Today (10th April 2014) the world woke-up to the news that OpenSSL has a serious security vulnerability, with a catchy name "Heartbleed"
I'm sure you'd like to know Symantec's official view on the Enterprise Vault family of products.
You can read our offical response here: http://www.symantec.com/docs/TECH216583
To put your mind at rest, all currently released versions are unaffected by this vulnerability.
By now you should be well aware of the vulnerability CVE-2014-0160, nicknamed HeartBleed, that exists in a number of versions of OpenSSL - an extremely popular open source cryptographic library.
Yesterday, we provided some guidance on steps businesses and consumers should take in light of this vulnerability.
We have also made it very simple to inspect and verify many aspects of SSL certificate security, including whether a server is still vulnerable to the HeartBleed attack.
We are extremely sensitive to the anxiety felt by customers who rely on our software and services as a core part of their work and personal lives. So today, I want to give you an update on how this affects our Email and Web security products.
The following cloud services are NOT affected by the HeartBleed vulnerability in any way and customers do not need to take any action related to these services:
Symantec Email Security.cloud
Symantec Email Security.cloud - Policy Based Encryption
Symantec Instant Messaging Security.cloud
Symantec Enterprise Instant Messenger.cloud
Symantec Email & Web Security.cloud management portal (AKA ClientNet)
One feature within the Symantec Web Security.cloud service WAS affected by the HeartBleed vulnerability but customers do NOT need to take any action related to this service:
On March 3rd 2014, we introduced a new HTTPS scanning feature to the Symantec Web Security.cloud service.
As of April 9th 2014, Symantec temporarily disabled this HTTPS scanning feature as it was running a version of OpenSSL susceptible to the HeartBleed vulnerability.
Our Operations and Engineering teams are working to patch the HTTPS infrastructure associated with this feature and to minimize disruption it will remain disabled until this work is complete.
No other features of the Web Security.cloud service are affected by this functionality and no other features of the service are disrupted.
The following on-premises Email and Web Security products are NOT affected by the HeartBleed vulnerability in any way and customers do not need to take any action:
Symantec Messaging Gateway
Symantec Web Gateway
If you have any questions at all related to this issue that are not addressed in this post, please contact our Technical Support team.
-- ian
Enterprise Vault shortcut icons sometimes do not show in Outlook 2013. This is an issue with the way that Outlook handles custom form icons and has now been resolved by Microsoft via a cumulative update.
暗号プロトコル SSL と TLS の最も普及している実装である OpenSSL に、新たな脆弱性が見つかりました。パッチ未適用のサーバーには、直接の深刻な危険が及ぶ恐れがあります。Heartbleed と呼ばれるこの脆弱性を悪用すると、攻撃者はセキュア通信を傍受して、ログイン情報や個人データ、さらには暗号鍵といった機密情報を盗み出すことができます。
Heartbleed、すなわち OpenSSL TLS の 'Heartbeat'拡張機能に存在する情報漏えいの脆弱性(CVE-2014-0160)は、OpenSSL の Heartbeat というコンポーネントに影響します。OpenSSL は、SSL(Secure Sockets Layer)プロトコルと TLS(Transport Layer Security)プロトコルにおける普及率がきわめて高いオープンソース実装です。
Heartbeat は、実際の通信が発生していない間でも TLS セッションの接続を維持する、TLS プロトコルの拡張機能です。この機能によって、双方のコンピュータがまだ接続状態にあり、通信可能であることが確認されます。最初の接続が切断された場合でも、もう一度セキュア接続を確立するときに資格情報を再入力する手間も省けます。
この仕組みは次のとおりです。まず Heartbeat が OpenSSL サーバーにメッセージを送信し、次に OpenSSL サーバーがそのメッセージを送信者に戻し、接続を検証します。このメッセージには、ペイロードに当たる最大 64KB のデータパケットと、ペイロードのサイズに関する情報の 2 つのコンポーネントが含まれています。
ところが、攻撃者は、OpenSSL に存在する Heartbleed 脆弱性を悪用して、ペイロードのサイズに関する情報を偽装することができます。たとえば、実際には 1KB しかないペイロードを 64KB と称して送信できるのです。
この脆弱性がどのような危険をもたらすのか、その手掛かりは、OpenSSL サーバーがこの不正な Heartbeat メッセージを処理する方法にあります。OpenSSL は、ペイロードの実際のサイズが、メッセージに指定されているサイズ情報と一致するかどうかの検証を行いません。代わりに、送信者が送ったペイロードが正しいサイズであると想定して、送信元のコンピュータに送り返そうとします。しかし、このペイロードは実際には 64KB 分のデータを持っていないため、アプリケーションのメモリ上で隣の場所に格納されているデータを使って、自動的にペイロードの空きを埋めようとします。つまり、1KB のペイロードを受信したとすると、サーバーはメモリに格納されている別の 63KB 分のデータも一緒に送り返すことになります。この部分に、ユーザーのログイン情報や個人データ、さらにはセッション鍵や秘密鍵が含まれている恐れがあります。
アプリケーションが送り返すデータはランダムなので、攻撃者は、断片的で役に立たないデータしか受信できないかもしれませんが、この脆弱性の性質を考えると、攻撃は何度も何度も繰り返して実行できるため、攻撃を繰り返すうちにアプリケーションが格納しているデータを広い範囲で手に入れることも可能です。
この攻撃を行っても、秘密鍵を盗み出すのはきわめて難しいと考えられます。データは逐次的に格納されるので、新しいデータは古いデータよりも前の位置に格納されます。秘密鍵は、通常、メモリ上でペイロードより「後ろ」に格納されるので、アクセスされる可能性は高くありません。データのうちリスクにさらされる可能性が最も高いのは、現在の SSL/TLS セッションの内容です。
Heartbleed は、今年になって発見された一連の SSL/TLS に関する脆弱性のなかでも最大のバグです。TLS と、それより先に誕生した SSL は、どちらもインターネット通信のためのセキュアプロトコルであり、2 つのコンピュータ間のトラフィックを暗号化するよう動作します。
今年 2 月、Apple 社は同社製ソフトウェアの SSL に影響する 2 つの重大な脆弱性を修正しました。最初に公開されたのは、同社のモバイルオペレーティングシステムである iOS に対する更新で、アクセス制限のあるネットワークポジションを利用する攻撃者が、SSL/TLS で保護されているセッションのデータを取得または変更できるというバグを修正するパッチです。数日後に、今度はデスクトップオペレーティングシステムである OS X に対する更新が公開されました。同じ脆弱性が OS X にも影響すると判明したためです。
