Google представила систему управления ключами шифрования Cloud KMS

Олег Иванов 13 Января 2017 - 15:19

Средства криптографической защиты информации

...

Google представила систему управления ключами шифрования Cloud KMS

В среду Google представила в бета-версии новую систему управления ключами - Cloud Key Management Service (KMS). Она призвана помочь клиентам Google Cloud Platform управлять своими ключами шифрования.

«В отличие от других систем управлений ключами, которые трудно масштабировать и поддерживать, Cloud KMS позволяет легко держать ключи в безопасности» - говорит в своем блоге менеджер продукта Maya Kaczorowski.

После того, как в 2013 году Эдвард Сноуден раскрыл некоторые детали относительно онлайн-слежки, для владельцев облачных сервисов стало важным уделять шифрованию большое внимание. В частности, они сосредоточились на шифровании, позволяющем клиентам контролировать ключи.

Гарретт Беккер (Garrett Bekker), аналитик, за плечами которого 451 исследование, утверждает, что KMS восполняет пробел в работе систем управления ключами, предоставляя клиентам возможность управлять своими ключами шифрования.

Клиенты Google Cloud Platform могут создавать, использовать, менять местами или удалять ключи шифрования по своему усмотрению, используя Cloud KMS. Также Cloud KMS предоставляет REST API, который может использовать ключ для шифрования и расшифровки данных.

Cloud KMS интегрируется с Cloud Identity Access Management и Cloud Audit Logging, двумя службами, которые относятся к Google Cloud Platform.

По словам менеджера проекта, Cloud KMS полагается на Advanced Encryption Standard (AES) - симметричный алгоритм блочного шифрования (размер блока 128 бит, ключ 128/192/256 бит).

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 26 Апреля 2024 - 15:38

Атаки на сайты Уязвимости сайтов Взлом сайтов Заражение веб-сайта Домашние пользователи

Критическая дыра в WordPress-плагине WP-Automatic используется в атаках

Киберпреступники пытаются использовать в атаках критическую уязвимость в плагине WP‑Automatic для сайтов на WordPress. В случае успешной эксплуатации брешь позволяет получить полный контроль над целевым веб-ресурсом.

Проблему, о которой идёт речь, отслеживают под идентификатором CVE-2024-27956. По шкале CVSS ей присвоили почти максимальный балл — 9,9.

«Уязвимость представляет собой возможность SQL-инъекции и создаёт серьёзные риски для владельцев веб-сайтов, поскольку злоумышленники могут получить несанкционированный доступ», — пишут специалисты WPScan в официальном уведомлении.

«Например, атакующие создают аккаунты с правами администратора, загружают вредоносные файлы и получают полный контроль над ресурсом».

По словам исследователей, проблема кроется в механизме аутентификации, реализованном в плагине WP-Automatic. Условный злоумышленник может обойти его с помощью SQL-запросов к базе данных.

В тех атаках, которые удалось отследить экспертам, CVE-2024-27956 используется для отправки несанкционированных запросов к БД и создания учётных записей уровня администратора (имена обычно начинаются на «xtw»).

После этого злоумышленники могут менять код и загружать любые файлы. В данных кампаниях атакующие устанавливают бэкдор и обфусцируют вредоносный код.

С 13 марта 2024 года команда Patchstack отследила уже 5,5 млн попыток эксплуатации CVE-2024-27956.