KORMÁNYABLAK, ÜGYFÉLKAPU - A ZÁRT AJTÓK MÖGÖTT... (nem hivatalos e-kormányzati témájú oldal)
BEMUTATKOZÁS
E-KÖZIGAZGATÁS
IT BIZTONSÁG
		Mottó: Now we live, in a world of uncertainty /Iron Maiden: Fear is the key/ 2012. június 26.       Kulcs-kérdések         Követendőnek tartom azt az elvet, miszerint a védelmi megoldásnak a védendő információ értékével kell arányosnak lennie. Ezt az elvet az e-közigazgatási rendszereknél is szem előtt lehet tartani, hiszen ilyen differenciálással optimalizálni lehet a költségeket is (pl. nem bizalmas, de személyhez kötődő adatok lekérdezéséhez nem fognak kiosztani több millió one-time-password kütyüt). Kérdés, hogy az elmúlt hetek eseményeit tekintve ez az arány megfelelő volt-e az érintett szolgáltatásoknál, szervereknél? LinkedIn Jelszólenyomatok milliói hevernek a torrent peer-eknél, illetve kíváncsi felhasználók gépein. HashCat-eket, ighashgpu-kat etetnek velük az Amazon EC2 cloud gépein (pl. Cluster GPU Quadruple Extra Large Instance: 2 x NVIDIA Tesla Fermi M2050 GPUs). És sorra jönnek elő a megfejtett jelszavak... Yahoo! Axis extension for Google Chrome Fejlesztői "code signer" titkos kulcs a csomagban. Gyakran előfordul, hogy a fejlesztés során használt egyszerű jelszavak, PKI kulcsok benne maradnak egy adatbázisban, amikkel teljes hozzáférést lehet szerezni a rendszerhez, azonban ha ezt valaki "nagy" követi el, akkor az annál nagyobbat durran! sKyWIper/Flamer Régi MD5 hiba új köntösben! Bár, már pár éve ismert volt, hogy akár X.509 tanúsítványok hamisítását is meg lehet oldani, valahogy nem volt világrengető probléma eddig belőle. Eddig... A sKyWIper/Flamer "code signer" tanúsítványa ugyanis Microsoft-os root-ig vezethető vissza! Tanulságok helyett inkább csak néhány gondolatot osztanék meg a saját (céges) szokásainkról... A "code signer" kulcsokat mifelénk HW eszközben tároljuk, szerverbe van bedugva, web service interfész mögött csücsül, így bárki elérheti, de titkos kulcs belőle nem jön ki. A Yahoo! Axis extension esetét tehát viszonylag egyszerűen el lehetett volna kerülni. A LinkedIn jelszavai problémásabbak. Az üzleti szféra felhasználóinak jelszavai sokat érhetnek, ha a céges hozzáférésre is azokat használják. Éppen az ilyen veszélyek miatt céges jelszavakat máshol (pl. regisztrációnál) nem adunk meg. A jelszólenyomatok kiszivárgása ellen ez védhet, de a gépen futó trójai, ha figyeli a billentyűleütéseket, akkor a jelszavas megoldás elbukik. Ettől függetlenül a jelszó mellé VPN-nél, webmail-nél SSL/TLS kliens authentikációs tanúsítványt ki lehet osztani HW eszözön, vagy akár SW-ként (PKCS#12 típusú .pfx vagy .p12 állományként). Az egyszerű jelszónál mindenképpen többet ér! A Microsoft-aláírásnál nem vették komolyan a kriptográfiai gyengeséget, amelyet már 2004 óta ismerünk! Hasonló jelenség - teljes ütközés - az SHA-1 esetében még nem ismert (a legerősebb is a 73. körnél van a 80 körből), de már ezt is cserélik le a különböző alkalmazásoknál SHA-256 algoritmusra óvatosságból. A megfelelően arányos védelem megtartása tehát folyamatos figyelmet igényel, különben könnyen előfordulhatnak a fent leírtakhoz hasonló esetek... Kapcsolódó anyagok: Yahoo! Axis extension: code signer private key sKyWIper/Flamer: Microsoft CA-chain   vissza
			info@kormanyablak.org info@ugyfelkapu.info