

Криптирайте диска си

Повечето компютри все още имат лесно сменяеми твърди дискове или SSD. Затова криптирането на сториджа ви е чудесна допълнителна защита. Ако го направите, дори компютърът да бъде загубен или откраднат, никой няма да може да достъпи всичките ви данни, софтуера и използваната операционна система.

Що се отнася до смартфоните и таблетите, еквивалентната функционалност е криптиране на вградената и преносима памет (SD карта), коeто, при съвременните модели, обикновено е активирано по подразбиране. Съществуват множество онлайн ръководства, с чиято помощ да направите проверка, а също и да криптирате устройствата за смартфони и таблети с Android или iOS.

Криптирайте файловете си в облака

Повечето от нас използват хранилище в облака за по-лесен достъп до информация отвсякъде и по всяко време. Но и тук съществува риск за сигурността – в резултат на човешка грешка (например, слаба парола или неподходяща конфигурация) или на целенасочена атака срещу доставчика на услугата ви.

Затова е добре да криптирате файловете си, преди да ги качите в облака. Спрямо нуждите ви и предлаганите функции за криптиране, може да избирате между различни продукти. Използвайте минимум тези, които предлагат AES криптиране.

Криптирайте уеб трафика си

Един от най-лесните начини да започнете с това е да настроите виртуална частна мрежа (VPN), която работи като криптирана фуния за интернет трафик. Ако работите от близкото кафене и искате да споделите чувствителни данни с клиент, например, VPN ще ви осигури криптирана мрежа, която не може да бъде прихваната. Освен това, ще имате сигурен достъп до данни, съхранявани в домашната ви мрежа, където и да се намирате.

Друг начин да осигурите поверителност на данните си е да използвате TOR (The Onion Router). TOR обединява данните ви в криптирани пакети, преди да се свърже с мрежата. Основната му функция е, че скрива вашите дигитални отпечатъци, като така ви позволява да сърфирате в интернет анонимно.

Важно е също да обърнете внимание дали уебсайтовете, които достъпвате, използват HTTPS протокол  (това означава, че комуникацията между вас, като посетител, и уеб сървъра е криптирана). Сериозните уебсайтове вече използват HTTPS по подразбиране.

Криптирайте съобщенията си

Повечето популярни чат-платформи предлагат криптиране от край до край, но не навсякъде то е настроено по подразбиране. Ако искате да имате криптиран чат във Facebook Messenger, трябва да кликнете върху профилната снимка на събеседника и да изберете „Таен разговор“. WhatsApp и Telegram имат функция за Secret Chat, включена по подразбиране, която ви позволява да зададете самоунищожаване на съобщенията и файловете, които изпращате.

Криптирайте паролите си

Мениджърите на пароли са популярен избор за хора, които не искат (или не могат) да запомнят всичките си пароли. Той функционира като банков сейф, но вместо бетон и сложни ключалки, използва математически променливи.

Повечето от облачните услуги поддържат криптирано копие от „сейфа“ ви на сървърите си, а освен това позволяват на потребителите да използват многофакторна автентификация (MFA). Това е много по-сигурен начин да съхранявате паролите си, отколкото на лепкави бележки или документи в компютъра си или още по-лошо – да използвате една парола навсякъде.

В обобщение

Криптирането е най-лесният начин за защита на данните ни. В съвременния цифров свят, то трябва да се превърне в полезен навик за всички нас. Възползвайте се сами от свободно разпространените инструменти или се обърнете за помощ към утвърдените специалисти по киберсигурност.

А за най-търпеливите да стигнат дотук, ето и причината: тайните ви ще си останат тайни, дори и да загубите лаптоп, телефон или USB флашка или мейлът ви бъде хакнат.

 

Успешна зараза с криптовируса BadRabbit 4 стана причина за забавен прием и изписване на пациенти и предписване на медикаменти в 4 румънски болници, съобщава romania-insider.com.

Според изданието, заразата най-вероятно е осъществена посредством успешна фишинг атака срещу здравните заведения в градовете Букурещ, Хуш, Дорохой и Карбунещ. Според специалистите пробивът не е бил сложен и е могъл да бъде овладян от обикновено антивирусно решение.  