3 月には、セキュリティライブラリ GnuTLS で証明書の脆弱性が発見されています。GnuTLS は数多くのバージョンの Linux で使われており、Red Hat 社のデスクトップ製品やサーバー製品、Ubuntu および Debian ディストリビューションで採用されています。
GnuTLS は、SSL/TLS のオープンソース実装であり、このバグが見つかったということは、つまり GnuTLS が「SSL サーバ証明書」の検証時に発生しうる一部のエラーを正しく処理できないことを意味します。攻撃者は、このバグを悪用して、特別に細工された「SSL サーバ証明書」を使って GnuTLS を欺き、悪質な Web サイトを信頼させることが可能になります。この脆弱性に対しては、GnuTLS によってただちにパッチが公開されました。
Heartbleed は、最近 SSL/TLS 関連で発見された脆弱性のなかでも特に深刻です。この脆弱性の性質と、最も普及している SSL/TLS 実装に影響するという事実から、これは緊急のリスクにつながる可能性があります。
企業向けの注意事項:
消費者向けの注意事項:
2014 年 4 月 11 日更新:シマンテックの SSL Toolbox の Certificate Checker を使って、Web サイトがこの悪用に対して脆弱かどうかを確認することができます。以下の URL から Certificate Checker にアクセスできます。
https://ssltools.websecurity.symantec.com/checker/
Certificate Checker を使用するには、[Check your certificate installation]をクリックして Web サイトの URL を入力します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。
Politicians are frequently featured on phishing sites and in light of the ongoing general election in India, phishers are starting to target Indian users by using a local politician and his party as bait.
Symantec recently observed a phishing site which spoofs Facebook’s appearance and includes Arvind Kejariwal, the former chief minister of New Delhi and leader of the Aam Aadmi Party. The phishing site was hosted on servers based in Lansing, Michigan in the US.
Figure 1. A fake Facebook “like” button and a picture of Arvind Kejariwal on the phishing site
As seen in the previous image, the phishing site, titled “Unite With Us Against Corruption”, uses a poster of the Aam Aadmi Party along with a fake Facebook “like” button. The site’s background image is a picture of the party’s leader Arvind Kejariwal and his latest Twitter tagline, which states that “Political revolution in India has begun. Bharat jaldi badlega.” The second sentence translates to “India will soon change”.
After clicking on the “like” button, users are prompted to input their Facebook login credentials so that they can “like” the Aam Aadmi party page.
Figure 2. Users are asked to input their Facebook login data to “like” the Aam Aadmi party page
The phishers also used a misleading login prompt in the phishing page. Instead of mentioning the Aam Aadmi Party, the page tells users to log in with their Facebook details to like cute baby pictures. Symantec has already seen a similar phishing site which used a picture of a young girl. Phishers frequently use the same template to host different applications but this time, they forgot to change the reference to cute baby pictures. After the user enters their login credentials, the phishing site redirects the user to an acknowledgment page. The Web page then asks the user to click another “like” button.
Figure 3. A login confirmation and the “like” button on the acknowledgement page
The email address entered in the previous login page is now displayed on the acknowledgement page. The “like” button is placed beside a fake number that claims to show the amount of likes the party has already gained. However, the button is just a dummy and does not perform any functions. If users fell victim to the phishing site by entering their personal data, phishers would have successfully stolen their confidential information for identity theft purposes.
Symantec advises Internet users to follow these best practices to avoid becoming victims of phishing attacks.
先週、Instagram を悪用する詐欺師から、宝くじに当選したと称して、その当選金をフォロワーに進呈すると騙る画像が投稿されました。詐欺師はユーザーを欺いてこの投稿を共有させ、個人情報を引き出したり、さらには詐欺師への送金を求めたりします。
この詐欺では、英国と米国の現実の宝くじ当選者になりすますために多数の Instagram アカウントが作成されました。そして、そのアカウントをフォローし、コメントと電子メールアドレスを残してくれたユーザーに 1,000 ドルずつ進呈すると謳っています。
図 1.実際の宝くじ当選者になりすました Instagram アカウント
宝くじ当選者になりすましたアカウントの成功率はきわめて高く、5,000 ~ 10,000 人程度のフォロワーを獲得しています。
一定数のフォロワーを集めると、今度は当選者たちの「会計士」と称する人物の Instagram アカウントが登場します。この会計士が 1,000 ドルの送金を担当するということになっていますが、そこに罠が仕掛けられています。
図 2.偽「会計士」のプロフィールが金銭を要求してくる
上の図では、「会計士」のプロフィールを名乗る人物が、大手の決済処理サービスを使って 0.99 ドルを送金するよう Instagram ユーザーに求めています。小切手を送るための郵送費用という名目です。
図 3. 宝くじ詐欺に引っかかってしまったユーザー
警戒すべき要素がたくさんあったにもかかわらず、この詐欺は成功を収めており、各アカウントが数千人のフォロワーを集めました。フォローしたユーザーは喜んで電子メールアドレスを公開し、一部のユーザーは郵送費用の負担分として 0.99 ドルを実際に支払っています。
この詐欺攻撃の最大の目的は、数千人のフォロワーを持つアカウントを集め、それを自分で利用するか転売することでした。シマンテックによる調査中に、なりすましアカウントの一部に関連しているユーザー名で、アカウントピボットが実行されました。つまり、アカウントがスパム認定されないように、アバター、ユーザー名、ユーザープロフィールが変更されたのです。こうすると、詐欺師は同じアカウントを使い続けるか売却することができます。
図 4. Instagram のなりすましアカウントが、フォロワー数を減らして再登場
アカウントピボットの直後に、なりすましアカウントが再登場しましたが、フォロワー数は以前より少なくなっていました。なかには、「ハッキングされた」と称してしばらく待つように求めるアカウントまで現れています。
これらのアカウントが偽物であることは明らかですが、Instagram アカウントをフォローするだけで 1,000 ドルが手に入ると信じ込むユーザーは後を絶ちません。
以下のような予防対策を講じることをお勧めします。
ウソのような儲け話は、しょせんはウソだということを忘れないようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。
Having trouble getting what you want out of your ITSM reporting tools? MetriX Dashboards offer IT management consoles real-time visibility into a number of pre-defined Key Performance Indicators, including inventory, event status, patch management, energy savings, compliance and security management.
Check out: www.metrixdashboards.com/solutions for more examples of MetriX Dashboards and how it can address all of your reporting challenges.
If you would like to recieve additional information about MetriX, you can email me at: ryan.schoenherr@xcendgroup.com
Patch Management
Software Compliance
Endpoint Management
Una vulnerabilidad recientemente descubierta en OpenSSL , una de las implementaciones más utilizadas de los protocolos criptográficos de SSL y TLS, representa un peligro grave e inminente para cualquier servidor sin parchar. El bug conocido como Heartbleed permite a los atacantes interceptar comunicaciones seguras y robar información confidencial como credenciales de acceso , datos personales, o incluso las claves para descrifrar.
Heartbleed o el ' latido ' de la Extensión de Información de la Vulnerabilidad de Divulgación OpenSSL (CVE-2014 - 0160), afecta a un componente de OpenSSL conocido como Heartbeat . OpenSSL es una de las implementaciones de código abierto más utilizadas de los protocolos SSL ( Secure Sockets Layer) y TLS (Transport Layer Security).
Heartbeat es una extensión del protocolo TLS que permite mantener con vida una sesión de TLS, incluso si no se ha producido alguna comunicación real por cierto tiempo. La característica verificará que ambos equipos todavía están conectados y disponibles para la comunicación. También ahorra al usuario la molestia de tener que volver a introducir su usuario/contraseña para establecer otra conexión segura si se cae la conexión original.
¿Cómo funciona ? Heartbeat envía un mensaje al servidor de OpenSSL que a su vez retransmiste ese mensaje al remitente verificando la conexión. El mensaje contiene dos componentes , un paquete de datos conocidos como la carga útil que puede ser de hasta 64 KB y la información sobre el tamaño de la carga útil .
Sin embargo , la vulnerabilidad Heartbleed en OpenSSL permite a un atacante falsificar la información sobre el tamaño de la carga útil. Por ejemplo, podrían enviar una carga útil de un solo kilobyte en tamaño, pero afirmar que es de 64 KB.
Lo que un servidor de OpenSSL hace con el mensaje deformado de Heartbeat es clave para el peligro que esta vulnerabilidad plantea pues no intenta verificar que la carga útil es del mismo tamaño del que se indica en el mensaje. En su lugar, assume que la carga útil es del tamaño correcto e intenta enviarla de vuelta a la computadora de la cual vino. Sin embargo, ya que el mensaje no tiene la carga de datos complete de 64KB en su lugar automáticamente "rellena" la carga útil con los datos almacenados al lado de él en la memoria de la aplicación . Así, si el servidor recibe una carga útil de 1 KB , lo devolverá con 63KB de otros datos almacenados en su memoria . Esto podría incluir las credenciales de inicio de sesión de un usuario , los datos personales , o incluso , en algunos casos , la sesión y claves de cifrado privadas.
Los datos que la aplicación envía de vuelta son elegidos al azar y es posible que el atacante puede recibir algunas piezas de datos incompletas o inútiles. Sin embargo , dada la naturaleza de la vulnerabilidad, el ataque se puede realizar una y otra vez , lo que significa que el atacante puede obtener una imagen más completa y grande de los datos almacenados por la aplicación a lo largo del tiempo.
Claves de cifrado privadas pueden ser lo más difícil de robar usando este ataque . Los datos se almacenan de manera secuencial , con nuevos datos almacenados en frente de los más antiguos . Las claves de encriptación normalmente se almacenan "detrás" de la carga útil en la memoria, lo que significa que son menos propensos a ser vistos. Sin embargo, el contenido de las sesiones actuales de SSL / TLS son los datos con más probabilidades de estar en riesgo.
El bug Heartbleed es el más reciente de una serie de vulnerabilidades de SSL / TLS descubiertas este año. Tanto TLS como su mayor predecesor SSL son protocolos seguros de comunicación de Internet y trabajan mediante el cifrado del tráfico entre dos equipos.
En Febrero, Apple tuvo que remediar dos vulnerabilidades críticas que afectan a SSL en su software. En primer lugar, emitió una actualización para su sistema operativo móvil iOS , que reparó un error que permitía a un atacante con una posición privilegiada de red capturar o modificar los datos de sesiones protegidas por SSL / TLS. Días más tarde, se emitió una segunda actualización, esta vez para su sistema operativo de escritorio, OS X, después de que se descubrió que la misma vulnerabilidad también lo afectó.
