A criptografia de dados em repouso é vital, mas ele simplesmente não está acontecendo

O Escritório das Informações Australian Comissário (OAIC) ​​tem sido clara sobre a criptografia de dados pessoais, tanto nas suas orientações e em investigações recentes de violação de dados. Mas de acordo com Chris Gatford, diretor da empresa de testes de penetração hacklabs, muito poucas organizações estão à altura das expectativas.

sistemas de arquivos criptografados, especialmente a criptografia de dados em repouso, ele só não ocorre “, Gatford disse ao site.” Noventa e nove por cento das organizações não criptografar outra coisa senão o laptop ocasional.

O cenário mais comum Gatford encontra durante pentests é que nenhuma das estações de trabalho da organização alvo executar qualquer tipo de criptografia para os usuários finais, em absoluto. Isso parece um longo caminho desde que o OAIC espera.

O OAIC não exigem criptografia total. Mas o seu guia para proteger informações pessoais lembra organizações que eles precisam para tomar “medidas razoáveis” para garantir que as informações. Criptografia é “importante em muitas circunstâncias”, e as organizações precisam proteger os dados, seja em servidores, em bases de dados, em backups, em serviços em nuvem de terceiros, em dispositivos de usuários finais, incluindo smartphones e tablets, bem como laptops, ou em dispositivos de armazenamento portáteis.

“Métodos de criptografia deve ser revisado regularmente para garantir que eles continuam a ser relevantes e eficazes, e são utilizados quando necessário. Isto inclui assegurar que o âmbito da criptografia é grande o suficiente para que os atacantes não podem acessar outra cópia sem criptografia da sua informação encriptada,” o guia diz.

O que isso pode significar, na prática, é ilustrado pelo recente relatório da OAIC em sua investigação sobre massiva violação de dados 2013 da Adobe.

Adobe aparentemente criptografada todas as senhas do usuário com a mesma chave, em vez de cada ser individualmente salgado, em seguida, hash. dicas de senha não foram criptografados em tudo.

“Hash e salga é um passo básico de segurança que a Adobe poderia razoavelmente implementadas para melhor proteger as senhas”, escreveu o OAIC.

Tendo em conta os recursos disponíveis para Adobe implementar medidas de segurança robustas de forma consistente em todos os seus sistemas, e as consequências para os indivíduos se os dados sobre os servidores antigos foi comprometida, o comissário descobriu que Adobe [tinha falhado] para tomar as medidas razoáveis ​​para proteger toda a informações pessoais que detinha contra uso indevido e perda, e de acesso não autorizado, modificação ou divulgação.

Embora diferentes leis aplicadas na época da violação de dados da Adobe – as leis de privacidade da Austrália foram atualizados em 12 de março de 2014 – o teste de “medidas razoáveis” aplicado tanto naquela época quanto agora. A principal diferença é que, agora, o Privacy Commissioner pode emitir multas de até AU $ 1,7 milhões para organizações que não conseguem tomar as medidas razoáveis.

As empresas também precisam proteger seus segredos comerciais, é claro, e Gatford disse que as empresas mais maduras tornaram-se usado para criptografar laptops por causa do risco óbvio de roubo.

Um nome de usuário e senha oferecer proteção zero quando um ladrão pode simplesmente remover o disco rígido, instalá-lo em outro computador e copiar os dados. Criptografar laptops é essencial, eo mesmo vale para tablets e smartphones.

Armazenamento; NetApp lança sistema mid-tier para lagos de dados, parceiros com Zaloni; Nuvem; Michael Dell em fechar negócio EMC: “Podemos pensar em décadas; Data Centers; Dell Technologies decola: Aqui está o que vê como Dell, EMC, uma bando de negócios empresariais combinam; armazenamento; Facebook Open fontes ZStandard algoritmo de compressão de dados, tem o objetivo de substituir a tecnologia por trás Zip

O roubo de um dispositivo móvel pode muitas vezes ser parte de uma operação organizada, de acordo com Sven Radavics, gerente geral da Imation Mobile Security para a região da APAC – e não é apenas sobre a segurança nacional e informações de defesa. propriedade intelectual de qualquer organização pode ser um alvo, desde a concepção de um novo motor de carro a um jogo de filme ou vídeo.

“Particularmente na China – mas nem sempre na China, já aconteceu em outros países – [houve casos], onde tem sido claro o meu cofre foi aberto, e meu laptop foi movido,” Radavics disse ao site na semana passada .

“É bastante comum que, se alguma entidade quer ter acesso aos seus dados, que cofre não fornece nenhuma proteção”, disse ele.

próprio kit de viagem ‘Radavics consiste de seu pessoal MacBook Air, endurecido com uma variedade de software de segurança, e um dos próprios sticks USB IronKey criptografados da Imation.

Muitas outras empresas têm um processo semelhante para quem viaja para destinos de alto risco, disse ele. Os funcionários são fornecidos com um portátil em um recém-instalado, limitado sistema operacional com, com todos os dados da empresa mantidos em um dispositivo criptografado, ou correr tudo fora algo como o Windows da IronKey to Go baseado no stick USB espaço de trabalho móvel segura. Após o retorno, o laptop é completamente apagado.

Radavics fez questão de se gabar de recursos de segurança do IronKey, é claro, como as camadas de epóxi que tornam difícil para chegar ao chip de criptografia sem destruí-la, ou o mecanismo de auto-destruição que destrói as chaves se o chip é exposta ao ar . Mas ele fez alguns pontos válidos sobre como avaliar o custo de defesa contra o risco de ataque.

“Você poderia, teoricamente, colocar o chip sob o microscópio [elétrons] e extrair as chaves, e consideramos que a $ 50.000 hack. Mas nós realmente proteger o chip, por isso, um microscópio eletrônico não pode realmente ver o que está acontecendo dentro do chip,” disse Radavics.

“Se você tem um dispositivo de criptografia de hardware e a chave é armazenada em flash, ter alguém puxe o dispositivo e colocar um par de sondas entre o chip de criptografia eo flash para extrair as chaves dessa forma, que é uma espécie de sub- $ 1.000 corte ,” ele disse.

É bastante comum que, se alguma entidade quer ter acesso aos seus dados, que cofre não fornece nenhuma proteção.

Um monte de a conversa é de cerca de hacks de alta tecnologia … mas um monte de perda de dados ainda pode ser muito mundano “, disse Radavics, como pen drives ou discos rígidos portáteis perdidos em trens, aviões e automóveis.” O dispositivo criptografado fornecedores têm falado sobre esse tipo de coisa por anos, e não é nova, e é um pouco chato pouco.

A necessidade de criptografar dispositivos móveis é óbvia, mas os dados sobre servidores também podem ser vulneráveis ​​a roubo, se ele não for criptografado – e às vezes é fácil chegar aos servidores.

Um dos exemplos mais notórios teve lugar no centro de inteligência de carga nacional da Austrália do Serviço de Alfândega no aeroporto de Sydney em 27 de agosto de 2003. Os ladrões simplesmente virou-se, afirmava ser técnicos que trabalham para o terceirizado fornecedor de TI EDS, e saiu com dois de a organização do quatro servidores – juntamente com os dados de inteligência que realizou.

“Os assaltantes, descritos como homens de Oriente Médio / aparência Pakistani / Indian, deu credenciais EDS falsos e tiveram acesso à sala do mainframe”, o Sydney Morning Herald relatou na época.

Eles passaram duas horas lá naquela noite antes de usar carrinhos de roda os dois servidores após a mesa de segurança do terceiro andar, em um elevador e fora do edifício.

Gatford disse ao site que ele “muito raramente” vê criptografia implantado em servidores e hacklabs tem uma base de clientes “razoável” do outro lado “muito poucos” verticais da indústria.

Você ouve as pessoas falando sobre isso. Se você está falando de ambientes de cartão de crédito, onde você tem uma exigência para criptografar as informações de cartão de crédito em repouso, penso que o método mais comum as pessoas usam há ativar a criptografia do banco de dados “, disse ele.” Isso é tipicamente cerca de tão bom quanto ele ganha em termos de criptografia baseada em host.

Na verdade, qualquer tipo de acesso físico à organização é geralmente suficiente.

“Quando você está fisicamente na frente de uma estação de trabalho dentro de uma organização, é game over, porque é trivial a arrancar-se de meios alternativos para obter acesso aos dados brutos, a partir daí, de Bob seu tio e você está longe, “disse Gatford.

Leia mais

Quando você está fisicamente na frente de uma estação de trabalho dentro de uma organização, é game over

“Apenas sobre cada pentest que fazemos, vemos que a senha estação de trabalho do administrador local é a mesma senha para cada administrador local na organização”, disse ele. Isso quer porque a organização tem copiado a senha para a estação de trabalho como parte de seu ambiente operacional padrão (SOE) rollout, ou simplesmente porque os membros da equipe precisam ser capazes de passar de um computador para outro de forma eficiente.

Se você comprometer um ponto final, e você começa a senha do administrador local, nove vezes fora de 10 é game over, e você reutilizar essas credenciais no ambiente de ir e encontrar o que você está depois. Você não precisa o principal acesso de administrador. Você só precisa de acesso da estação de trabalho do administrador local, e você está pronto para ir.