Румънски медии цитират здравния министър Сорина Пинтея, според която атаката е овладяна, а пациентите нямат повод за притеснение. Министърът обаче добавя, че заразата е затруднила част от процедурите по приемане и изписване на пациенти, използване на отстъпки и др. Румънската здравноосигурителна каса (CNAS) не е засегната от атаката. 

Успешните кибер атаки срещу лечебни заведения не са прецедент в Румъния. През 2017 г., след успешна атака на данните на лечебно заведение, хакери са поискали 10 хил. EUR, за да възстановят информацията. 

Имейлът е основен комуникационен канал за повечето фирми. Въпреки това много от тях не правят почти никакви усилия за защита на електронната поща. Тя включва както автентикация (удостоверяването на това кой отваря акаунта и изпраща съобщения), така и сигурността на самите съобщения (филтриране и криптиране).

В тази статия ще разгледаме пет добри практики, които според компанията за информационна сигурност ESET могат да осигурят по-добра защита на имейл комуникацията във вашия офис.

Криптиране на съобщенията

Имейл комуникацията може да се криптира по два начина. Единият е със SSL (все още има компании, които използват уеб базирана поща без SSL сертификат), който криптира имейлите по пътя им до техния получател. Това предотвратява „подслушването“ на комуникацията.

Допълнително ниво на защита предоставя криптирането от край до край. При него съобщенията се криптират с публичен и частен ключ и могат да бъдат разчетени само от потребителите, които притежават съответния ключ.

Филтриране на съдържанието

Голяма част от съдържанието, което получавате на електронната си поща, е нежелано. Спам, фишинг, измами, линкове към малуер: всичко това е заплаха за вашата информационна сигурност и следва да бъде филтрирано.

Може да филтрирате пристигащата поща по типа прикачени файлове, за да намалите вероятността от заразяване с малуер. Все повече компании филтрират и самото текстово съдържание на писмата. Това гарантира, че чувствителни данни като банкови сметки или конфиденциална информация няма да напуснат границите на фирмата.

Автентикация на имейлите

Фалшифицирането на имейли (email spoofing) се постига съвсем лесно. То е в основата на т.нар. измами със служебен имейл. За да ги избегнете, използвайте методи за автентикация, които доказват, че вашите писма наистина са изпратени от вас.

Два от най-популярните са SPF (Sender Policy Framework) DKIM (DomainKeys Identified Mail), с които се удотвоверява самоличността на изпращача. Те са вградени в повечето софтуерни решения за имейл сигурност.

Двуфакторна автентикация

Потребителското име и паролата са основната защита на вашата електронна поща. Ако някой ги разбере, тази защита е безполезна. Ето защо може да използвате двуфакторна автентикация, за да защитите по-добре акаунта си.

Двуфакторната защита се задейства, когато паролата за достъп вече е въведена. Собственикът на акаунта получава код за еднократно ползване (може да го получи като SMS, чрез мобилно приложение или да бъде генериран от донгъл). Едва след като кодът бъде въведен, потребителят получава достъп до пощата.

Софтуерна защита

Защитата на имейл комуникацията изисква редовно обновяване на софтуера, който използвате. Това означава да обновявате не само антивирусната си програма, но и операционната система. Не пренебрегвайте и обновяването на интернет браузъра, през който проверявате пощата си. Това намалява шансовете някой да получи достъп до вашата електронна поща.

Криптирането на служебните компютри е практика, която все повече бизнеси прилагат. Дали заради мобилността на служителите си или поради страх от кражба на важна информация, криптирането на служебните лаптопи е основна защита срещу изтичане на информация.

Криптирането е процес, при който информацията на твърдия диск се шифрира и може да бъде разчетена само при въвеждането на парола. По този начин данните са защитени срещу неоторизиран достъп.

Повечето преносими устройства така или иначе имат парола или PIN код за достъп, затова собствениците им неглижират криптирането като мярка за сигурност. Паролата за отключване на операционната система обаче лесно може да бъде прескочена. В интернет има буквално стотици уроци за това как да се заобиколи паролата за Windows. Ако данните на устройството не са криптирани, това я превръща в единствената – и то ненадеждна – линия на защита.

