网络安全 不信任权威 一次黑客攻击暴露了互联网安全架构的深层隐患 Sep 10th 2011 | from the print edition 尽管因特网自诩分权化管理,当遇到安全问题时他俨然一个管理严密的组织。数字证书告知用户哪些网站可以放心浏览,通过网页显现出“锁形”以及网页链接以https://开头的方式。这些证书是数以百计的在安全方面以安全和名誉方权威著称的公司颁发给网站的。一系列认证证书被嵌入到浏览器中。如果网页显示了特定公司颁发的证书,浏览器将会加载页面。这在理论上行得通,但是实际上网络保护者似乎更需要保护他们自己。 9月6日,网络安全与数字认证机构GlobalSign在自称“Comodo黑客”发出新声明以后,已暂时停止数字认证的发放。黑客声称单独行动,他已经成功的入侵了荷兰数字认证机构DigiNotar,劫持系统并颁发了数百个用于攻击Facebook,Twitter 和 Google以及美国英国以色列以及其他政府部门的虚假数字认证。 这些危险文件能够让始作俑者假做出看起来安全的网站。许多安全分析员为假冒认证已被用来以监控伊朗公民的Gmail帐户活动(google的邮件服务)而感到惴惴不安 荷兰依赖DigiNotar认证许多政府网站。该国内务部长Piet Hein Donnersay称国内社会保障、警察以及税务当局的网站可能已经被波及,他敦促国民为了以防万一在涉及到与国家的交易中使用纸笔的原始方法。 长期以来安全专家一直都在为此类攻击敲警钟—这种攻击好比窃贼入侵锁店。一篇关于DigiNotar的新报告对其安全情况毫不留情的批评。很多人都觉察到了这个错综复杂的局面以及表面上的关联事件:牵扯到三月份意大利隶属于Comodo(美国大型认证商)的认证中心。事件表明系统亟待彻底改进。Comodo黑客也宣称冲击了其他三个认证商(迄今为止还未透漏其名字) 一项提议 是开创新数字认证体系,该体系会定期扫描网络安全服务器。浏览器将使网站提供的数字认证证书以及公证信息库里的相匹配来确保安全而不是现行的内置认证商。Google也在尝试类似的方法,称之为证书目录。公司希望将其嵌入到其发行的Chrome浏览器,能够使现行版本的浏览器都能够识别DigiNotar颁发给google的假证书。 其他人就不是这么乐观了。网络安全专家Bruce Schneier怀疑这样的做法能否有一丝效果。问题不出在技术上而是出在于动机上。那些和现行系统有利害关系的所有者—认证商、浏览器公司—无意修复。为了图方便,许多用户愿意放弃安全措施,甚至忽视浏览器上给出的过期或者无法识别证书的警告。Schneier先生将推荐方修复方法的相关特性比作讨论给战场中坦克涂什么样的颜色。 “更广泛的问题在于,来自于非洲、中东以及亚洲等热衷窥探的政府的网民处于最危险的境地,他们经常使用陈旧的电脑设备、不安全的软件—这都将使他们更容易受攻击”,来自电子前沿基金会—一个游说团体—的Seth Schoen表示。比如说伊朗网民很少使用Chrome浏览器,在美国放松了对伊朗的贸易制裁后他仅在一月份可以使用 from the print edition | International
|
|小黑屋|手机版|网站地图|关于我们|ECO中文网 ( 京ICP备06039041号 )
GMT+8, 2024-11-22 01:20 , Processed in 0.084611 second(s), 24 queries .
Powered by Discuz! X3.3
© 2001-2017 Comsenz Inc.