Доверие к сертификатам безопасности теряется

12.03.2015 | 16:07 Аналитика

Специалисты по информационной безопасности считают, что доверие
к ключам и сертификатам находится в опасности

Половина всех профессионалов в области безопасности считают, что доверие к ключам и сертификатам находится в опасности, согласно новому опросу 2300 специалистов в области информационной безопасности, опубликованному Ponemon Institute и Venafi.

Согласно отчету, в последнее время существует устойчивый поток инцидентов с участием украденных ключей и сертификатов.

Например, летом прошлого года, российские киберпреступники похитили SSL/TSL сертификаты у пяти крупнейших глобальных банков, что помогло им выдавать себя за банк и украсть 80 миллионов записей клиентов.

Еще один SSL/TLS ключ и сертификат позволил хакерам украсть данные 4.5 млн пациентов с серверов здравоохранения.

Как часть атаки вредоносной программы Flame, сервис обновления программного обеспечения Microsoft был подделан с использованием подписи на основе MD5.

«Каждое из обследованных нами предприятий, несколько раз подвергалось нападениям на ключи и сертификаты в течение последних двух лет», сказал Кевин Бочек, вице-президент по стратегии безопасности и анализу угроз из Venafi.

«Это случается не только с Sony, это происходит со всеми», добавил он.

Он имел в виду недавний взлом Sony, в котором ключи и сертификаты оказались среди добычи нападавших, и они не были отозваны в течение нескольких недель после нападения.

Уровень беспокойства о сертификатах вырос с момента предыдущего исследования, когда он составлял 45%.

Помимо постоянного потока новостей, есть и другие причины, почему специалисты по информационной безопасности беспокоятся о ключах и сертификатах.

Во-первых, 54% респондентов заявили, что они не знают, где хранятся все ключи и сертификаты, или как много из них находятся в использовании. Это больше, чем 50% два года назад.

Между тем, общее количество ключей и сертификатов, используемых средним предприятием, составляет 24000 — на 34%, чем 17000 два года назад.

«Мы получили довольно большую площадь поверхности для атаки, и довольно большой потенциал для риска», сказал Бочек.

Наступает криптоапокалипсис

Неожиданный вывод отчета в этом году заключается в том, что респонденты фактически сталкиваются чаще с атакой посредника, чем с любым другим видом атак на основе сертификатов, они были больше всего обеспокоены способностью нападающих взломать шифрование.

Средняя организация подверглась 1.4 атакам посредника за последние два года, 1.2 атакам на основе слабой криптографии, 0.4 атакам, основанным на злоупотреблении сертификатом мобильности предприятий, 0.4 атакам на основе злоупотребления сертификатом подписи кода, 0.3 атакам на основе злоупотребления SSH ключом, и 0.3 атакам, основанным на злоупотреблении сертификатом сервера.

Однако атака посредника оказалась на четвертом месте после подписи кода и злоупотребления сертификатом мобильности предприятия, когда респондентам был задан вопрос – о чем они будут волноваться в течении следующих двух лет.

Одна из причин, почему беспокойство о криптографии занимает первое место, может быть из-за презентации на конференции Black Hat, сказал Бочек.

«Это было заседание по поводу вероятности того, что в любой день, криптографические алгоритмы, на которые мы полагаемся, будут взломаны», сказал он.

Предприятия столкнулись бы не только с обновлением всего своего шифрования на более длинный ключ, но им бы пришлось заменить все ключи и сертификаты, которые уже используются.

Например, до сих пор есть предприятия, использующие MD5-подписанные цифровые сертификаты.

Пару лет назад, это было рискованно, но достаточно приемлемо — стоимость его взлома составляла $200,000 при использовании Amazon AWS. Сегодня, стоимость снижена до 65 центов.

«Если вы используете MD5, ясно, что это представляет опасность для вашего бизнеса», сказал Бочек.

Около 1% сертификатов на Интернете являются MD5-сертификатами, но в пределах предприятий число достигает 20%, сказал он.

Большинство компаний используют алгоритм SHA-1, добавил он, и считается, что возможно собрать систему за пару сотен тысяч долларов, чтобы взломать его.

Сегодняшние рекомендации заключаются в использовании алгоритма SHA-2, который имеет хэш-значения от 224 до 512 битов, по сравнению с SHA-1 в 160 битов.

До сих пор не было никаких демонстраций расшифровки SHA-2, сказал Бочек. «И это хорошо».

Но это не значит, что некоторые умные математики не придумают что-то в будущем, добавил он.
Сочетание повышенной мощности вычислений и новых смелых стратегий атак могут привести к криптоапокалипсису, сказал он.

«Мы наблюдаем гонку вооружений», сказал он.

По мнению респондентов, атака на основе криптографических эксплоитов будет стоить в среднем $114 млн на одно предприятие.

Она заняла второе место, после $126 млн убытков от нападения на основе сертификатов мобильности предприятия.

Однако, когда учитывается вероятность нападения, респонденты оценивают общий риск криптографической атаки в $22 млн, а мобильности в $11 млн.

Общий риск атаки на основе ключа и сертификата оценивается в $53 млн долларов на организацию – это рост на 51% с 2013 года.