Освен това твърдият диск на устройството може да се извади и свърже към друг компютър; и така да се види цялото му съдържание. Криптирането на диска предпазва от подобно развитие.

Ето няколко прични да помислите за криптиране на всички преносими устройства в офиса.

Кражбите на устройства

Може би не го осъзнавате, но кражбите на преносими устройства са една от основните заплахи за информационната сигурност на бизнеса. Заедно със случаите на забравени устройства те са втората най-честа причина(след хакерските атаки) за изтичане на корпоративни данни според проучване на Trend Micro от 2015 г.

Откраднатите данни могат да бъдат използвани за злоупотреба или изнудване. Към тези рискове сега се добавя и опасността за глоба около GDPR: например ако откраднатите данни бъдат публикувани в интернет.

BYOD

Методът BYOD (Bring Your Own Device), при който служителите използват преносими устройства, за да работят от различни локации, набира популярност навсякъде, включително и България. И това не е нещо ново. Още през 2012 г. проучване на Cisco показва, че 89% от компаниите на глобално ниво поддържат по някакъв начин модела BYOD. Това важи основно за ИТ отделите на компаниите, но и в другите звена.

Мобилността обаче предразполага към злоупотреби. Забравен на масата лаптоп може да бъде използван, за да се сполучи достъп до фирмените данни. За една компания е по-трудно да прецени рисковете от изтичане на данни, ако служителите й са мобилни и разнасят лаптопи навсякъде.

По-добър контрол над съдържанието на твърдия диск

Ако компютърът ви се използва от много хора имате възможност да криптирате отделни файлове, директории или дялове от твърдия диск. Това ви дава по-добър контрол върху съдържанието на диска и ограничава достъпа на определени хора до чувствителна информация.

 

Може ли няколко лава лампи да бъдат използвани като средство за защита от хакери? Може и да звучи странно, но отговорът е да. Как и защо – ще разберете от следващите редове.

Един пример

Всеки път, когато влезете в уебсайт, например, той генерира случайно число. Това случайно число играе ролята на идентификатор за посетителя (вас). Проблемът е, че компютрите не са особено силни в генерирането на наистина произволен стринг, защото зависят от алгоритъма на генериране, който им е зададен.

Да, генерираните комбинации могат да бъдат много сложни за отгатване, но не и абсолютно случайни. А това ги превръща в разбиваеми от хакери.

Интернет гигантът CloudFlare се справя с този недостатък като елиминира компютъра и използва няколко интересни генератора на случайност – 100 лава лампи, махало и гайгеров брояч.

Как няколко случайни предмета ни пазят

Как действа инсталацията? CloudFlare наблюдава 100 лава лампи в изолирано помещение. Те са известни с фигурите от разтопен парафин, които бавно се издигат и падат в тялото на лампата. Както можете да се досетите, няма особено голяма вероятност да се образуват две еднакви парафинови фигури.

По думи на Джон Греъм-Къминг (CTO на компанията), стената от лампи генерира 16,384 бита ентропия (мярка за безпорядък) всеки път, когато се използва.

Това далеч не е всичко

С право можете да си зададете въпроса „Ами ако някой започне да наблюдава лампите без разрешение?“. В такъв случай, може да ви успокои факта, че компанията е добавила допълнителни слоеве към защитата си.

Компанията наблюдава и движението на двойно махало в офиса си в Лондон. Освен него, за защитата ви се грижи и гайгеров брояч, измерващ радиацията от парченце уран в Сингапур, където е другият офис на CloudFlare.

Системата за генериране на случайност се нарича LavaRand и можете да прочетете публикацията на CloudFlare ТУК.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

Квантовите компютри могат напълно да заобиколят физическите ограничения на познатите ни процесори и да постигнат мощност, която теоретично не е постижима по познатите ни начини. Дори и да не го правят днес, то развитието им продължава с бурни темпове и този момент не е много далеч в бъдещето.Прочетете повече »

Последен ъпдейт на 28 юни 2018 в 11:54 ч.

Експлойтът, именуван „EFAIL” използва два различни вектора за атака. И двата експлоатират начинът, по който различни типове софтуер обработват HTML. Първият се цели в софтуерното реализиране на криптирането, а вторият – в неописано поведение в OpenPGP и S/MIME стандартите.

Сред най-силно засегнатите приложения са AppleMail, iOS Mail и Mozilla Thunderbird.

Това ни съобщава професорът по компютърна сигурност Себастиан Шинцел, който откри и публикува уязвимостта. Всички детайли, които са достъпни до момента, както и цялостно техническо обяснение на слабите точки на MIME, S/MIME и OpenPGP стандартите можете да намерите на efail.de.

За краткосрочно предотвратяване на EFAIL атаки може да използвате следните насоки:

• Не декриптирайте директно в мейл приложението – премахнете S/MIME или PGP ключовете си от мейл приложението и декриптирайте във външно такова като копирате и поставите кодирания текст. Към момента това е най-безопасния начин за предотвратяване.
• Изключете визуализирането на HTML съдържание – най-често използвания вектор за атака при EFAIL е експлоатирането на активно съдържание. Забраняването му ще ви помогне да си осигурите по-високо ниво на защита, но не ви гарантира безопасност, тъй като има и други канали за използването на експлойта.

За защита в дългосрочен план е нужно производителите на софтуер да патчнат тези уязвимости. Откриването на уязвимостите показва и нужда от обновяване на OpenPGP и S/MIME стандартите, но това няма как да се случи в кратък срок.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 01:16 ч.

Нов (стар) модел за дистрибуция на ransomware – “Ransomware as a Service” (RaaS) позволява на всеки да си наеме вирус и да печели от това. Като под всеки разбираме буквално всеки с достъп до интернет и средства за електронни разплащания.

Услугата вирус под наем става толкова просто, колкото да си наемете хостинг – или да си купите обувки онлайн. Под примамката за лесна печалба, обаче, се крие огромен риск: наемането на такъв вирус и разпространяването му с цел печалба превръща всеки един в престъпник.

Кибер-престъпността откри нов бизнес модел

И ако кибер-престъпността отдавна е доста печеливш бизнес, то сега тя откри нов модел за печелене на пари от потребителите.

Де факто, услугата вирус под наем позволява на всеки един потребител да създаде своя собствена модификация на криптовирус (или ransomware) – да определи какви съобщения да виждат жертвите му, какъв откуп да плащат… Общо взето – проста работа.

Цената на услугата също е привлекателна -започва около 40 USD и расте според ефективността на вируса и възможностите му за персонализация, степента на прикриване и защита от разкриване от антивирусни програми. Част от услугите предлагат дори и учебни материали, систематизирани „кампании“ на заразяване и други онлайн инструменти за по-ефективна дейност.

Всичко се управлява чрез уеб портал, точно както уеб приложенията, които използвате ежедневно за работа. Заплащанията за абонаментни планове, всички услуги и подкупите се извършват в bitcoin, което ги превръща в много трудно проследими.

Това не са добри новини за законния бизнес

Успехът на тези платформи дава шанс на всеки да атакува информацията и организацията ви. Всеки.

Забравете от необходимостта за осъществяване на атака някой да прекарва безброй часове, в които да учи езици за програмиране, устройство на мрежи и операционни системи. Забравете необходимостта да се търсят нови уязвимости и някой да ги експлойтва. Този някой вече има готови инструменти, с които за минути може да генерира готова атака срещу мрежата ви – и да тества екипа ви за ИТ сигурност.

Това може да означава огромен ръст на атаките от хора, които си няма бегла идея за това какво правят –  познати още като script kiddies. От една страна, не би трябвало да е трудно да се защитим от хора без умения, нали? От друга страна, обаче, ако хората, които ви защитават, са заети да се борят с опитите на неуките, то няма да има кой да реагира на истински прецизната атака, която ще премине през защитата ви и дори няма да остави следа.

Като добавим и факта, че създателите на ransomware произвеждат нови варианти на вирусите си – такива, които биват засичани по-трудно и могат да им донесат по-голяма печалба – ситуацията става далеч от розова.

