Archive for the 'Πρότυπα' Category

Κυκλοφόρησε το OWASP Top10 2010!

Δελτίο Τύπου

Από το 2003 ερευνητές και ειδικοί της ασφάλειας λογισμικού εφαρμογών από όλο τον κόσμο παρακολουθούν προσεκτικά μέσα από το Open Web Application Security Project (OWASP) την κατάσταση της ασφάλειας των διαδικτυακών εφαρμογών και δημοσιεύουν ένα κείμενο ευαισθητοποίησης που αποτελεί πλέον πρότυπο στο οποίο βασίζονται διεθνείς οργανισμοί όπως οι PCI, DOD, FTC, και πολλοί ακόμα.

Σήμερα, το OWASP δημοσιεύει μια ενημερωμένη έκθεση που αποτυπώνει τους δέκα σημαντικότερους κινδύνους που σχετίζονται με τη χρήση διαδικτυακών εφαρμογών σε έναν οργανισμό. Continue reading ‘Κυκλοφόρησε το OWASP Top10 2010!’

Advertisements

Ένα ακόμη βήμα στην έρευνα για MD5 collisions

Μόλις χθες παρουσιάστηκε στο συνέδριο 25th Annual Chaos Communication Congress μία μέθοδος που καταφέρνει να δημιουργήσει πλαστά πιστοποιητικά αρχών πιστοποίησης (CA) εκμεταλλευόμενη τα collisions του hashing αλγορίθμου MD5. Συγκεκριμένα, οι ερευνητές κατάφεραν να ξεπεράσουν τους περιορισμούς που έθετε μια ανάλογη μέθοδος που είχε ανακαλυφθεί το 2007 για τη δημιουργία πλαστών πιστοποιητικών, επεκτείνοντας τη λειτουργία της και σε πιστοποιητικά CA.

Η συγκεκριμένη έρευνα εκτός των άλλων παρουσιάζει ορισμένα πολύ ενδιαφέροντα στοιχεία σχετικά με τα πιστοποιητικά που χρησιμοποιούνται σήμερα σε sites και ειδικότερα με τη χρήση του αλγορίθμου MD5 σε αυτά. Διαπιστώνεται λοιπόν ότι ενώ εδώ και μερικά χρόνια ο αλγόριθμος MD5 θεωρείται ανασφαλής, αρκετοί είναι αυτοί που εξακολουθούν να τον χρησιμοποιούν. Επίσης, εντυπωσιακό είναι το γεγονός ότι για την πειραματική μελέτη της μεθόδου χρησιμοποιήθηκε το Playstation Lab, μία συστάδα δηλαδή αποτελούμενη από 200 παιχνιδομηχανές Playstation 3.

Όπως γίνεται συνήθως σε τέτοιες περιπτώσεις, μερικοί έσπευσαν να δραματοποιήσουν την κατάσταση. Η δυνατότητα δημιουργίας πλαστών πιστοποιητικών, που φαίνονται ότι ανήκουν σε μεγάλες και γνωστές αρχές πιστοποίησης είναι φυσικά κάτι πολύ σοβαρό. Σε καμία όμως περίπτωση δε μπορεί κανείς να πει ότι έχει “σπάσει” το SSL, ούτε ότι έχει έρθει το τέλος του PKI, του ασφαλούς e-shopping ή οτιδήποτε άλλο σχετικό. Τρόποι αντιμετώπισης υπάρχουν αρκετοί, με πρώτο και καλύτερο τη μετάβαση στον, για την ώρα ασφαλέστερο, SHA-1, ενώ εκτιμούμε ότι οι browsers στις επόμενες εκδόσεις θα ενσωματώσουν κάποια μέθοδο προστασίας από τέτοιου είδους επιθέσεις.

Λεπτομέρειες για την επίθεση καθώς και όλα τα τεχνικά στοιχεία βρίσκονται εδώ, ενώ οι διαφάνειες της παρουσίασης στο CCC δίνουν μια πιο συνοπτική και λιγότερο τεχνική εικόνα της μεθόδου και των συνεπειών της. Μια πιο απλουστευμένη και επεξηγηματική ανάλυση παρέχεται και εδώ.

