При проведении тестов с использованием инструмента IoT Inspector, предназначенного для автоматического анализа безопасности встроенного программного обеспечения, исследователи SEC Technologies, подразделения компании SEC Consult, обнаружили, что встроенное программное обеспечение для интеллектуальных коммутаторов Cisco SG250 содержит некоторые цифровые сертификаты и соответствующие приватные ключи в папке /root/.ssh/.

Сертификаты были выданы Futurewei Technologies, подразделением Huawei, занимающимся исследованиями и разработками в США. Ранее сообщалось, что Futurewei Technologies стала дистанцироваться от родительской компании в связи с внесением её Министерством торговли США в «чёрный» список Entity List.

Возник вопрос, почему американский технологический гигант Cisco, который подал в суд на Huawei в связи с нарушением патентов, допустил включения сертификатов и ключей китайского конкурента в прошивку собственных коммутаторов?

Как выяснилось, разработчики Cisco использовали во время тестирования пакет с открытым исходным кодом OpenDaylight для настройки и автоматизации сетей, в разработке которого принимают участие и сотрудники Huawei, и попросту забыли удалить определённые компоненты. В информационном сообщении, опубликованном в среду, Cisco заявила, что её команда разработчиков FindIT использует OpenDaylight для целей тестирования, и сертификаты не должны были быть включены в производственную прошивку.

«Включение сертификатов и ключей из пакета OpenDaylight с открытым исходным кодом в поставку программного обеспечения произошло по недосмотру команды разработчиков Cisco FindIT », — пояснила компания. Впрочем, никакой угрозы они всё равно не несли. 

Cisco сообщила, что данная проблема затронула коммутаторы серий Cisco Small Business 250, 350, 350X и 550X. На данный момент сертификаты и ключи удалены из программного обеспечения FindIT Network Probe и прошивок вышеуказанных устройств.

Платформа для виртуализации IT-инфраструктуры предприятия vSphere 5.0 получила сертификат на соответствие с программой Common Criteria. По утверждению Vmware, пакет vSphere 5.0 получил рейтинг Evaluation Assurance Level 4 (EAL4+). Это считается очень высоким рейтингом для коммерческого программного обеспечения с использованием обычных средств безопасности - такой же уровень имеют, например, FreeBSD, Red Hat Enterprise Linux 5, Windows 2003.

Организация Common Criteria возникла в результате совместных усилий нескольких стран в 90-е годы по стандартизации, согласившихся признать общие критерии и результаты тестов аккредитованных лабораторий в различных регионах. США, Канада, Франция, Германия и Великобритания были первыми участниками программы Common Criteria. Эрик Беттс (Eric Betts), сертификационный менеджер VMware, сообщил в своем блоге, что VMware в данном случае работала по канадской схеме оценки и сертификации Common Criteria.

Получение доверия со стороны заказчиков из государственных структур, которые иногда требуют сертификации Common Criteria в продуктах, очевидно, было целью тестирования VSphere 5.0. Как ожидается, рейтинг vSphere 5.0 EAL4+ повысит привлекательность платформы для cloud-вычислений в США и других странах, где существует озабоченность по поводу облачной безопасности. "Облачные вычисления является приоритетной задачей для IT-директоров государственных организаций", - говорит Эйлин Блэк (Aileen Black), вице-президент VMware, курирующая государственный сектор. - Успешное тестирование vSphere 5.0 подчеркивает, что это решение, которому могут доверять государственные организации".

Материалы по теме:

• Настоящее и будущее российского серверного рынка: мнение экспертов;
• Kaspersky Endpoint Security 8 for Windows и Security Center 9: обзор новшеств;
• Готовность IT-инфраструктуры к аварийному восстановлению: исследование Acronis.

Источник:

• networkworld.com

Киберпреступники все чаще используют украденные цифровые сертификаты для подписи вредоносного кода. Действительная подпись помогает им избежать детектирования антивирусами и другим защитным программным обеспечением. Эксперты Kaspersky Lab обнаружили на прошлой неделе, что код трояна Mediyes подписан цифровым сертификатом, выданным Symantec швейцарской фирме Conpavi. Symantec отозвала сертификат Conpavi, которым был подписан Mediyes, и начала процесс расследования произошедшего для принятии мер по недопущению подобных инцидентов в будущем. По оценкам Kaspersky Lab на прошлой неделе около пяти тысяч компьютеров пользователей, в основном в Западной Европе, были инфицированы трояном Mediyes.

