пятница, 3 февраля 2012 г.

Новые проблемы с обеспечением доверия в Интернете: Стало известно об успешных хакерских атаках на Verisign

2 февраля 2012 года агентство Рейтер сообщило, что компания Verisign, обеспечивающая безопасность более чем половины веб-сайтов, в 2010 году подвергалась повторяющимся атакам хакеров, которым удалось получить определенную (пока не сообщается, какую) информацию.

Компания пока делает успокоительные заявления, но не может исключить возможность, например, успешной атаки на DNS-сервера, отвечающие за трансляцию человеко-читаемых доменных имен в IP-адреса (в день DNS-сервера Verisign обрабатывают порядка 50 миллиардов запросов). Если хакерам удалось их скомпрометировать, то они получили возможность направлять пользователей на подставные сайты. Помимо поддержки системы доменных имён, Verisign оказывает ряд других услуг по обеспечению доверия и располагает большими объёмами персональных данных – потенциально они тоже могут оказаться скомпрометированными.

Об атаках на Verisign стало известно из ежеквартального октябрьского 2011 года отчета американской  Комиссии по рынку ценных бумаг (U.S. Securities and Exchange Commission, SEC), который был подготовлен в соответствии с новыми руководствами по раскрытию для инвесторов сведений об инцидентах безопасности.

Туманные и нечеткие заявления представителей Verisign пока не способствуют душевному спокойствию заинтересованных сторон. Рейтер отмечает, что до августа 2010 года Verisign был одним из крупнейших поставщиков SSL-сертификатов, обеспечивающих защищённый обмен данных с сайтами (летом 2010 года этот бизнес был продан фирме Symantec, которая сохранила бренд VeriSign). По мнению Symantec, инциденты безопасности, имевшие место в 2010 году, не затронули этот вид деятельности.

В своих недавних письменных показаниях перед Сенатом США руководитель американского разведывательного сообщества (U.S. Director of National Intelligence) Джеймс Кленппер (James Clapper) отметил, что произошедшие в 2011 году известные инциденты, связанные с сертификатами, являются «угрозой для одной из самых фундаментальных технологий, используемых для обеспечения безопасности онлайн-коммуникаций и ответственных транзакций, таких как онлайн-банкинг».

Экспертов особенно поразило то, что компания Verisign, играющая ключевую роль в обеспечении безопасности интернета, не сообщила об имевших место инцидентах. Более того, как сообщается, информация об инцидентах была скрыта и от высшего руководства компании!

Источник: сайт агентства Рейтер / PC Pro
http://www.reuters.com/article/2012/02/02/us-hacking-verisign-idUSTRE8110Z820120202
http://www.pcpro.co.uk/news/security/372571/verisign-slammed-for-security-breach-cover-up

Благодарю Алексея Лукацкого, сообщившего новость в своём блоге, см. http://lukatsky.blogspot.com/2012/02/verisign.html 

Комментариев нет:

Отправка комментария