En Marzo, un certificado de vulnerabilidad fue encontrado en la librería de seguridad GnuTLS, que se utiliza en un gran número de versiones de Linux , incluyendo los productos de escritorio y servidores de Red Hat, así como en las distribuciones Ubuntu y Debian del sistema operativo.
GnuTLS es una implementación de software de código abierto de SSL / TLS. El bug significa que GnuTLS no manejó correctamente algunos errores que podrían ocurrir al verificar un certificado de seguridad . Esto podría permitir a un atacante utilizar un certificado especialmente diseñado para engañar GnuTLS para que confíe en un sitio web malicioso. Esta vulnerabilidad fue parchada inmediatamente por GnuTLS .
Heartbleed es por mucho, la vulnerabilidad más grave en SSL / TLS que se ha descubierto en los últimos tiempos . La naturaleza del error y el hecho de que afecta a una de las implementaciones más utilizadas de SSL / TLS significa que representa un riesgo inmediato .
Consejos para las empresas
Consejos para los consumidores
• Considerar que nuestros datos podrían haber sido vistos por un tercero, si utilizamos un proveedor de servicios vulnerable.
• Monitorear los avisos de los sitios y fabricantes que usamos en nuestras tareas. Una vez que un proveedor vulnerable ha comunicado a los clientes de que deben cambiar sus contraseñas , debemos hacerlo.
• Ignorar posibles correos electrónicos de phishing (estafas) de atacantes que le pedirán que actualice la contraseña - para evitar ir a un sitio web falso, usar el dominio oficial del sitio y teclearlo en la barra de dirección.
• Usar sitios web y servicios de buena reputación . Ellos son los más propensos a resolver de forma inmediata la vulnerabilidad.
• Revisar los estados de cuenta bancarios y de tarjetas de crédito para comprobar que no existen transacciones inusuales.
ACTUALIZACIÓN 10 de abril 2014 : Symantec’s SSL Tools Certificate Checker
verificará si un sitio web es vulnerable a la explotación. Puede acceder al verificador de certificados en la siguiente dirección: https://ssltools.websecurity.symantec.com/checker
Para usar el Verificador de certificados, haga clic en Comprobar su instalación cerftificate e introduzca la URL del sitio web.
On April 7, 2014, a significant vulnerability was reported with OpenSSL. This vulnerability has been referred to as "Heartbleed" / CVE-2014-0160 (more details here -- http://heartbleed.com/ ).
Symantec Enterprise Vault.cloud has reviewed this vulnerability thoroughly. In the final analysis, our infrastructure is not susceptible to the "Heartbleed" bug in the outdated OpenSSL library due to the following reasons:
1. Our web servers do not use OpenSSL to provide services to customers.
2. Our hardware and software suppliers confirmed the platforms and versions used to deliver our services are not vulnerable.
3. We manually tested each customer web portal to confirm our systems are not vulnerable to this bug
No changes will need to be made to security certificates because our systems were never operating with the OpenSSL library. Additionally, we do not need to re-exchange SSL certificates with SSO customers.
As always, Symantec recommends changing passwords regularly on all sites.
It has been now five days since details emerged regarding the “Heartbleed” vulnerability in OpenSSL. During this time we have been researching the impact of the vulnerability, tracking the patch states of popular websites, and monitoring attacks. So what have we learned?
Most popular sites are no longer vulnerable
We have been tracking the most popular websites to see which of them are currently vulnerable to Heartbleed. No website included in Alexa’s top 1000 websites is currently vulnerable. Within the Alexa top 5000 websites, only 24 websites are vulnerable. Overall, within the Alexa top 50,000 websites only 1.8 percent is vulnerable to Heartbleed. Based on this data, chances are that the websites most frequently visited by the average user are not affected by Heartbleed.
It is possible that your data may have been stolen prior to a website being updated. To mitigate against this ensure that you do not reuse passwords across multiple sites.
Yes, you should change your passwords
There has been some contradictory information regarding whether users should change their passwords. Based on our examination of the most popular websites above, it should now be safe to change the passwords for most of your online accounts.
If you have any doubt, Symantec offers the following tool to check whether a website is vulnerable to Heartbleed:
If a website is still vulnerable, do not change your password for that site just yet.
The problem is serious, but a doomsday scenario is unlikely
Heartbleed could be used by attackers to steal personal data such as usernames and passwords—and doing so is relatively easy. However one of the biggest concerns is that the vulnerability could be used to steal the private keys which are used to encrypt communications with websites. By stealing these keys, attackers could eavesdrop on communications or set up fake websites which impersonate legitimate websites allowing them access to even more data. As stated in our previous blog, stealing these keys is very difficult. Some researchers have been successful in stealing keys using Heartbleed, but each case required specific circumstances to be met; in particular, keys are more likely to be exposed only at the moment after the web server is started.
Heartbleed is not being widely used by attackers
Our monitoring has shown that while there is widespread scanning for vulnerable websites, most of this scanning seems to be originating from researchers. We have witnessed relatively few mass scans for the Heartbleed vulnerability originating from attackers. Attackers could be targeting specific sites but, fortunately, the most popular sites are no longer affected.
IPS will help block attacks
Symantec IPS signature 27517, Attack: OpenSSL Heartbleed CVE-2014-0160 3, has been released and will detect and block attempts to exploit Heartbleed on vulnerable servers.
Advice remains the same
For businesses:
For consumers:
For further information
For the latest information on Heartbleed, including how to minimize your risk, please visit the Symantec Heartbleed outbreak page:
A vulnerabilidade recém-descoberta no OpenSSL, uma das implementações mais usadas do SSL e TLS de protocolos criptográficos, apresenta um perigo grave e imediato para qualquer servidor sem correção. O bug, conhecido como Heartbleed, permite que criminosos virtuais para interceptem comunicações seguras e roubarem informações confidenciais, como login, dados pessoais e chaves de decodificação.
O Heartbleed ou OpenSSL TLS 'heartbeat' Extension Information Disclosure Vulnerability (CVE-2014-0160) afeta um componente do OpenSSL conhecido como Heartbeat. OpenSSL é uma das implementações mais utilizadas do SSL e protocolos TLS.
O bug é uma extensão para o protocolo TLS, que permite que uma sessão se mantenha ativa, mesmo que nenhuma comunicação real aconteça há algum tempo. Este artifício verifica que ambos os computadores ainda estão conectados e disponíveis para a comunicação. Ele também poupa o usuário do suposto incomodo de ter que digitar novamente suas credenciais para estabelecer outra conexão segura – isto é, se a conexão original é descartada.
Como essa vulnerabilidade funciona? O Heartbleed envia uma mensagem para o servidor OpenSSL, que por sua vez retransmite essa mensagem de volta ao remetente, verificando a conexão. A mensagem contém dois componentes, um pacote de dados conhecido como payload, que pode ser de até 64 KB, e as informações sobre o seu tamanho.
No entanto, a vulnerabilidade Heartbleed em OpenSSL permite a um invasor falsificar a informação sobre o tamanho do payload útil. Por exemplo, eles poderiam enviar uma carga de apenas um kilobyte, mas com tamanho real de 64KB. O bug Heartbleed é o último de uma série de vulnerabilidades SSL / TLS descoberto este ano. TLS e seu antecessor mais velho SSL são ambos protocolos seguros de comunicação da Internet e do trabalho de criptografar o tráfego entre dois computadores.
Como o servidor do OpenSSL lida com a mensagem malformada de Heartbeat aí está a chave do perigo que esta vulnerabilidade pode traz, principalmente porque ele não tenta verificar se o tamanho do arquivo enviado é de fato o tamanho real, como afirma a mensagem. Ao invés disso, assume que a carga é a verdadeira e as tentativas para enviá-lo de volta para o computador estão corretas.
Os dados enviados de volta acontecem de forma aleatória e é possível que o atacante receba algumas informações incompletas ou inúteis. No entanto, a natureza da vulnerabilidade significa que o ataque pode ser executado novamente e significa que o criminoso virtual pode construir um quadro maior dos dados armazenados ao longo do tempo.
Em fevereiro, a Apple teve que corrigir duas vulnerabilidades críticas que afetavam o SSL em seu software. Pela primeira vez, foi emitido uma atualização para seu sistema operacional móvel iOS, que corrigiu uma falha. Dias depois, uma segunda atualização foi enviada e, desta vez, para o sistema operacional de Desktop OSX.
Em março, uma ameaça também foi encontrada na biblioteca de segurança GnuTLS, que é usado em um grande número de versões do Linux, incluindo Red Hat Desktop e produtos de servidor. Inclusive, sistemas operacionais Ubuntu e Debian demonstraram a mesma vulnerabilidade. O GnuTLS é uma implementação de software de código aberto de SSL/TLS e este fez com que a biblioteca não conseguisse lidar corretamente com alguns erros – que poderiam ocorrer na verificação de um certificado de segurança. Com isso, poderia permitir que um invasor pudesse usar um certificado especialmente criado para enganar GnuTLS, confiando em um site malicioso. A vulnerabilidade foi imediatamente corrigida pela GnuTLS .
Para se proteger desta vulnerabilidade, a Symantec oferece as seguintes dicas:
Para as empresas:
Para os consumidores:
Atualização 10 de abril de 2014: As ferramentas da Symantec para checagem de certificação SSL irá vereficar quando um site é vulnerável. Você pode acessar o certificado a partir deste link: https://ssltools.websecurity.symantec.com/checker/
Para usar o seu certificado, clique em “Check your cerftificate installation” e, após isso, entre no website desejado.
In the referenced video, we discuss the advantages to using a code signing service, vs traditional code signing certificates to sign application code. The video features speakers from Symantec, Oracle and the Apache foundation.
I’m excited to announce that today Symantec was selected by CRN as a 5-star Partner Program Guide Winner in recognition of Symantec’s superior partner program and the support we offer our channel partners. This is just the latest in a string of recent award wins that highlight the focused commitment we’ve made in the past several months to better support the way our partners do business through our redesigned Partner Program.
I’m very proud of the hard work that has gone into our Partner Program. Additional recent achievements include:
CRN Channel Chiefs: In late February, my colleague Garrett Jones, Vice President of Global Channel Operations, and I were honored as CRN Channel Chiefs. This was a tremendous honor and truly reflects the joint efforts with our partners to diligently make the redesigned Partner Program a success.
CRN Channel Champions: In early March, Symantec took home Channel Champions awards in Support Satisfaction, Financial Satisfaction and Overall Satisfaction for Client Security Software. Symantec's work to develop endpoint, cloud, mobile and virtual security technologies have proven more important than ever this year as high-profile breaches made headlines. Being chosen as a Channel Champion is a direct result of the efforts we made to our corporate transformation, the launch of our new Global Channel Strategy and the approaching rollout of our redesigned Partner Program.
En Pointe TechnologiesPartner of the Year: In mid-March, En Point Technologies, one of our key value-added reseller (VAR) partners, recognized Symantec as its “Security Partner of the Year.” En Pointe and Symantec have shared a long, prosperous history, starting in 1993, in our joint efforts to provide technology solutions to their mutual customers. The award was based on revenue metrics and other factors such as growth and partner engagement. Recognition from this loyal partner is a testament to Symantec’s channel-centric culture.
This momentum we’ve seen to date is inspiring, and I know there’s only more excitement to come as we build upon our Global Channel Strategy. I want to reiterate my appreciation for what we’ve accomplished together with the partner community as we continue to provide critical solutions for our mutual customers.
OpenSSL における「Heartbleed」脆弱性について詳細が判明してから 5 日が経過しました。その間に、シマンテックはこの脆弱性の影響度を調査するとともに、利用者の多い Web サイトのパッチ適用状態を追跡し、攻撃の監視を続けてきました。その結果判明した内容を以下にお伝えします。
利用者の多いサイトはすでに脆弱性に対応済み
シマンテックは、Heartbleed 脆弱性が残っている Web サイトを確認するために、利用者の多い Web サイトを追跡してきました。Alexa による上位 1,000 の Web サイトはすべて、この脆弱性に対応済みです。Alexa の上位 5,000 まで含めても、脆弱性を残している Web サイトは 24 件のみでした。Alexa の上位 50,000 の Web サイトすべてを対象にしても、Heartbleed に対して脆弱なのは 1.8% にすぎません。このデータを見たところ、一般的なユーザーが頻繁に利用する Web サイトは Heartbleed の影響を受けません。
とはいえ、各サイトが更新されるよりも前にデータを盗み出された可能性はあります。そのリスクを軽減するために、複数のサイトで同じパスワードを使い回さないようにしてください。
パスワードは変更すべき
ユーザーがパスワードを変更すべきかどうかについては、相反する情報が飛び交っています。シマンテックが上記の人気のある Web サイトを調べたかぎりでは、オンラインアカウントのほとんどはパスワードを変更したほうが安全と言えそうです。
少しでも不安がある場合のために、シマンテックは Web サイトが Heartbleed に対して脆弱かどうかを確認する以下のツールを提供しています。
万一 Web サイトに脆弱性が残っている場合、まだそのサイトのパスワードは変更しないでください。
問題は深刻だがインターネットの終わりというわけではない
Heartbleed を悪用すれば、攻撃者はユーザー名やパスワードなどの個人データを盗み出すことができます。しかも、比較的容易に行うことができます。しかし、最も大きな懸念点は、この脆弱性を悪用すると、Web サイトとの暗号通信に使われている秘密鍵を盗まれる恐れがあるということです。秘密鍵を手に入れれば、攻撃者は通信を傍受したり、正規の Web サイトに偽装した Web サイトを作成したりして、さらに多くのデータにアクセスできるようになります。以前のブログでお伝えしたように、秘密鍵を盗み出すのはきわめて困難です。Heartbleed を使って鍵を盗み出すことに成功した研究者もいますが、その場合でも特定の条件が満たされている必要があります。特に、鍵が漏洩する可能性が高いのは、Web サーバーの起動後の一瞬だけです。
Heartbleed は攻撃者にそれほど広く利用されてはいない
シマンテックの監視によると、脆弱な Web サイトに対するスキャンは広く行われていますが、そのスキャンのほとんどは研究者によるもののようです。Heartbleed 脆弱性に関して、攻撃者が実行している大量スキャンは比較的少数しか確認されていません。攻撃者は特定のサイトを標的にしている可能性もありますが、幸い人気のあるサイトは現時点で影響を受けていません。
攻撃の遮断には IPS が有効
シマンテックの IPS シグネチャ 27517「Attack: OpenSSL Heartbleed CVE-2014-0160 3」がリリースされたので、脆弱なサーバーに対して Heartbleed を悪用する試みは検出され遮断されます。
注意事項に変更はない
企業向け:
消費者向け:
最新情報
リスクを最小限に抑える方法なども含めて、Heartbleed に関する最新の情報については、Heartbleed の発生に関するシマンテックの以下のページを参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。
Last week, we shared details of how the HeartBleed OpenSSL vulneratbility affected our Email & Web Security products.
The newest feature in our Web Security.cloud product, the ability to analyze and control data over HTTPS communications, was found to be vulnerable and was taken offline immediately on April 9th 2014. No other features, functionality or services were impacted.
I'm happy to announce that over the past weekend, we completed the work necessary to be able to restore this functionality. With visibility into both unencrypted HTTP and encrypted HTTPS traffic, Symantec Web Security.cloud can secure users from malware, enforce web usage policy and prevent sensitive and confidential data from leaving the network.
As a reminder, the following products and services are NOT at risk and no our customers do not need to take any action:
Symantec has launched a dedicated site where you can find the latest HeartBleed related updates on other Symantec products as well as advice for businesses and consumers.
“Tackling climate change is one of America’s greatest economic opportunities of the 21st Century (and it’s simply the right thing to do).” - BICEP Climate Declaration
Last week marked the first anniversary of the Business for Innovative Climate & Energy Policy (BICEP)’s Climate Declaration – a call to action from leading American businesses, urging the public, policy makers and business leaders to seize the economic opportunity in tackling climate change.
At Symantec, we are convinced that a strong, international coalition of governments, businesses, and civil society organizations is required to effectively address climate challenges. We are therefore proud to be signatories of the Climate Declaration, joining more than 750 companies nationwide to demonstrate our commitment to combatting climate change and advocating for all in the corporate community to do the same. In honor of the Climate Declaration’s first anniversary, we present a two-part series focusing on one of our primary efforts to reduce our climate change impacts – green building– as well as a deeper look at what the Climate Declaration means to us at Symantec.
Collaborating with Corporate America to Combat Climate Change
According to a recent report on the state of climate change released by the Intergovernmental Panel on Climate Change, “the emissions problem is still outrunning the determination to tackle it,” and we as governments, businesses, citizens need to act now.
Last week we were honored to join BICEP, leading companies, and policy makers at the nation’s capital to celebrate the one-year anniversary of The Climate Declaration, an extremely important step forward in mitigating Corporate America’s impacts on climate change. The event featured representatives from five top companies, who discussed climate-related business impacts, actions they are taking to reduce their companies’ carbon footprints, and the urgency for stronger policy action to reduce greenhouse gas emissions and support clean energy choices.
At Symantec, we have identified climate change as a priority issue for the company. We are working to integrate it into our operations, products, and supply chain, and include it in our goal setting and public reporting to ensure we are effectively managing the issue and providing transparency to our stakeholders on our actions and progress.
We believe that an approach coupling individual company action with multi-stakeholder collaboration is key to mitigating risks and harnesssing opportunities associated with climate change.
While our business may not have the largest climate change impacts, we believe collective voices can have a larger influence on policy changes, and that customers and companies start to take issues seriously, and act on them, when seeing larger collaboration. We want to be a part of this.
Our Strategy
As a responsible corporation operating in an increasingly interconnected world, we are working hard to do our part to mitigate climate change and to respond to our stakeholders’ interests through our four pillar environmental strategy (see image below).
Specifically, through this strategy we aim to:
In 2012, Symantec began the implementation of a company-wide Environmental Management System (EMS) based on the ISO 14001 standard. The EMS provides a structured framework for engaging stakeholders from across the business in identifying business risks and opportunities related to climate change and other sustainability issues, and for determining strategies to address those risks and opportunities.
I provide a few examples of key risks and opportunities below, but these, as well as our performance and actions around climate change mitigation, are detailed further in our public CDP report.
Key risks:
Changes in regulation: We comply with all laws and regulations in the countries we operate in. As regulation around greenhouse gas emissions and climate change impacts continue to increase across the world, we must be prepared to comply with these.
Physical climate parameters: The increased incidence and frequency of severe weather events that scientistists are linking to climate change has the potential to directly affect Symantec’s facilities and business operations. Severe storms and flooding could result in physical damage to our facilities and impacts on our employees, including their safety. Operating costs for cooling our data centers could also increase due to temperature rises and a greater incidence of extreme heat events.
Other climate-related developments, such as carbon taxes: If taxes similar to the United Kingdom's CRC Energy Efficiency Scheme tax are levied worldwide they will impact Symantec's global facilities operating expenses unless carbon emissions from those facilities are reduced.
Key opportunities:
Enhance our corporate reputation through our environmental and climate change programs, thereby strengthening relationships with key stakeholders. Additionally, Symantec's ability to operate in the software provider market depends in part on its reputation as a good environmental steward. Twenty-one percent of FY13 customer “RFxs” (Request for Information (RFI), Request for Proposal (RFP), Request for Quote (RFQ), and Request for Bid (RFB)) in FY2013 requested information about our performance and commitments on Corporate Responsibility and the environment.
Reduced costs: If Symantec can effectively invest in energy efficiency, it can reduce its bottom line expenses and be more competitive as compared to its peers, freeing up capital for other investments.
Climate change is an issue that is top of mind for all our stakeholders -- clients, employees, shareholders and non-profit partners. The issue touches each of us, and we all recognize that the more we collaborate the more effective we will be at sharing best practices, recognizing progress, and developing meaningful solutions.
Cecily Joseph is Symantec's Vice President, Corporate Responsibility.
Si bien la mayor parte de la atención en Heartbleed ha estado en los sitios web públicos vulnerables, este bug afecta más que eso. Si bien la mayoría de los sitios más populares ya no están vulnerables, esto no significa que los usuarios podamos bajar la guardia.
Heartbleed afecta por igual a clientes de software como a clientes web, de correo electrónico, clientes de chat, clientes FTP, aplicaciones móviles, clientes VPN y actualizadores de software, por nombrar algunos. En definitiva, cualquier cliente que se comunica a través de SSL/TLS utilizando la versión afectada de OpenSSL es vulnerable a los ataques externos.
Adicionalmente, Heartbleed afecta a otros servidores además de los servidores Web. Estos incluyen proxies, servidores de medios , servidores de juegos, de bases de datos, de chat y FTP. En este escenario, los dispositivos de hardware no son inmunes a la vulnerabilidad ya que ésta puede afectar a los routers, PBX (sistemas de teléfono empresariales) y probablemente numerosos dispositivos del Internet de las Cosas.
Atacar estos servidores de software y hardware por medio de la vulnerabilidad Heartbleed se realiza de una manera similar a como se hace en los ataques a los sitios web vulnerables. Sin embargo, los ataques a los clientes pueden suceder prácticamente de la manera inversa.
De forma general, la explotación de Heartbleed ha sido descrita como un cliente que envía un mensaje malicioso de Heartbeat a un servidor vulnerable y el servidor expone información privada. Sin embargo, el proceso a la inversa también podría darse. Es decir, un cliente vulnerable puede conectarse a un servidor, y el propio servidor puede enviar un mensaje Heartbeat malicioso para el cliente. Entonces, el cliente responderá con datos adicionales que se encuentran en su memoria, lo que podría exponer credenciales de acceso y otros datos privados.
Figura 1. La forma en que un cliente vulnerable es atacado, es a la inversa de un ataque que se da en un servidor
Afortunadamente , aunque los clientes son vulnerables, en el mundo real este escenario puede ser difícil de explotar. Los dos principales vectores de ataque instruirían al cliente a visitar a un servidor SSL/TLS malicioso o secuestrarían una conexión a través de una debilidad sin relación. Ambas cuestiones presentan al atacante una complicación adicional.
Llevando al cliente a un servidor malicioso
El ejemplo más simple de cómo se puede explotar un cliente es a través de algo como un navegador Web vulnerable. Uno simplemente tiene que convencer a la víctima de visitar una URL maliciosa con el fin de permitir que el servidor atacante tenga acceso a la memoria del navegador Web del cliente. Esto pone en riesgo el contenido como las cookies de sesiones previas, sitios web visitados, datos de formularios y las credenciales de autenticación.
Cabe mencionar que la mayoría de los navegadores Web más populares no utilizan OpenSSL, sino las bibliotecas NSS (Network Security Services) que no son vulnerables a Heartbleed. Sin embargo, muchos clientes Web de línea de comandos hacen uso de OpenSSL (por ejemplo, wget y curl) los cuales son vulnerables.
La necesidad del atacante de engañar a un usuario para que visite un sitio malicioso puede mitigar algunos riesgos, pero no siempre es necesario. Imaginemos un servicio de traducción de idiomas en línea donde proporcionamos a un servicio automatizado una URL de una página en francés y el servicio nos traduce el contenido a español. Detrás de la pantalla, el servicio está buscando el contenido de la página en francés utilizando su propio cliente de backend. Pero, si damos la dirección URL de un servidor malicioso, el cliente backend puede ser explotado y el atacante podría obtener información confidencial, como código o las credenciales de acceso del servicio de traducción.
Secuestrando una conexión
Dirigir a los clientes a un servidor malicioso como se describió anteriormente require instruirlos para visitar servidores arbitrarios. Sin embargo, muchos clientes sólo pueden comunicarse con un dominio codificado preestablecido. Aún en estos casos, el cliente todavía puede ser explotado. En las redes abiertas compartidas como ciertas redes WiFi públicas, el tráfico puede ser visible y alterado por otros, permitiendo a los atacantes redirigir a los clientes vulnerables. Normalmente, SSL/TLS (por ejemplo, HTTPS, navegación web encriptada) es una de las soluciones a este problema, ya que el cifrado evita el espionaje y el redireccionamiento. Sin embargo, uno puede enviar mensajes de Heartbeat maliciosos antes de que la sesión SSL/TLS esté plenamente establecida.
Un atacante puede unirse a una red pública y espiar a las posibles víctimas. Cuando una víctima potencial utiliza un cliente vulnerable al establecer una conexión SSL/TLS con un servidor legítimo, el atacante redirige la conexión con el servidor malicioso. Antes de que la conexión SSL/TLS esté totalmente establecida y tenga la posibilidad de bloquear cualquier redirección, el atacante puede enviar un mensaje Heartbeat malintencionado que extraiga contenidos de la memoria de la computadora de la víctima. Esto puede incluir datos privados, como credenciales de autenticación.
Figura 2. Forma en que un atacante puede secuestrar y redireccionar un cliente vulnerable en una red abierta.
Además de las recomendaciones dadas anteriormente por Symantec, sugerimos lo siguiente:
• Evitar visitar dominios desconocidos con cualquier software de cliente, que acepten mensajes de Heartbeat y utilicen las bibliotecas de OpenSSL vulnerables.
• Dejar de usar los servicios de proxy que no han sido actualizados.
• Actualizar el software y hardware conforme los fabricantes tengan disponibles los parches.
• Utilizar un cliente VPN y un servicio confirmado como no vulnerable ante Heartbleed cuando estemos en redes públicas.
As mobile device management solutions become more commonplace in the enterprise, many of the conversations I've had about "What's next?" with customers (both potential and current), lead to larger discussion about their data protection strategy for mobile.
Companies are coming to the conclusion that "MDM" (mobile device management) alone is not going to solve for protecting corporate data; and that perhaps an integrated solution offering anti-malware (mobile security), device management (MDM), and app/data protection (MAM) capabilities is worth evaluating.
While standalone solutions can be valuable, the real power comes from integration, and aggregating the telemetry coming from these mobile devices. This allows IT to empower the user to maintain the hygiene of their own device, and still provide the proper level of access to corporate data based on that information.
Let's use a real-world example, I have a corporate issued iPhone that has been provisioned by our MDM that:
However, I also have a personal Android tablet that I self-enrolled, and rather than become fully "MDM managed" I was able to:
Between those two devices, I am accessing essentially the same corporate data, however the controls are appropriate to the use case. MDM where and when it's needed, and more granular app-level controls where MDM is either not possible or less palatable to the end-user (on my personal device in this case).
Additionally, IT now has some excellent data coming back off my devices, compliant with those MDM policies, with knowledge of any malware and potential threats lurking on my device (here's a freaky example http://tnw.co/1hdjYkO) and can leverage this to take manual or automated actions such as:
Those real scenarios are just the tip-of-the-iceberg. We're very lucky at Symantec to be able to bring to bear a very robust portfolio of User Authentication solutions that integrate today with our EMM (enterprise mobile management/MDM/MAM/Mobile Security) platform. Existing integations with our Managed PKI (mPKI) service and App Center provides an even deeper set of controls around data access, coupled with generic integrations for SAML-based IDPs (a technology we are also invested in) means employees like myself can work seamlessly across personal and corporate worlds - no skimping on user experience, no compromise with respect to security - now that's a powerful combination.
A newly discovered vulnerability in OpenSSL, one of the most commonly used implementations of the SSL and TLS cryptographic protocols, presents an immediate and serious danger to any unpatched server. The bug, known as Heartbleed, allows attackers to intercept secure communications and steal sensitive information such as login credentials, personal data, or even decryption keys.
Customers of Control Compliance Suite can utilize the various modules to discover and detect the assets that are exposed to the Heartbleed vulnerability and prioritize its remediation and hardening efforts, based on the business criticality of the assets.
Targeted attacks are some of the most troubling and difficult threats facing modern security infrastructure. Symantec found that the number of targeted campaigns jumped to 91% in 2013. Discover more about these threats and learn which immediate steps you need to take to help defend your organization.