"Закрытый ключ для Conpavi не был защищён должным образом, - отметил Квентин Лю (Quentin Liu), старший технический директор подразделения Symantec. - Кто-то получил к нему доступ". Для этого типа цифрового сертификата закрытый ключ находится у владельца сертификата, в данном случае - у Conpavi. Пока не известно, был ли закрытый ключ украден инсайдером или в результате атаки Conpavi извне. Но этот инцидент указывает на риски, связанные с закрытыми ключами шифрования и безопасностью их хранения. Symantec развивает метод защиты от вредоносных программ, основанный на оценке риска, учитывающей несколько факторов, чтобы быстро определить, доброкачественный код или злонамеренный. "Цифровая подпись кода в этом методе имеет преимущество, - говорит Лиам О Мурчу (Liam o Murchu), менеджер Symantec. - Если злоумышленники могут выяснить, как обойти обнаружение, эта система должна быть изменена".

Материалы по теме:

• Настоящее и будущее российского серверного рынка: мнение экспертов;
• Kaspersky Endpoint Security 8 for Windows и Security Center 9: обзор новшеств;
• Готовность IT-инфраструктуры к аварийному восстановлению: исследование Acronis.

Источник:

• pcworld.com

Российское представительство Microsoft сообщило о снижении расценок на учебные курсы по технологиям серверной виртуализации и отмене платы за экзамен на получение сертификата, подтверждающего квалификацию IT-специалиста в этой области. В компании уверены, что данная мера поспособствует увеличению числа экспертов, способных реализовывать сложные проекты с использованием виртуализации, в частности, развертывать различные решения и сервисы в cloud-среде.

Виртуализация является основой облака, которое сегодня все активнее замещает собой громоздкое и дорогостоящее серверное оборудование. Для того чтобы получить соответствующие знания и стать знатоком в этой сфере, софтверный гигант предлагает в режиме очного онлайн-обучения или посредством самоподготовки пройти официальный учебный курс 10215A: Implementing and Managing Microsoft Server Virtualization, сдать сертификационный экзамен 70-659 MCTS: Windows Server 2008 R2, Server Virtualization и получить документ, подтверждающий квалификацию по направлению виртуализации.

Дополнительные сведения об учебных курсах Microsoft можно получить на сайте microsoft.com/learning.

Материалы по теме:

• Настоящее и будущее российского серверного рынка: мнение экспертов;
• Delta Electronics открыла новый завод и исследовательский центр;
• Инженеры Google занимаются обслуживанием секретных серверов в темноте.

Источник:

• microsoft.com

Представители компании Vantage Data Centers, специализирующейся на оптовой аренде площадей дата-центров, сообщили, что ЦОД V3 компании получил платиновый сертификат в рамках программы «Лидерство в области энергоэффективности и экологичности» (LEED, Leadership in Energy and Environmental Design). Сертификация LEED производится Советом по экологическому строительству США (US Green Building Council). Дата-центр V3 стал одиннадцатым ЦОД в США, получившим платиновый сертификат.

Дата-центр V3 является первым ЦОД компании в кампусе в Санта-Кларе, штат Калифорния. Всего в этом кампусе будут располагаться три дата-центра Vantage, причем компания надеется получить платиновые сертификаты на все три. Общая площадь V3 составляет 5600 м², при этом площадь, отведенная под серверное оборудование, достигает 3700 м². Фальшполы в серверных залах V3 приподняты на 30 дюймов (примерно 76 см). Мощность энергоснабжения V3 составляет 6 мегаватт. По словам представителей компании, коэффициент энергетической эффективности дата-центра (PUE, Power Usage Effectiveness) составляет 1,2 в режиме охлаждения оборудования наружным воздухом (fresh air economization) и 1,29 — в режиме охлаждения с помощью чиллеров, что позволяет экономить в год примерно 3 миллиона долларов, по сравнению с аналогичным ЦОД, коэффициент PUE которого составлял бы 2,0, что более типично для отрасли.

Дата-центр V3 был введен в строй в феврале текущего года — менее чем через девять месяцев после того, как компания Vantage впервые заявила о себе и приступила к осуществлению своих проектов при поддержке инвестиционной компании Silver Lake Partners. Присваивая платиновый сертификат дата-центру V3, Совет по экологическому строительству учел следующие моменты: V3 максимальным образом «встроен в местность», в V3 применяются лучшие технологии для экономии воды, V3 является весьма энергоэффективным ЦОД (в частности, в нем использована очень экономная модель освещения), при строительстве V3 применялись правильно подобранные и малотоксичные материалы, 20% которых являются материалами повторного использования.

Источник:

• datacenterknowledge.com