Symantec призвала не драматизировать ситуацию с подделкой сертификатов SSL

...

Неоднократные инциденты взлома информационных систем сертификационных центров SSL и выпуска фальшивых цифровых удостоверений на имена популярных сетевых сервисов привели к тому, что некоторые аналитики стали поговаривать о разрушении всей доверительной системы SSL в целом. Свое мнение по этому вопросу высказала Symantec; ее эксперты уверены, что причин для паники нет.


Как известно, Symantec со своим подразделением VeriSign также является центром сертификации, поэтому, естественно, ее не может не волновать сложившееся положение. Компания не согласна с заявлениями о полной компрометации SSL: как заметил ее директор по сертифицированию, сама технология по-прежнему безопасна, коль скоро в руки взломщиков не попали ключевые информационные активы - криптографические алгоритмы, использующиеся для зашифрования трафика. Соответственно, нет смысла и в призывах строить новую систему защиты - старая вполне еще работоспособна и надежна.

Symantec акцентирует внимание на том, что суть проблемы заключается не в самом устройстве сертификационного механизма SSL, а в конкретных компаниях, сети которых подверглись взлому. Для обеспечения надлежащего уровня безопасности нужно не менять всю систему в целом, а лишь следить за состоянием обороны центров выдачи удостоверений; если они будут как следует защищены, то и риски компрометации зашифрованных данных будут сведены к минимуму. Для этого компания призывает своих коллег вкладываться в развитие инфраструктуры (в том числе - устанавливать современные антивирусные средства), регулярно проводить аудит, оценивать степень уязвимости информационных систем, обеспечивать многоуровневую защиту и вести постоянное наблюдение за программно-аппаратной средой, чтобы вовремя выявлять все инциденты.

Еще Symantec призывает установить некие стандарты, которым должен будет соответствовать всякий сертификационный центр, прежде чем его допустят к выпуску цифровых удостоверений. В настоящее время правом выпускать сертификаты SSL обладают более 650 организаций, и, к сожалению, не все из них уделяют должное внимание безопасности. В наличии такого количества центров, как отмечают в Symantec, нет ничего плохого - однако на данный момент та планка, которую необходимо преодолеть каждому желающему выпускать SSL-удостоверения, установлена в слишком уж низкое положение. Сейчас специалисты компании работают над документом, в котором планируется изложить минимальные требования к центрам сертификации - такие, например, как использовать надежные пароли и СКУД, отделять информационные системы для работы с удостоверениями от общих коммуникационных сетей организации, применять аппаратные криптосистемы и т.д.

eWeek

Письмо автору

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

WhatsApp опять сдал назад: удаление аккаунтов после 15 мая откладывается

Facebook в очередной раз отступил от своих планов в отношении навязывания политики WhatsApp. Напомним, что пользователей мессенджера пытаются заставить принять новую политику, которая, по словам отдельных экспертов, увеличит количество собираемых пользовательских данных.

Ещё в январе руководство WhatsApp спасовало перед возмущением людей и отложило вступление в силу новых правил до 15 мая. Разработчики даже попытались реабилитироваться с помощью баннера, объясняющего новую политику.

И вот теперь, когда 15 мая всё ближе, WhatsApp до сих пор не решается принять радикальные меры. Как известно, изначально представители мессенджера обещали удалить аккаунты пользователей, не принявших новые правила, но теперь эти меры решили заменить простым напоминанием.

Стоит отметить, что после вступления в силу обновлённой политики WhatsApp сможет делиться большим количеством данных с Instagram, Messenger и т. п. В результате «циркулировать» между этими смежными сервисами Facebook будут контакты пользователей, информация о профиле и похожие сведения. При этом подчёркивается, что содержимое сообщений останется нетронутым, поскольку оно зашифровано.

«Ни один из пользователей не лишится своего аккаунта 15 мая. Также сохранится вся функциональность мессенджера. Мы продолжим напоминать людям о новых правилах, чтобы они ознакомились с изменениями и приняли их», — говорится на официальном сайте.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru