IBM объявила о создании технологии, которая остановит хакеров

IBM объявила о создании технологии, которая остановит хакеров

IBM представила новое поколение мейнфрейма IBM Z, который способен обработать более 12 млрд зашифрованных операций в день. В системе используется передовой механизм шифрования, который впервые позволит непрерывно шифровать данные, связанные с любым приложением, облачным сервисом или базой данных.

Новые возможности шифрования IBM Z предназначены для борьбы с глобальной «эпидемией» краж данных. Утечки конфиденциальной информации составляют основную часть потерь глобальной экономики от киберпреступности, общий ущерб от которой может достигнуть $8 трлн к 2022 г.

IBM Z расширяет продуктовую линейку инновационных мировых технологий шифрования и инструментов защиты. Усовершенствованные криптографические возможности системы теперь распространяются на любые данные, сети, внешние устройства или целые приложения, такие как сервис IBM Cloud Blockchain. Они не требуют изменений в приложениях и не влияют на соглашения об уровне сервиса, пишет cnews.ru.

«Подавляющее большинство украденных или взломанных данных не было защищено, и к ним легко можно было получить доступ. Это вызвано тем, что шифрование является дорогостоящим процессом, который сложно организовать на должном уровне, – сказал Росс Маури, руководитель IBM Z. – Мы создали механизм защиты данных для облачной эры, который, как мы считаем, существенно повлияет на сферу глобальной информационной безопасности». 

Повсеместное шифрование в IBM Z отражает призыв к защите данных, озвученный руководителями отделов информационной безопасности и экспертами по безопасности по всему миру. Этой точки зрения придерживаются также более 150 заказчиков IBM, которые на протяжении последних трех лет участвовали в опросах и делились своим мнением в ходе проектирования мейнфрейма IBM Z.

IBM Z расширяет возможности криптографических технологий. Система построена на надежной платформе шифрования, которая обеспечивает безопасность мировых банковских, медицинских, правительственных инфраструктур и сферы розничной торговли. 

С помощью IBM Z организации впервые смогут в один клик шифровать данные, связанные с приложением, облачным сервисом или базой данных, в режиме активного использования и в состоянии покоя. Сегодня общепринятой практикой является последовательное шифрование небольших фрагментов и инвестирование значительных ресурсов для выбора и управления отдельными полями данных. Массовое шифрование в масштабе облака стало возможным благодаря семикратному увеличению производительности криптоалгоритмов по сравнению с предыдущим поколением z13. В частности, за счет четырехкратного увеличения количества микросхем, предназначенных для работы криптографических алгоритмов. 

IBM Z работает в 18 раз быстрее по сравнению с системами x86, которые сосредоточены на отдельных фрагментах. Стоимость обработки составит всего 5% от аналогичных расходов при использовании решений на базе x86.

IBM Z может защитить миллионы ключей (а также процессы получения доступа к ключам, их создания и переработки), используя оборудование с системой защиты от несанкционированного взлома. При любом сигнале о попытке взлома ключи шифрования самостоятельно разрушаются, а затем могут быть восстановлены в безопасном режиме. 

Система управления ключами IBM Z разработана в соответствии с требованиями четвертого уровня Федеральных стандартов обработки информации (Federal Information Processing Standards, FIPS). При этом нормой высокого качества информационной безопасности в отрасли является второй уровень. Возможности IBM Z могут быть расширены за пределами мейнфрейма и распространяться на другие устройства, такие как системы хранения и облачные серверы. 

IBM Secure Service Container защищает от внутренних угроз, исходящих от контрагентов и привилегированных пользователей. Оно также предоставляет автоматическое шифрование данных и кодирование в активном состоянии и в состоянии покоя, а также защиту от взлома в течение установки и работы.

Технологии IBM z/OS Connect позволяют разработчикам облачных вычислений легко обнаружить и вызвать любое приложение или данные IBM Z из облачного сервиса. В свою очередь, разработчики IBM Z могут вызвать любой облачный сервис. IBM Z позволяет организациям шифровать эти API – связующее звено, которое объединяет сервисы, приложения и системы – почти в три раза быстрее по сравнению с другими решениями на базе x86.

«Благодаря встроенному масштабному шифрованию и возможностям его расширения, IBM Z – это действительно первая система, предлагающая универсальное решение против киберугроз и утечек данных, которые мы наблюдаем на протяжении последних двух лет», – сказал Питер Руттен, аналитик группы серверов и вычислительных платформ IDC

IBM Z помогает заказчикам выстроить доверительные отношения с потребителями и соответствовать новым стандартам информационной безопасности, например Общему регламенту ЕС по защите данных (GDPR). Этот регламент вступит в силу в следующем году и увеличит количество нормативных требований для организаций, ведущих бизнес в Европе. В соответствии с GDPR компании должны будут сообщать об утечках данных в течение 72 часов. В противном случае они могут столкнуться с необходимостью выплатить штраф в размере до 4% ежегодной выручки предприятия или 20 млн евро. Исключением станут только компании, доказавшие, что информация была закодирована, а ключи шифрования защищены. 

На федеральном уровне США руководство по использованию шифрования в сфере финансовых услуг обеспечивает Экзаменационный совет федеральных финансовых институтов (FFIEC), который включает в себя пять банковских регуляторов. Сингапур и Гонконг также выпустили похожие документы. Совсем недавно Департамент финансовых сервисов штата Нью-Йорк обнародовал требования к кодированию в документе Регламент информационной безопасности для компаний в сфере финансовых сервисов (Cybersecurity Requirements for Financial Services Companies). 

IBM Cloud постоянно совершенствуется за счет передовых вычислительных опций. Теперь платформа снова выходит на новый уровень, чтобы первоначально включить в себя систему IBM Z в качестве механизма шифрования для облачных сервисов на IBM Cloud, а в дальнейшем запускать с ее помощью сервисы IBM Blockchain. Это позволит обеспечить самый высокий уровень криптографического оборудования, который доступен коммерчески. Новые блокчейн-сервисы в центрах в Далласе, Лондоне, Франкфурте, Сан-Паулу, Токио и Торонто защищены с помощью передовой технологии криптографии IBM Z.

«Мощная комбинация шифрования IBM Z и использование безопасных контейнеров обеспечивает поддержку моделей доверия, которые требуются для новых блокчейн-сетей, и тем самым отличают сервисы IBM Blockchain от других решений в облаке, – сказала Мэри Вик, руководитель подразделения IBM Blockchain. – Корпоративные заказчики также получают выгоду от простоты использования сервисов, которые делают процесс управления максимально прозрачным для приложения и пользователя».

IBM также анонсировала три новаторских модели ценообразования контейнеров для IBM Z, предоставляя клиентам значительно упрощенную систему расчета стоимости ПО. Они сочетают возможности гибкого развертывания в условиях высококонкурентного рынка, в противовес публичным облакам и локальным средам x86.

Новые микросервисы и приложения позволяют заказчикам максимально эффективно использовать преимущества локальных корпоративных систем в режиме реального времени. Теперь приложения для оптимизации качества услуг могут размещаться совместно и имеют конкурентоспособные цены по сравнению с общедоступными облачными и локальными платформами.

Для разработки приложений и тестирования возможно утроить загрузку всех сред разработки z/OS для поддержки новейших инструментов и процессов DevOps. Заказчики могут увеличить емкость в три раза без увеличения ежемесячной платы за лицензию.

Ценообразование платежных систем основано на бизнес-показателях, таких, например, как объем платежей, который проводит банк, а не доступной емкости системы. Благодаря этому заказчики получают гораздо большую гибкость для разумного внедрения инновационных решений в условиях конкурентной среды, особенно в быстрорастущем сегменте мгновенных платежей.

Эти опции ценообразования для контейнеров призваны предоставить заказчикам необходимый для их бизнеса уровень предсказуемости и прозрачности. Модели ценообразования масштабируются как внутри логических разделов (LPAR), так и между ними, и обеспечивают значительно расширенные возможности для измерения показателей, установления лимита и выставления счетов. Новые модели ценообразования контейнеров для IBM Z будут доступны к концу 2017 года на ОСz/OS V2.2 и z/OS V2.3.

IBM Z разработана на основе самого мощного в мире механизма транзакций для глобальной торговли, который поддерживает 87% всех операций с кредитными картами и платежи на сумму около 8 триллионов долларов в год; 29 млрд транзакций через банкоматы ежегодно, что эквивалентно почти 5 млрд долларов в день; 4 млрд пассажирских авиарейсов в год; более 30 млрд транзакций в день, что даже превышает количество ежедневных поисковых запросов в Google; 68 % рабочих нагрузок в мире при 6% от общей стоимости ИТ.

Банки и другие компании в сфере финансовых услуг обрабатывают тысячи транзакций в секунду, чтобы обеспечить работу мировых финансовых систем. Использование мейнфрейма для надежной обработки больших объемов операционной информации никогда прежде не было так актуально.

IBM Z – новое поколение ведущей в отрасли КМОП-технологии построения мейнфреймов. Система имеет самый быстрый на рынке микропроцессор, работающий на частоте 5,2 ГГц и новую масштабируемую структуру, которая обеспечивает увеличение производительности для традиционных рабочих нагрузок и в среде Linux на 35% по сравнению с предыдущим поколением IBM z13. IBM Z поддерживает более 12 млрд зашифрованных транзакций в день в одной системе. 

IBM одновременно анонсировала новое программное обеспечение z/OS, которое предлагает фундаментальные возможности для предоставления частных облачных сервисов, что позволит компаниям преобразовать центр ИТ-затрат в поставщика услуг с добавленной ценностью. Сервисы обеспечат поддержку расширений рабочего процесса для IBM Cloud Provisioning and Management для z/OS и аналитической инфраструктуры SMF в реальном времени.

IBM Global Financing поможет квалифицированным заказчикам приобрести новый мейнфрейм IBM Z, снизить общую стоимость владения и ускорить возврат инвестиций. Предложения IBM Global Financing для мейнфреймов IBM доступны как в IBM, так и у бизнес-партнеров компании. Они предоставляют гибкие условия, которые могут быть персонализированы для сопоставления затрат с задачами проекта или другими потребностями заказчика.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

2 февраля – Всемирный день двухфакторной аутентификации (2FA Day)

Начиная с 2022 года, весь цивилизованный мир празднует 2 февраля — День двухфакторной аутентификации (2FA Day). Впервые этот праздник стали отмечать 2 февраля 2022 года. Это — отличный повод включить везде 2FA, сменить пароли и не забывать делать это регулярно!

2FA Day

Конечно, любой сходу ответит, что аббревиатуру 2FA можно расшифровывать как «2 February Anniversary». Но те, кто знаком с безопасностью, объяснят это по-своему: «2FA – это праздник в честь 2FA»! Правы будут все: в названии 2FA присутствует символизм. 

Для справки: 2FA или двухфакторная аутентификация – это технология, которая делает парольную защиту более надежной. При доступе к защищенному паролем сайту пользователю отправляется секретный код на телефонный номер. Другой вариант – в его адрес совершается телефонный звонок, а кодом служит несколько цифр в номере входящего звонка. Есть и другие варианты. Надо ввести код, после чего авторизация будет успешно пройдена.

Главное – это пароли и аутентификация. Не только ИБ-эксперты знают, что о безопасности и паролях стали заботится задолго до 2 февраля 2022 года. Чтобы связать все логически, надо вспомнить немного истории.

Рождение паролей

Первыми об использовании надежных паролей, говорят, задумались древние египтяне. Они изобрели свой «пароль» для замка в виде обычного дверного засова. Покидая дом, человек хотел сохранить неприкосновенность своего жилища, даже когда внутри никого не оставалось. Можно было посадить собаку в будку рядом с дверью, но в Древнем Египте было слишком жарко, поэтому этот народный способ оказался непригодным. Пришлось изобретать что-то более сложное.

Египетские умельцы соорудили специальный короб, который мог блокировать засов и надежно защищать жилище. Замок представлял собой набор деревянных штифтов, входящих в пазы. Они не давали засову выскальзывать и открывать дверь. Ключ был вырезан таким образом, что приподнимая штифты, можно было выдвинуть засов. Если убрать засов внутрь, то даже имея ключ, открыть дверь снаружи было невозможно.

 

Рисунок 1. Египетский замок

Египетский замок

 

Чтобы открыть египетский замок требовался правильный деревянный ключ. Говоря современным языком, египетский ключ – это был аналог пароля с однофакторной аутентификацией. Если злоумышленники смогли выточить идентичный дверной ключ, то они могли беспрепятственно проникнуть в дом египтянине в его отсутствие.

Вот такая «парольная» защита была придумана около 6000 лет назад. Аналогичное произошло и с компьютерными системами. До определенного времени защитой служил только обычный пароль. Предлагалось выбирать его посложней да позакавыристей. Самой популярной программой для хранения паролей исторически стал сервис 1Password.

Но проблема древних египтян не обошла и современных компьютерных пользователей. Также как и древним умельцам, им пришлось думать, как опередить злоумышленников. Единственный выход – это частая смена пароля. Но пользователи, как показывает практика, часто забывают об этом требовании.

1FA

В 2012 году Мэтт Бьюкенен (Matt Buchanan) написал для популярного издания Gizmodo небольшую заметку, в которой предложил отмечать специальный праздник - День смены пароля. По его мнению, это должно было напоминать пользователям о необходимости постоянно затруднять жизнь хакерам. Бьюкенен подумал, что было бы неплохо, если все пользователи хотя бы раз в год вспомнили о важном правиле и меняли свои пароли. Так родился День смены пароля.

Поскольку безопасники любят аббревиатуры, то они решили назвать новый праздник как 1FA Day. Что было причиной, сегодня уже трудно восстановить, но, возможно, в названии было зашифровано сокращение от 1Password Authentication. «Зашифрованная» дата легла на 1 February (1 февраля).

2FA

Рождение двухфакторной аутентификации относят к 1985 году. Тогда Кеннет Вайс (Kenneth Weiss) придумал и запатентовал «аппарат для электронной генерации и сравнения непредсказуемых кодов». Но расцвет двухфакторной аутентификации произошел позже. Он пришел вместе с широким распространением мобильных телефонов.

Казалось, все проблемы были решены: мобильное устройство всегда под рукой, поэтому не требуется использовать «искусственные» дополнительные токены, как это делали ранее некоторые банки, снабжая клиентов карточкой с распечатанной таблицей секретных паролей. Более того, код подтверждения стал постоянно меняться, что сделало защиту гораздо более безопасной, чем применение однофакторной связки из логина и пароля.

Но выявились и недостатки 2FA при ее использовании вместе с мобильным телефоном, хотя они носили больше организационный характер. Для применения требовалась надежная мобильная связь при аутентификации, иначе отправленное сообщение с паролем могло просто не дойти до адресата. Требовалось также заранее сообщить номер мобильного телефона для приема сообщений с паролем. Отправленные текстовые сообщения (SMS) могли быть также перехвачены злоумышленниками (впрочем, эта проблема была решена ограниченным сроком действия пароля). 

Как бы там ни было, к 2022 году 2FA был признан как надежный инструмент безопасности и поэтому достойным, чтобы ввести в обиход Праздник надежного пароля - 1FA на 2FA.

Вот такая история!

Безопасности много не бывает!

Кажущаяся простота 2FA скрывает под своим капотом много деталей, связанных с защитой. Раскроем некоторые из них.

Во-первых, пользователь должен знать правильный логин и пароль для необходимого ему доступа. Во-вторых, он должен иметь в руках мобильный телефон, зарегистрированный для получения 2FA-кода для адресуемого сайта. В более защищенных системах (например, в банках) еще потребуется пройти, в-третьих, дополнительную верификацию при отправке запроса (или получении ответа). Это может быть проверка по снимку роговицы глаза или анализ с голосовой верификацией. 

Тем не менее, даже такие надежные системы иногда подвержены взлому. Самый свежий случай произошел буквально недавно, в первый день этого года. Об этом написали в издании TechCrunch.

Проснувшись утром 1 января 2023 года пользователь криптовалютной биржи Coinbase, зарегистрированный под ником Regexer, получил электронное письмо. В нем говорилось, что в связи с началом года был произведен успешный сброс учетных данных.

Почуяв неладное, пользователь попробовал подключиться к своей учетной записи на криптобирже. Но ему не удалось сделать этого: попытка восстановить контроль не увенчалась успехом.

Вскоре у Regexer пропал доступ к мобильной сети. Используемое им мобильное приложение для двухфакторной аутентификации Authy сообщило, что к учетной записи было добавлено новое устройство и проведена его верификация. По всей видимости, хакеры заранее смогли сделать электронную копию с SIM-карты пользователя и воспользовались ею. Оператор мобильной связи, обнаружив дублирование, отключил старое устройство.

Взяв под контроль мобильный доступ Regexer, хакеры смогли сбросить пароли на его учетной записи доступа к криптобирже и перехватить SMS-сообщения, отправляемые для двухфакторной аутентификации. Они получили контроль над Authy и, соответственно, над его криптосбережениями.

Как хакерам удалось взломать надежную систему, где участвуют криптобиржа, мобильный оператор, используется надежная система защиты? Причина стала понятна через несколько недель, когда к пользователю Regexer пришло письмо от провайдера сотовой связи Google Fi. В письме сообщалось, что хакерам удалось украсть некоторые данные их клиентов, в число которых попал и Regexer. Было высказано предположение, что кража была связана с недавно произошедшим взломом в T-Mobile.

В письме также говорилось, что хакерам смогли воспользоваться и «другими данными, связанными с учетной записью в Google Fi и доступные без авторизации: почтовый индекс, служебный/экстренный адрес для связи». 

«Кроме того, 1 января 2023 года в течение примерно 1 часа 48 минут услуга мобильной связи была переведена с SIM-карты реального клиента (Regexer) на другую SIM-карту. Во время этой временной передачи несанкционированный доступ мог включать использование номера телефона для отправки и получения телефонных звонков и текстовых сообщений. Несмотря на передачу SIM-карты, ваша голосовая почта не могла быть доступна. Мы восстановили сервис Google Fi на вашей SIM-карте», - говорилось в сообщении провайдера.

Выводы

Мы рассказали эту «страшную» историю не для того, чтобы «напугать». Несмотря на простоту применения, двухфакторная аутентификация и парольная защита требуют к себе внимательного отношения. Необходимо обращать внимание на то, что происходит в мире информационной безопасности. Иначе можно столкнуться с неприятностями, иногда очень серьезными.

Отметим ее, что все участники рынка стараются обеспечить надежную работу и безопасность. Но и от пользователей требуется иногда вспоминать о своей роли и соблюдать рекомендации, которые советуют компании ИБ.

С праздником 2FA!

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru