Stefan Pettersson bloggar om affärsmässig säkerhet för svenska företag.

Archive for

Uppföljning 2013 DBIR

Posted on den 17 maj, 2013

ISACA ordnade igår en presentation av Dave Ostertag, chef för RISK-teamet på Verizon och en av författarna bakom 2013 DBIR. Han gjorde nedslag på några ställen i rapporten och svarade på frågor. Det var ganska bra, jag fick svar på ett par av de frågor jag hade och Dave bjöd på lite andra erfarenheter från deras utredningar. Micros och Aloha står för den absoluta majoriteten av alla kassasystem (PoS), han sade 95 % men det lät taget ur luften. För mig som inte har ägnat särskilt mycket energi åt PCI DSS-kunder var det en nyhet. Det tar ungefär 1 år från att en PIN entry device (PED) lanseras till att någon tar fram hårdvara för att skimma dem. Att de är tamper evident o dyl verkar…

Var försiktig med branschrapporter

Posted on den 15 maj, 2013

Via Securosis hittade jag ”Threat Intelligence”, not always that intelligent som ger lysande exempel på varför man inte ska låta sig förföras av statistik från branschen. Jericho pekar ut flera allvarliga problem med Symantecs Internet Security Threat Report från i år och statistiken över rapporterade sårbarheter. En av de tidiga sårbarhetsdatabaserna, SecurityFocus, köptes ju upp av Symantec för några år sedan. Tydligen finns stora brister i deras data. In 2012, they show 38 [vulnerabilities for] Apple Safari, 30 Google Chrome, 21 Mozilla Firefox, 7 Microsoft IE, and 4 Opera vulnerabilities. Given that OSVDB has cataloged 219 vulnerabilities in WebKit in 2012 alone, that means the Symantec statistics are worthless. Those 219 vulnerabilities largely affect both Chrome and Safari, as well as other browsers. Even if we switch to…

Lärdomar från Verizon 2013 DBIR

Posted on den 9 maj, 2013

Så är det dags igen för en av årets mest efterlängtade rapporter och i särklass bästa reklambroschyr: Verizons 2013 Data Breach Investigations Report (DBIR). För sjätte året i rad sedan 2008 har Verizons RISK Team gjort en lättillgänglig statistisk sammanställning och analys av bekräftade dataintrång, denna gång intrång som har skett under 2012. Avsikten med den här analysen är att belysa rapportens intressanta delar, lyfta fram det som går att utläsa mellan raderna och dra lärdomar från alltihop. Sammanfattning Den grövsta slutsatsen från 2013 DBIR är följande: Små restauranger och små butiker utsätts för opportunistiska intrång där kortdata stjäls via enkla attacker mot öppna administrationsgränssnitt (remote desktop och motsvarande) med svaga inloggningsuppgifter. Stora banker blir av med kortdata när skimmingutrustning monteras på deras bankomater. De står…