Acesso de alto desempenho para armazenamento de arquivos
Quotw Toda essa coisa bug Heartbleed apenas continuou correndo sem parar, esta semana, pela primeira vez com as acusações de que a Agência de Segurança Nacional tinha desafiado sua breve por saber sobre a violação de segurança e fazendo coisas-tudo.
A falha Heartbleed, que foi revelado na semana passada, permite que atacantes para acessar senhas, cripto-chaves e outras informações sensíveis a partir de sistemas usando OpenSSL 1.0.1 para 1.0.1f para conexões seguras. Apesar de seu mandato para defender a segurança das comunicações nacionais, a NSA teria usado a falha para seus próprios fins de hackers e nunca alertou as pessoas a sua informação estava em risco.
Fontes sussurrou de ações nefastas da agência a Bloomberg, mas a NSA twittou que ele não fez tal coisa:
NSA não estava ciente da vulnerabilidade Heartbleed recentemente identificada até que foi tornado público.
Se ele vir a ser verdade, o mundo da segurança cibernética não vai ser muito impressionado com a agência, o ex-escritório cibernético Força Aérea Jason Healey disse:
Ele voa em face dos comentários da agência de que a defesa vem first.They vão ser completamente desfiado pela comunidade de segurança de computadores para isso.
Enquanto isso, o homem por trás do erro, Robin Seggelmann disse que o problema pode ser que não só não foram suficientes pessoas que trabalham no OpenSSL para parar coisas como esta aconteçam. Segelmann começou a falha de segurança que abalou o mundo da TI com um simples erro - ele se esqueceu de verificar o tamanho de uma mensagem recebida, permitindo que hackers para tirar uma foto de software atacado e extrair dados sensíveis.
Ele disse:
A possibilidade surgiu que concedeu acesso aos dados relevantes para a segurança, e um erro muito simples agora tem consequências graves. Se o bug agora conhecido e fixo tem sido explorado por agências de inteligência ou outros é difícil de avaliar.
Mas foi um erro que pode ter sido retificado, se houvesse mais do que apenas quatro voluntários trabalhando no projeto de código aberto e contando com doações e patrocínios para os fundos. Segelmann disse:
É importante monitorar o software crítico e relacionado com a segurança o mais rápido possível. Esta é a grande vantagem do software de código aberto: ele está disponível gratuitamente para qualquer pessoa que queira participar.
Infelizmente, apesar de muito ampla distribuição e uso por milhões de usuários, OpenSSL não tem suporte adequado. Apesar dos seus muitos usuários, há muito poucos que participam ativamente no projeto.
Em seguida, os pesquisadores de segurança percebeu que o teste para o bug com sites e outras ferramentas podem ser ilegais desde abuso computador atua no Reino Unido e os EUA proíbem as pessoas de desafiar a segurança de sites de terceiros sem a permissão dos sites disse.
Embora verificando qual a versão do OpenSSL um site está sendo executado e se ele suporta o protocolo de pulsação vulnerável pode ser tudo certo, fazendo nada mais ativo poderia levar as pessoas em apuros.
A segurança do computador pesquisador David Litchfield disse:
Eu diria que certamente viola a Lei Computer Misuse no Reino Unido. Isso não é diferente do que dizer testando para ver se um site é vulnerável a injeção de SQL. Não é legal sem permissão.
Mas o advogado de TI Dai Davis disse que a "violação" não seria susceptível de ser executada:
Sob a lei britânica você poderia argumentar executar varreduras é apenas sobre o criminoso. Não é, no espírito da lei, mas a lei Computer Misuse está mal escrito.
Legal ou não, isso está acontecendo, o pesquisador de segurança Akamai Martin McKeay twittou:
@ Dlitchfield @ WeldPond não é legal, mas grande número de profissionais de segurança de outra forma éticos estão testando todos os sites na Internet.
- Martin McKeay (@ mckeay) 10 abr 2014 E, finalmente, para a notícia Heartbleed, Austrália Commonwealth Bank tentou tranquilizar os clientes que não estava em risco e acabou assustando o crap fora delas. Um representante do banco disse em um post no blog:
Estou feliz de informar que nossos clientes podem ter a certeza que estamos remendado contra o bug 'Heartbleed' e você não precisa alterar sua senha NetBank.
