Ads 468x60px

tiistai 9. joulukuuta 2014

POODLE-haavoittuvuus myös joissakin TLS-toteutuksissa.

Kirjoitin aikaisemmin SSL-protokollan POODLE-haavoittuvuudesta, joka mahdollisti tietyissä tapauksissa salauksen purkamisen melko edistyneellä hyökkäyksellä. Nyt tietoturvatutkija Adam Langley on julkaissut blogissaan, että myös jotkut TLS-toteutukset ovat haavoittuvia. Käytännössä kyseessä on virheestä TLS:n toteutuksessa - jotkut TLS-kirjastot hyväksyvät vääriä padding-arvoja, vaikka TLS-protokolla määrittelee, mikä arvon pitäisi olla. Tämä johtaa samaan havoittuvuuteen, joka oli SSL 3.0:ssa.

Haavoittuvia tuotteita ovat ainakin F5:n ja A10:n kuormantasaajat. Myös Citrixin tuotteissa on hieman standardista poikkeava toteutus, mutta se ei johda haavoittuvuuteen. F5 on jo julkaissut päivitykset ja A10:n oli niitä myös jo eilen julkaisemassa. Varmaa tietoa A10:n päivityksistä en löytänyt.

SSLLabs on myös lisännyt testin POODLEsta myös TLS-toteutuksille. Mikäli haavoittuvuus löytyy, tulee arvosanaksi F. Samassa päivityksessä on myös muuttunut arvosanat, mikäli palvelin tukee RC4-salaimia. Eilen testatessani erästä asiakkaan palvelua, sain vielä tulokseksi A-, mutta tänään arvosana oli vaihtunut B:hen.

Edit: ViVi on julkaissut haavoittuvuustiedotteen: https://www.viestintavirasto.fi/tietoturva/haavoittuvuudet/2014/haavoittuvuis-2014-130.html.

-AnttiA

torstai 27. marraskuuta 2014

Hacking through complexity - Kriittinen infrastruktuuri

Hacking through complexity - Kriittinen infrastruktuuri



 




Hyvä vastaanottaja


Tämä uutiskirje on KPMG:n tietoturvallisuuteen ja digitaalisiin palveluihin liittyvä uutiskirje, joka on kohdennettu erityisesti kriittisen infrastruktuurin toimijoille. Uutiskirjeen avulla tiedotamme teitä tulevista koulutuksista, tuoreista tutkimuksista ja muista ajankohtaisista aiheista. Lähestymme teitä tällä uutiskirjeellä 2-3 kertaa vuodessa.

Otamme mielellämme vastaan palautetta tämän uutiskirjeen kehittämiseksi. Palautteen voi lähettää asiantuntijoillemme.
S-posti: etunimi.sukunimi@kpmg.fi

Antoisia lukuhetkiä!

Ystävällisin terveisin,
Mika Laaksonen
Partner

 Kriittisen infrastruktuurin riskikenttä muuttuu


Yhteiskunnan kriittisen infrastruktuurin ja automaatiojärjestelmien tietoturva on ollut runsaasti uutisissa. Aalto-yliopiston Shodan-raportti kertoi Suomesta löytyvistä Internetiin kytketyistä automaatiojärjestelmistä. Riippumatta siitä, ovatko järjestelmät Internetissä vai ei, automaatiojärjestelmät ovat monessa suhteessa haavoittuvampia kuin IT-järjestelmät.

Aiemmin riskinä on voinut olla IT-järjestelmiin tarkoitetun haittaohjelman tai hyökkääjän päätyminen automaatioympäristöön. Aivan lähiaikoina on nähty myös yhä enemmän automaatiojärjestelmiin kohdennettuja hyökkäyksiä ja haittaohjelmia - hyökkääjät ovat viimein havainneet nämäkin kohteet mielenkiintoisiksi.

Loppukesästä Kyberturvallisuuskeskus suositteli suhtautumaan vakavasti kohdennettujen hyökkäysten uhkaan. Viime kuussa uutisoitiin Sandworm-vakoilukampanjan kohdistuneen Puolan ja Ukrainan hallinnon lisäksi energiasektoriin. Kesällä puheenaiheena oli automaatiojärjestelmiin kohdistettu Havex / Energetic Bear / DragonFly -kampanja
Lue lisää blogistamme  

Kriittisen infrastruktuurin suojaamisessa on varauduttava myös kyberuhkiin.

Alla lisätietoja kuinka KPMG voi auttaa.

Automaation tietoturvan koulutus - Ilmoittaudu nyt!


KPMG järjestää automaation tietoturvan kurssin yhteistyössä Tampereen teknillisen yliopiston kanssa. Kurssin seuraava toteutus on 15.-16.12.2014
Lisätietoja ja ilmoittautuminen 

Kurssi on loistava tapa perehdyttää sekä IT- että automaatioalan asiantuntijat automaatioympäristöjen tietoturvan erityishaasteisiin.

Huomioi myös kyberturvallisuuden hyökkäys- ja puolustuskurssimme ja
Lue lisää tästä

KPMG:n automaation tietoturva -palvelut


Onko organisaatiossasi huolehdittu automaation tietoturvasta? Vallitsevan tilanteen selvittäminen on ensimmäinen askel kehitystyössä. KPMG:n asiantuntijoilla on kattava kokemus automaation tietoturvan testaamisesta ja nykytilakartoituksista. Autamme mielellämme selvittämään, millainen organisaationne automaation tietoturvan tila on, ja priorisoimaan kehitystoimet. Tarvittaessa autamme myös kehitystoimien läpiviennissä ja tietoturvan jalkauttamisessa.

Voit ladata automaation tietoturva -esitteemme täältä.
Katso lisätietoa KPMG:n kyberturvallisuuspalveluista ja Teollisen Internetin turvaamisesta myös YouTube-kanavallamme.

Ota yhteyttä asiantuntijoihimme ja kerromme mielellämme lisää!





Tietoturvablogi: Hacking Through Complexity








Tutustu blogiin!









Mika Laaksonen, Partner








Petteri Leiviskä, Tietoturvatiimin asiakasvastaava








Risto Eerola, Automaation tietoturva-asiantuntija








Facebook
LinkedIn
Blogi
Youtube
Twitter



© 2014 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity. All rights reserved.

keskiviikko 19. marraskuuta 2014

KPMG Cyber Security - alueen ostoksilla EMA-alueella




KPMG  on Britanniassa ostanut pääasiassa IAM konsultointiin keskittyneen Quberan liiketoiminnot Britanniassa, USA:ssa ja Intiassa. Yrityksen vahvinta osaamista on erityisesti SailPoint ja IAM konsultointi laajemminkin. Kaupan myötä KPMG:lle tuli noin 80 uutta kyberturvallisuuden ja erityisesti käyttövaltuushallinnan asiantuntijaa.

Lisätietoja: http://www.quberasolutions.com/

KPMG On Saksassa ostanut P3 nimisen tietoturvallisuuteen erikoistuneen konsulttiyrityksen.  Yrityskaupan myötä KPMG:lle tuli saksassa yli 100 uutta kyberturvallisuuden konsulttia, joiden erityisosaamista on kyberriskien hallinta, tietoturvallisuuden auditointi ja testaus sekä mobiili- ja kiinteiden yhteyksien suojaus.

Lisätietoja:
http://www.kpmg.com/uk/en/issuesandinsights/articlespublications/newsreleases/pages/kpmg-acquires-german-cyber-security-firm.aspx

Yritysostot vahvistavat mukavasti jo ennestään vahvaa  tietoturvaosaajien verkostoamme EMA-alueella.