 fox
II/IDEC networks :: habra.16 :: / Security Week 14: опасная уязвимость в Adobe Flash, WhatsApp включает шифрование, Пентагон платит за баги
|
Login |
[#]
Security Week 14: опасная уязвимость в Adobe Flash, WhatsApp включает шифрование, Пентагон платит за баги
habrabot(difrex,1) — All
2016-04-09 11:30:03
![][1]История о споре между Apple и ФБР показала нам как политика может повлиять на технологии. На этой неделе все обсуждают обратный пример — тему об утечке данных из панамской юридической фирмы Mossack Fonseca. Не касаясь политической стороны этого события, не могу не отметить важный момент: резонансная история, скорее всего, началась с кибератаки и кражи данных. Об этом [говорят][2] в самой компании и есть косвенные доказательства того, что [взломать][3] инфраструктуру фирмы было не так уж сложно. В частности, внешний доступ к документам клиентов работал на версии Drupal трехлетней давности с минимум двумя критическими уязвимостями (впрочем, достаточно было одной [этой][4]). Как на самом деле все произошло, мы вряд ли когда-нибудь узнаем. В индустрии ИБ вообще очень сложно учиться на чужих ошибках: делиться негативным опытом компании, по понятным причинам, не любят. Но общие выводы сделать можно, а именно: — Не бывает неважных корпоративных данных. Не исключено, что в Mossack Fonseca даже не подозревали, какой резонанс могут вызвать хранящиеся у них документы. Это приводит к недооценке рисков и неадекватным затратам на защиту. — Шифрование данных — это эффективная мера. Об этом говорит иная часть данной истории: десятки журналистов по всему миру анализировали полученные документы больше года, используя облачные системы и различные формы передачи данных в зашифрованном виде (начиная с VeraCrypt, форка TrueCrypt для шифрования жестких дисков). За это время не произошло ни одной утечки, несмотря на огромное количество участников проекта и отсутствие серьезных обязательств между ними. — Объем утечки превышает 2,5 терабайта. Нужна система, которая поможет компаниям фиксировать такие события. Неважно по какой причине с серверов компании утекает огромный объем данных — специалист по безопасности должен об этом знать. А теперь перейдем к традиционным новостям. Все выпуски дайджеста доступны [по тегу][5]. [Читать дальше →][6]
[1]: https://habrastorage.org/files/448/ba3/0b8/448ba30b8b694114b46e9276ae1af209.jpg
[2]: http://news.sky.com/story/1672161/panama-papers-leak-is-a-crime-says-law-firm
[3]: http://www.wired.co.uk/news/archive/2016-04/06/panama-papers-mossack-fonseca-website-security-problems
[4]: https://www.drupal.org/PSA-2014-003
[5]: http://habrahabr.ru/search/?target_type=posts&q=%5Bklsw%5D%20&order_by=date
[6]: https://habrahabr.ru/post/281250/#habracut
habrabot(difrex,1) — All
2016-04-09 11:30:03
![][1]История о споре между Apple и ФБР показала нам как политика может повлиять на технологии. На этой неделе все обсуждают обратный пример — тему об утечке данных из панамской юридической фирмы Mossack Fonseca. Не касаясь политической стороны этого события, не могу не отметить важный момент: резонансная история, скорее всего, началась с кибератаки и кражи данных. Об этом [говорят][2] в самой компании и есть косвенные доказательства того, что [взломать][3] инфраструктуру фирмы было не так уж сложно. В частности, внешний доступ к документам клиентов работал на версии Drupal трехлетней давности с минимум двумя критическими уязвимостями (впрочем, достаточно было одной [этой][4]). Как на самом деле все произошло, мы вряд ли когда-нибудь узнаем. В индустрии ИБ вообще очень сложно учиться на чужих ошибках: делиться негативным опытом компании, по понятным причинам, не любят. Но общие выводы сделать можно, а именно: — Не бывает неважных корпоративных данных. Не исключено, что в Mossack Fonseca даже не подозревали, какой резонанс могут вызвать хранящиеся у них документы. Это приводит к недооценке рисков и неадекватным затратам на защиту. — Шифрование данных — это эффективная мера. Об этом говорит иная часть данной истории: десятки журналистов по всему миру анализировали полученные документы больше года, используя облачные системы и различные формы передачи данных в зашифрованном виде (начиная с VeraCrypt, форка TrueCrypt для шифрования жестких дисков). За это время не произошло ни одной утечки, несмотря на огромное количество участников проекта и отсутствие серьезных обязательств между ними. — Объем утечки превышает 2,5 терабайта. Нужна система, которая поможет компаниям фиксировать такие события. Неважно по какой причине с серверов компании утекает огромный объем данных — специалист по безопасности должен об этом знать. А теперь перейдем к традиционным новостям. Все выпуски дайджеста доступны [по тегу][5]. [Читать дальше →][6]
[1]: https://habrastorage.org/files/448/ba3/0b8/448ba30b8b694114b46e9276ae1af209.jpg
[2]: http://news.sky.com/story/1672161/panama-papers-leak-is-a-crime-says-law-firm
[3]: http://www.wired.co.uk/news/archive/2016-04/06/panama-papers-mossack-fonseca-website-security-problems
[4]: https://www.drupal.org/PSA-2014-003
[5]: http://habrahabr.ru/search/?target_type=posts&q=%5Bklsw%5D%20&order_by=date
[6]: https://habrahabr.ru/post/281250/#habracut