Que fez todo mundo pensar que o banco tinha sido vulnerável antes que ele conseguiu consertá-la. Os leitores comentando sobre o post salientou que a informação foi um pouco ambíguo, de modo que o banco respondeu com a seguinte declaração:
... Você não precisa mudar sua senha NetBank. Estamos remendado contra o bug coração sangrar. Dedicamo-nos a garantir que os nossos dados e de nossos clientes é seguro e seguro. Levamos as questões de segurança muito a sério e as nossas equipes de segurança estão sempre em dia com todos os desenvolvimentos de segurança mais recentes, para que possamos fortalecer continuamente as proteções que temos em vigor.
Que não respondeu à pergunta. Os clientes começaram a exigir uma resposta direta e conseguir cortar e pastas da mesma declaração de ações, o que fez alguns deles completamente irado:
Como um cliente do banco e usuário freqüente de sites da CBA, a resposta do banco para este grande incidente de segurança internacional deixa-me com absolutamente nenhuma confiança na competência técnica de sua equipe.
As respostas papagaio-de moda fixo o banco tem, aparentemente, autorizadas a serem emitidas em seu nome, parece-me ser uma clara indicação de que a CBA está escondendo a verdade sobre a situação, e exibe um nível de desprezo para seus clientes que é francamente difícil braça.
Dadas as circunstâncias, eu sinto o meu único recurso é razoável para fechar minha conta negócio com você imediatamente, e recomendar o mesmo curso de ação a seus outros clientes.
Eventualmente, o banco conseguiu atravessar na planície Inglês:
NetBank não (e não) usar OpenSSL. Todos os dados do cliente é segura, para que os clientes não precisam alterar suas senhas NetBank ou tomar qualquer ação.
Mas provavelmente um pouco tarde para fornecer a garantia de que estava esperando.
Enquanto isso, o serviço de compartilhamento de arquivos Dropbox foi tentar explicar por que ele acha um, vigilância feliz da era Bush político de apoio à escuta como Condoleeza Rice é um bom ajuste para a sua placa.
Dropbox parece ter o mesmo senso de timing como farter em um elevador, anunciando a nomeação, em uma atmosfera de paranóia e NSA Hearbleed terror na semana passada.
A internet respondeu (na forma de comentários sobre a postagem no blog anunciando a nomeação):
Condoleezza Rice está aqui para ajudar Dropbox 'Navegar preocupações com a privacidade'. Isso é como dizer que você tenha nomeado Hitler cabeça de seu Programa de Extensão judeu. Tem Dropbox realmente caído tão baixo?
Adeus. Eu estou te dando pessoas por dia para reverter isso. Caso contrário, eu vou embora. O que diabos você está pensando gente? Passando seu papel em uma parte escura da nossa história comum, ela não pode ter qualquer capital político fora de os EUA eo capital limitado em os EUA.
E no Twitter:
Agora que Condoleezza Rice tem acesso ao banco de dados Dropbox talvez ela possa encontrar provas das famosas armas de destruição em massa.
- Laurent Sansonetti (@ lrz) 10 de abril de 2014 Mas Dropbox rapidamente mudou-se para defender-se, dizendo:
Não há nada mais importante para nós do que manter suas coisas seguras e protegidas. É por isso que temos vindo a lutar pela transparência e reforma vigilância do governo, e por isso temos sido vocal e público com os nossos princípios e valores. Deveríamos ter sido mais claro que nada disso vai mudar com a nomeação do Dr. Arroz ao nosso Conselho. Nosso compromisso com os seus direitos e sua privacidade está no coração de cada decisão que tomamos, e isso vai continuar.
Estamos honrados em ter o Dr. Arroz juntar nosso conselho - ela traz uma incrível quantidade de experiência e visão sobre os mercados internacionais e da dinâmica que os definem. À medida que continuamos a expandir para novos países, precisamos desse tipo de conhecimento para nos ajudar a alcançar novos usuários e defender os seus direitos. Dr. Arroz compreende a nossa posição sobre estas questões e apoia plenamente os nossos compromissos para com os nossos usuários.
E finalmente, o fim da Microsoft para suporte Windows XP veio muito em breve para os EUA Internal Revenue Service, que perdeu o prazo para resolver o seu fora. Falando em uma reunião de orçamento perante o Subcomitê de Serviços Financeiros e Governo Geral, IRS Comissário John Koskinen admitiu que a agência foi apenas cerca de meio caminho feito com o seu esforço de migração XP, e que seriam necessários mais US $ 30 milhões para ser concluído.
Ele disse que a migração estava provando ser uma tarefa hercúlea:
Gostaria de referir a ele como estamos dirigindo um modelo T, com um monte de coisas em cima dele. Nós somos o clássico "consertar o avião, enquanto você está voando ele 'tentativa. ®
via Alimentação (Feed)
Nenhum comentário:
Postar um comentário