Затова, препоръчваме да следвате следните

Съвети за системни администратори:

• Не пестете от бекъпи – бекъпвайте често и запазвайте скорошни копия на сигурно местоположение извън фирмената мрежа, като допълнителна мярка за безопасност.
• Внимавайте с прикачените файлове – информирайте колегите и клиентите си, че ако не знаят какво е съдържанието на документа, който са получили, в никакъв случай не трябва да го отварят, за да проверят.
• Забранете използването на макро команди в документи, които са получени по мейл – много от заразите разчитат на това, че допълнително сте включили автоматичното изпълнение на макро и по този начин свалят т.нар. payload.
• Патчвайте редовно – множество заплахи целят да експлоатират уязвимости в приложенията, които използвате. Колкото по-често патчвате, толкова по-малко оставяте пролуки в сигурността си.

Съвети за потребители:

• Не гонете лесните пари – наемането на криптовирус може да ви се струва привлекателна алтернатива за припечелване на някой лев (пардон, bitcoin), но всъщност НЕ Е. Ако криптирате информация на чужди компютри и/или телефони, то вие се превръщате в престъпник и може да бъдете съдени. Ако се замесите с престъпници, може да се превърнете в тяхна марионетка или по-лошо – муле.
• Не влизайте там, където не трябва. Напоследък тъмният интернет се радва на огромно внимание от страна на медиите. Там няма нищо, което да е толкова невероятно или привлекателно. Не влизайте там, където не знаете какво се крие зад всеки ъгъл.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 01:33 ч.

Уязвимостта CVE-2017-15361 е от поне 5 години и е открита и докладвана на разработчика Infineon Technologies през февруари 2017г, като откривателите ѝ ще я представят напълно в началото на следващия месец.

Необходимо е да се знае публичният RSA ключ, но не и физически достъп. ROCA атаката представлява възможността да се реконструира частната (private) половина на RSA ключ, чрез отгатване на прости (primes) множители. Засегнати са ключове с често използвана дължина от 1024 и 2048 bit-a, чието разбиване до сега се смяташе за нерентабилно, тоест изискващо милиарди години и огромна изчислителна мощ. Ключовете генерирани, чрез „дефектната“ библиотека са много по – лесна мишена, имайки предвид, че атаката може лесно да се извърши в паралел, ще са необходими респективно:

(Intel E5-2650 v3@3GHz Q2/2014):

• 512 bit RSA keys – 2 CPU hours (the cost of $0.06);
• 1024 bit RSA keys – 97 CPU days (the cost of $40-$80);
• 2048 bit RSA keys – 140.8 CPU years, (the cost of $20,000 – $40,000).

Къде са били използвани слабите ключове?

Засегнати от тази уязвимост са електронни документи за самоличност, електронни подписи, модули за сигурност (TPM), PGP  и доверени платформи обслужващи, както държавни, така и частни сектори.

Изследователите са подложили 41 лаптоп модела на тест, като 10 от тях се оказали уязвими. Това означава, че при засегнатите модели, ключовете генериране за криптиране на твърдите дискове чрез BitLocker могат да бъдат лесно разбити.

Какво да правим?

Първата стъпка е да разберем дали имаме устройство с уязвим чип. Много производители вграждат решенията на infineon в своите продукти, поради тази причина не разполагаме със точен списък. Най – добре е да се генерира RSA двойка ключове и след това да се тества публичния ключ с инструментите по – долу. Препоръчително е да бъдат и вече използващите се ключове.

• Offline testers: Python/Java/C++ applications and tutorials (https://github.com/crocs-muni/roca);
• Online testers: Качете Вашите публични ключове на https://keychest.net/roca или https://keytester.cryptosense.com;
• Email S-MIME/PGP tester: Изпратете подписан мейл до [email protected], като ще Ви се върне автоматичен отговор с анализ на използвания ключ.

В случай, че тестовете ни се окажат положителни:

1. Приложете firmware обновления, ако има такива;
2. Сменете устройството със сигурно такова;
3. Генерирайте ключовете с друга библиотека (OpenSSL) и ги импортнете в устройството.
   Уязвимостта е само с генерирането на ключове, а не в тяхното използване.
4. Използвайте друг криптографски алгоритъм (ECC), вместо RSA, ако устройството го позволява;
5. Използвайте по – дълги ключове (4096 bit), но е възможно и те да се окажат уязвими в близко бъдеще, понеже атаката може да бъде подобрена.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.