Διαγωνισμός του NIST για τον SHA-3

Πρόσφατα το NIST ανακοίνωσε τους υποψήφιους αλγορίθμους του 1ου γύρου του διαγωνισμού για την ανάδειξη του νέου αλγορίθμου hashing που θα ονομαστεί SHA-3. Από τους 64 που υποβλήθηκαν οι 51 έγιναν δεκτοί ενώ ήδη έχει σπάσει ένας και υπάρχουν αντίστοιχες βάσιμες υποψίες για άλλους τρεις.

Αξιοπερίεργο είναι το γεγονός ότι ο αντίστοιχος Ευρωπαϊκός διαγωνισμός έχει μόνο έναν υποψήφιο αλγόριθμο. Έτσι, μεταξύ άλλων αναρωτιέται κανείς γιατί δε συνεργάζονται μεταξύ τους οι δύο φορείς για ακόμα καλύτερα αποτελέσματα.

Όπως και να ‘χει, το σίγουρο είναι ότι το NIST υπολογίζει ότι σε 4 περίπου χρόνια θα έχουμε τον SHA-3. Άγνωστο βέβαια είναι το πότε θα ενσωματωθεί η χρήση του στις διάφορες κρυπτογραφικές εφαρμογές.

[πηγή: slashdot]

Επισκόπηση PCI DSS (Μέρος 2ο)

Συγγραφέας: Γεράσιμος Κασσάρας, IT Risk Consultant,Msc in Information Security, CISSP
Μετάφραση: Γεράσιμος Κασσάρας, IT Risk Consultant,Msc in Information Security, CISSP

Πηγή 1: PCI Security Standards Council
Πηγή 2: Visa Europe

Πλεονεκτήματα συμβατότητας με το PCI DSS

Με βάση τα λεγόμενα της Visa στο ομώνυμο ιστίο τόπο της αν κάποιος γίνει συμβατός με τη Visa τα πλεονεκτήματα που θα έχει είναι:

α. Προστασία των δεδομένων των πιστωτικών καρτών.
β. Αύξηση της αξιοπιστίας της εταιρίας απέναντι στους πελάτες.
γ. Παροχή ολοκληρωμένου ελέγχου προστασίας, όσον αφορά την προστασία δεδομένων.

Continue reading ‘Επισκόπηση PCI DSS (Μέρος 2ο)’

Επισκόπηση PCI DSS (Μέρος 1ο)

Συγγραφέας: Γεράσιμος Κασσάρας IT Risk Consultant Msc in Information Security, CISSP
Μετάφραση: Γεράσιμος Κασσάρας IT Risk Consultant Msc in Information Security, CISSP

Πηγή 1: PCI Security Standards Council
Πηγή 2: PCISTUFF

Συνοπτική επισκόπηση του PCI DSS
Το PCI DSS ή διαφορετικά το Payment Card Industry Data Security Standard είναι ένα πρότυπο που αποτελείται από 12 απαιτήσεις που πρέπει να ικανοποιηθούν για να θεωρηθεί πως κάποιος είναι συμβατός με αυτό.

Ιστορία του PCI DSS
Το PCI DSS δημιουργίθηκε το Δεκέμβριο του 2004, με την προτροπή αλλά και την υποστήριξη της VISA και της MasterCard (και όχι μόνο), για να καλύψει την ανάγκη δημιουργίας ενός μόνο προτύπου ηλεκτρονικής ασφαλείας που θα καλύπτει όλες τις ανάγκες για ηλεκτρονικές συναλλαγές από τους διάφορους ιστίο τόπους που κάνουν χρήση των υπηρεσιών της VISA, της MasterCard, της American Express και της JCB. Σε αυτό το κομμάτι θα ήταν χρήσιμο να πούμε πως πριν από τη δημιουργία του PCI DSS Visa και η American Express προωθούσαν δύο διαφορετικά πρότυπα:

1. Visa: Cardholder Information Security Program (CISP)
2. MasterCard: Site Data Protection Program (SDP)
3. American Express

Για λόγους απλότητας όμως δημιουργήθηκε με κοινοπραξία το PCI DSS.

Continue reading ‘Επισκόπηση PCI DSS (Μέρος 1ο)’