在荷兰政府发布分析DigiNotar公司服务器的审计报告后,本周荷兰证书授予机构DigiNotar的泄漏范围扩大,报告显示了该公司不同CA服务器中的重大安全失误。 该报告由IT安全公司Fox-IT编写,他们发现DigiNotar网络已经“严重泄漏”并感染了超过二十台CA服务器。破坏的程度大大提高,CA服务器已发出了数以百计的针对20个不同领域签署的流氓证书。 一些专家表示,泄漏的严重性提醒了我们关于损坏证书系统的问题。
一个总部设在英国的安全厂商,Sophos有限责任公司的高级安全顾问Chester Wisniewski表示,企业的首席信息安全官们(CISOs)需要了解他们的组织如何使用……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
在荷兰政府发布分析DigiNotar公司服务器的审计报告后,本周荷兰证书授予机构DigiNotar的泄漏范围扩大,报告显示了该公司不同CA服务器中的重大安全失误。
该报告由IT安全公司Fox-IT编写,他们发现DigiNotar网络已经“严重泄漏”并感染了超过二十台CA服务器。破坏的程度大大提高,CA服务器已发出了数以百计的针对20个不同领域签署的流氓证书。
一些专家表示,泄漏的严重性提醒了我们关于损坏证书系统的问题。一个总部设在英国的安全厂商,Sophos有限责任公司的高级安全顾问Chester Wisniewski表示,企业的首席信息安全官们(CISOs)需要了解他们的组织如何使用SSL证书,并提出应急计划以应对证书供应商的泄漏事故。除了在浏览器中使用SSL来验证网站的真实性,许多企业使用数字证书来验证SSL VPN和电子邮件服务器用户的身份。
“企业需要知道,如果他们的SSL VPN打断了用户或他们的电子商务系统让他们用户的业务衰退了(if their SSL VPN would break for their users or if their e-commerce system would falter with their customers),他们应该做些什么?”Wisniewski说道,“问问你自己,是否有一个可供选择的方案?”
企业可以从多个证书授予机构获得证书,从而使得一旦一台CA服务器泄漏了,他们还可以有一个确保网站验证的后备方案。替代当前系统的方案还在测试中,但直到谷歌,微软和Mozilla开始支持替代的真伪验证系统前,该系统是不可能改变的。Fox-IT报告促使浏览器制造商将DigiNotar证书拉入黑名单。
本周二,微软更新了它的安全公告,推出了针对支持所有Windows版本的自动更新,撤销对DigiNotar根证书的信任。微软表示,这保护了IE用户免受中间人攻击。流氓数字证书可以让攻击者制造假内容并执行网络钓鱼攻击。
“我们已经认为所有的DigiNotar证书都不可靠,并将它们移到不信任证书中存储(Untrusted Certificate Store),”微软可信赖计算主任Dave Forstrom在微软安全响应中心博客中这样写道,“我们认识到,这是一个行业的问题,我们一直积极在与证书授予机构,政府和软件厂商合作,以帮助保护我们共同的客户。”
微软针对荷兰用户的自动更新还要等一个星期。Mozilla和谷歌也采取了类似的措施,以阻止流氓数字证书。
“这不是一个暂时的停止,我们是将它完全从我们信任的根方案中清除了,”Firefox的工程总监Jonathan Nightingale在Mozilla的安全博客中这样写道,“完全撤销信任是我们慎重考虑后作出的决定,这也是我们最后的手段。”
之所以彻底清除受信任的根是因为泄漏的范围仍不明确,Nightingale解释道。此外,DigiNotar撤销了未通知Mozilla的欺诈性证书。
在9月3日发布的更新中,谷歌表示它已经拒绝了由DigiNotar进行的所有证书授予。“我们期望DigiNotar可以提供一份完整的情况分析,”谷歌信息安全经理Heather Adkins这样写道。
Fox-IT的报告,由荷兰政府发布,报告中发现了DigiNotar严重的网络问题。
“所有CA服务器都在一个Windows域,这使得通过一个用户名/密码组合就可以访问所有的服务器,”据DigiNotar泄漏报告,该报告可在荷兰政府网站Rijksoverheid上查看。“密码不是很强,而且容易被暴力破解。”
此外,审计调查发现DigiNotar公共Web服务器上安装过时的软件。目前被调查的服务器上没有防病毒保护,Fox-IT补充道。
从黑客活动留下的痕迹来看,可能来自伊朗,从6月19日持续到7月22日。攻击者们发出了数百个流氓证书,包括针对谷歌,Skype,Mozilla附加组件,微软更新和其他的SSL证书。
相关推荐
-
英特尔AMT是如何绕过Windows防火墙的?
微软研究人员发现一个黑客团伙的文件传输工具可利用英特尔的Active Management Technology来绕过Windows内置防火墙。那么,英特尔AMT是如何绕过Windows防火墙的呢?
-
GhostHook是如何绕过微软PatchGuard的?
GhostHook攻击技术可绕过微软的PatchGuard,不过微软还没有修复这一漏洞。在本文中,专家Michael Cobb解释了这种攻击的工作机制。
-
Google Play Protect如何改善Android安全性?
谷歌新安全平台Google Play Protect旨在提高Android应用安全性,那么,Google Play Protect中有哪些功能?它是否足以确保应用安全性?
-
为何Windows快捷方式文件容易受到攻击?
微软Windows中的一个漏洞可使攻击者在快捷方式文件中自动执行代码,这个攻击的工作原理是什么,如何防范?