As empresas precisam informar os utilizadores sobre a exposição heartbleed

práticas de desenvolvimento de software pobres, e vendedores que não conseguem comunicar, veio sob o fogo em uma sessão de webcast briefing sobre a falha de segurança heartbleed OpenSSL realizada pela Internet Storm Center do SANS Institute (ISC) Quinta-feira de manhã o tempo Australian (quarta-feira à noite o tempo dos EUA).

Segurança; Casa Branca nomeia primeiro CIO Federal de Segurança; Segurança; Pentágono criticado por resposta cyber-emergência por watchdog governo; segurança; Chrome para iniciar conexões HTTP rotulagem como não segura; segurança; O Projeto Hyperledger está crescendo a todo o vapor

Esta foi a segunda entrevista heartbleed realizada pelo SANS em dois dias, e desta vez eles anunciaram-lo através de uma edição “FLASH” de sua NewsBites e-mail newsletter. “NewsBites Flash são emitidos somente quando um evento de segurança exige uma acção global e imediata. A vulnerabilidade heartbleed Open SSL se encaixa nessa descrição”, escreveram eles.

SANS ISC já havia movido para INFOCON amarelo. Esta postura de segurança indica que eles estão rastreando atualmente uma nova ameaça significativa, onde o impacto é desconhecida ou esperado para ser menor à infra-estrutura, mas onde impacto local pode ser significativo. Sob INFOCON Amarelo, os usuários são aconselhados a tomar medidas específicas imediatas para conter o impacto.

“O grande problema com a vulnerabilidade não é apenas que suas senhas pode ser comprometida, é que os certificados que protegem suas senhas – e todas as suas informações criptografadas – também pode ser comprometida Isso é uma enorme, enorme responsabilidade E acontece.. que, se um atacante conquistou o tráfego em algum momento no passado, eles agora podem tirar desses certificados e descriptografar que o tráfego “, disse Williams.

SANS teve algumas boas notícias. Acontece que OpenSSL versão 1.0.0 não é vulnerável a heartbleed – o que significa que as redes de grandes empresas, concentradores de VPN e sistemas construídos com hardware e software em um ciclo de desenvolvimento mais lento é menos susceptível de ser afectada que temia inicialmente.

Também uma boa notícia foi que, enquanto um invasor pode repetidamente solicitar 64 pedaços kilobytes de memória do servidor de seu alvo sem ser detectado, parece que eles tendem a ser as mesmas regiões de memória. “Pelo menos há um forro de prata para esta nuvem muito, muito escuro”, disse o instrutor SANS e pesquisador de malware Jake Williams, um consultor principal no consultores de segurança CSRgroup computador.

No entanto, estas são precisamente as regiões de memória do servidor que tendem a conter dados críticos, tais como chaves de criptografia e certificados SSL, nomes de usuário e senhas, e identificadores de sessão – e, de acordo com Williams, ponteiros para estruturas de programação.

“Isso pode ajudar a vencer outra explorar proteção, coisas como ASLR, randomização espaço layout de endereço, que tradicionalmente faz algumas vulnerabilidades não exploráveis. Se tivermos um bug divulgação de memória, podemos tomar algumas destas vulnerabilidades que de outra forma seria um one-in- um milhão de tiro e transformá-los em um tiro garantida para execução remota de código “, disse Williams.

Mente-lhe, isso envolve vazamento de alguns destes dados. Ao contrário vazando a chave privada, vazando esses dados só é bom, desde que esse processo ainda está em execução. Quando o servidor for reinicializado, estamos fora.

Uma das mensagens mais importantes desde o briefing SANS não era sobre os aspectos técnicos da heartbleed, no entanto, mas a comunicação. Williams não fez rodeios. “Se você não está vulnerável, você precisa comunicar isso de forma destacada e imediatamente aos seus clientes”, disse ele.

“Se você é um vendedor lá fora e você não ter publicado algo – e eu não quero dizer como um lugar escondido em seu site, como, ‘Nós estamos olhando para isso’ – se a sua resposta até agora aos seus clientes está em grilos, ficar fora de sua bunda. saia do webcast aqui e vá para se comunicar com seus clientes “, disse ele.

Fornecedores – e, para essa matéria, prestadores de serviços – necessidade de explicar por que eles sabem que não é vulnerável, como o fato confirmou que eles não estavam usando a versão vulnerável do OpenSSL.

“Se você está sempre vulnerável, você precisa se comunicar isso -. E, novamente, muito proeminente, não escondê-lo em algum lugar onde até mesmo o Google não pode encontrá-lo Você precisa comunicar isso para os seus clientes e dizer, ‘Ei, desculpe, nós eram vulneráveis ​​’ “, disse Williams.

Este não é um olho negro, certo? Todo mundo estava vulnerável. Não é como se você asneira em seu código, você usou as melhores práticas, você só passou a usar uma biblioteca que toda a gente pensava que era seguro, e foi um pouco menos do que seguro.

o site solicitou comentários dos maiores bancos da Austrália, como os alvos mais prováveis ​​de pessoas que podem olhar para explorar heartbleed como um meio para obter informações bancárias privadas, e os resultados foram mistos.

Um porta-voz do Banco Commonwealth admitiu que o banco tinha remendado seu servidor, mas disse que o servidor Netbank, onde os clientes visualizar suas contas bancárias e transferência de dinheiro, não tinha sido afetada.

“Os clientes da CBA pode estar certo de que o Banco é remendado contra o bug heartbleed. Os clientes não precisam alterar suas senhas. Eles podem continuar a depositar com confiança no NetBank e nossos outros canais”, disse o porta-voz.

Westpac diria apenas o seu serviço de banca online não era suscetível à falha de segurança, enquanto o National Australia Bank (NAB) foi mais específico sobre o que as medidas de segurança que utiliza.

“NAB usa SSL para proteger os seus dados transacionais e informações do cliente. Esta exposição particular não impactar NAB ou seus clientes, devido à arquitetura corporativa que temos em vigor para proteger os nossos sistemas”, disse o porta-voz.

NAB tem várias camadas de tecnologia e proteção e nunca permitir que uma única camada de vulnerabilidade para expor nossos serviços e clientes. Nossos clientes não precisam mudar suas senhas de Internet Banking, como resultado da vulnerabilidade heartbleed.

ANZ Bank disse que seu internet banking e mobile app goMoney não foram afetados pela vulnerabilidade OpenSSL, e os clientes não precisam mudar suas senhas.

Enquanto os clientes não precisam alterar suas senhas de Internet Banking, como resultado de heartbleed, nós recomendamos que actualizar regularmente as senhas e mantê-los seguros.

Enquanto a internet está lutando para corrigir e informar os usuários sobre a sua exposição de hoje, Williams do SANS Institute foi mordaz do processo de desenvolvimento OpenSSL. No treinamento do Instituto de explorar a escrita, ele diz: “Falamos de nunca nunca nunca – nunca -. Confiando entrada fornecida pelo usuário, mas o pessoal da OpenSSL, eles disseram: ‘Ei, rocha sobre, homem Podemos fazer isso.’ . ”

Mesmo os prazos para desenvolvimento de código eram menos que ideal.

As pessoas vão rir de isso, mas não é uma piada “, disse William. O código de buggy OpenSSL foi cometido um” tempo muito curto “antes da meia-noite em 31 de dezembro de 2011.” O palpite neste momento é que alguém que pode ter tido um pouco demais para beber disse ‘Ei, bom para ir, cometer o código’, e nós temos vivido com ele durante os últimos dois anos. O código não foi operacional, por assim dizer, publicada em uma compilação, até março de 2012.

Em geral, no entanto, a mensagem do Instituto SANS permanece a mesma. Para a maioria dos serviços que você conectar-se através da internet aberta – ou através de qualquer rede não confiável, como Wi-Fi – e que você pensou que eram seguras, você deve alterar sua senha assim que o prestador de serviços confirmou que qualquer vulnerabilidade a heartbleed tem foi corrigido.

Você também deve trabalhar com seus parceiros de negócios para garantir que seus servidores vulneráveis ​​foram corrigidos, e que as novas chaves de criptografia SSL são gerados e certificados de re-emitida, caso contrário, você não é mais seguro é.

Casa Branca nomeia primeiro Chief Information Security Officer Federal

Pentágono criticado por resposta cyber-emergência por watchdog governo

Chrome para iniciar conexões HTTP rotulagem como não segura

O Projeto Hyperledger está crescendo a todo o vapor