Fica pior. Mesmo fisicamente penetrar a organização normalmente não é necessário.

“A maioria das invasões bem sucedidas de uma organização nos dias de hoje ocorrer a partir de um e-mail phishing comprometer um usuário final, e usando estação de trabalho do usuário final para atacar o resto da rede”, disse Gatford.

“Olhando de fora para dentro, você ainda vê as pessoas fazendo escolhas fundamentalmente falhos ao projetar suas aplicações”, disse ele.

Um indicador comum de má concepção é os usuários serem capazes de ter suas senhas em texto puro encaminhada de volta para eles – algo que Gatford chamado de “um imediato falhar”.

“O fato de que eles armazenam valores de senhas não criptografadas no banco de dados, que ocorre ainda em uma base regular. Então, imediatamente, você sabe que toda a maneira que eles estão pensando em projetar o módulo de autenticação e, presumivelmente, como isso é protegido, são bandeiras imediatas que eles não teria feito qualquer coisa nesse espaço [antes], e 95 por cento do tempo que é correto “, disse Gatford.

Mas de acordo com o analista de segurança CCRI James Turner, tudo isso é realmente um argumento contra colocar muito esforço para criptografar os dados.

“A pergunta que precisa ser feita sobre a criptografia de disco completo é” O que é o ataque que ele é realmente prevenir? Se o computador está ligado e funcionando, e alguém está realmente usando isso, então a criptografia de disco completo realmente não está protegendo contra qualquer coisa. Um hacker pode apenas passar por uma vulnerabilidade web ou qualquer outra coisa, e obter acesso a todo o material de texto simples, “Turner disse ao site.

Eu acho que a encriptação é incrivelmente importante, mas eu não acho que esta é uma área que precisa ser ranger os dentes aproximadamente. pontos [de Chris Gatford] são muito válido. A autenticação é onde eu vejo um monte de organizações que têm uma série de desafios.

Centenas de fãs da Apple die-hard alinhados na chuva para obter um dos novos iPhones, lançado na sexta-feira de manhã – embora significativamente menos transformou-se que para o lançamento do iPhone 6.

Turner citou um oficial de segurança da informação chefe (CISO), que ele tinha abordado nos últimos 12 meses, em busca de recomendações para um fornecedor de gerenciamento de identidade.

“Mostre-me um projeto de gerenciamento de identidade que trabalhou,” que CISO respondeu.

“É aí que reside o problema. A identidade é realmente muito difícil,” Turner disse ao site.

gerenciamento de chaves, existem soluções para isso. Isso é feito, bem como poderia ser? Provavelmente não. Será que vai ser uma das questões que enfrentamos à medida que começar a se mover cada vez mais para a nuvem? Absolutamente. criptografia de dados da sua empresa vai ser cada vez mais importante? Sim, vai ser diretamente proporcional ao valor dos dados que você está colocando lá. E os fornecedores de nuvem estão arranhando desesperadamente para resolver estas coisas.

A recente violação de dados em massa no Escritório dos EUA de Administração de Pessoal (OPM) parece apoiar a visão de Turner. Criptografia seria “não têm ajudado neste caso”, o Departamento de secretário adjunto da Segurança Nacional para Segurança Cibernética Dr. Andy Ozment supostamente testemunhou ao Congresso, porque os atacantes ganharam credenciais de usuário válidas.

O Turner não recebo um monte de perguntas sobre criptografia de disco completo.

“Agora, que me diz que uma de duas coisas. Ou é absolutamente justo não é uma prioridade, e nem mesmo no radar dos meus clientes, que eu suspeito é muito improvável. Ou é uma área que eles sentem que eles estão lidando suficientemente bem que eles não precisam de ir lá e descobrir o que todo mundo está fazendo “, disse Turner.

“Então, criptografia, não é sem importância, que não é o estar-todo e extremidade-todo, é apenas uma das muitas peças que precisamos usar … É um bocado como DLP [tecnologia de prevenção de perda de dados]. DLP não vai para salvá-lo de o assassino mestre. DLP vai parar alguma coisa de ir em forma de pêra “, disse ele.

A verdadeira segurança que a criptografia de disco completo oferece é em um laptop que é deixado para trás em um aeroporto.

NetApp lança sistema mid-tier para lagos de dados, parceiros com Zaloni

Michael Dell em fechar negócio EMC: “Podemos pensar em décadas ‘

Dell Technologies decola: Aqui está o que vê como Dell, EMC, um bando de negócios empresariais combinam

Facebook Open fontes ZStandard algoritmo de compressão de dados, tem o objetivo de substituir a tecnologia por trás Zip