الثقة على شبكة الإنترنت: الحيوية، ولكن أكثر تعقيدا من أي وقت مضى

الثقة على شبكة الإنترنت: من الصعب إنشاء، أسهل بكثير لتقويض.

تصدر السلطات المصدقة (كا) الشهادات التي تشفر الاتصالات لمواقع الويب الآمنة، لذا فمن المهم أن نثق بها. هذا صحيح بشكل خاص لشهادات إيف – تلك التي تتحول شريط العناوين في إي الخضراء – لأن من المفترض أن تصدر من خلال عملية أكثر أمنا من المعتاد.

غير أن ذلك لا يعمل دائما على ما يرام. وفي العام الماضي أعلنت شركة غوغل أنه اعتبارا من 1 يونيو من هذا العام، فإن شركة كا سيمانتيك ستدعم شهادة الشفافية لشهادات إيف الخاصة بها؛ وإذا لم تضع حواجز إيف الخاصة بها في سجل شفافية الشهادة، فسيتم وضع علامة على المواقع التي تستخدمها على أنها غير موثوق بها في كروم ” يؤدي إلى ظهور إعلانات بينية أو مشكلات أخرى عند استخدامها في منتجات غوغل “.

وقالت الشركة معظم أجهزة الكمبيوتر ويندوز هي “محمية تلقائيا.”

يأتي ذلك بعد إصدار سيمانتيك سوءا لعدد من الشهادات للنطاقات التي تملكها غوغل و أوبيرا للأشخاص الذين لم يكونوا غوغل و أوبيرا.

وقالت سيمانتيك انها اصدرت 23 شهادة اختبار لخمسة مجالات دون علم مالك النطاق، ووجدت جوجل أكثر من ذلك، وفي نهاية المطاف قال سيمانتيك أنه قد صدر سوء 166 شهادة أخرى ل 76 المجالات (و 2.458 أكثر للنطاقات التي لم يتم تسجيلها حتى ). انها ليست فقط سيمانتيك: كا الصينية ننيك العام الماضي تم العثور أيضا على السماح لشركة أخرى، مكس هولدينغز، لإصدار شهادات لنطاقاتها الخاصة؛ مكس على ما يبدو وضعت المفتاح الذي كان يستخدم لذلك في وكيل الشبكة التي تعاملت بأنها عامة سلطة التصديق.

لماذا كل هذه الأمور مهمة؟ تسمح هجمات مان-إن-ذي-ميدل بتغيير المكان الذي ينتهي بك الأمر عند كتابة عنوان ورل: يعتقد متصفحك أنه يتحدث إلى الخادم الذي طلبته على قناة مشفرة، ويعتقد الخادم أنه يتحدث إلى متصفحك، ولكن فإنهما يتحدثان إلى مهاجم يجلس في منتصف الاتصال، ويخبر كل جانب ما يريد أن يسمع.

يمكن للمهاجمين إرسالك إلى حساب ليس المصرف الذي تتعامل معه، أو تبادل الإعلانات على الصفحة التي تزورها لتتبعات ضارة – أو مجرد مجموعة مختلفة من الإعلانات، وهو ما تعتزم لينوفو القيام به مع بعض أجهزة الكمبيوتر المحمولة مؤخرا.

الهجمات الخبيثة الرجل في منتصف باستخدام شهادة التي لا تأتي من كا معروفة وموثوق بها القبض على الفور من قبل معظم المتصفحات، وهذا هو السبب جوجل تطالب سيمانتيك القفز من خلال الأطواق إضافية يظهر نقص واضح من الثقة.

وهناك أسباب مشروعة لممارسات مماثلة. إن إدارة كيفية تصرف النطاقات على شبكتك هو السبب في أن السماح بالاتصال بشبكة الإنترنت “الرجل في المنتصف” هو أمر قد ترغب شركة تجارية في فعله دون أي نوايا ضارة. كنت تريد لهم في جهاز أمن الشبكة، حتى تتمكن من وهمية المجالات التي رانسوموار وغيرها من البرامج الضارة تحاول الاتصال، من أجل التحقق من ما يفعل دون وضع أنظمة الاختبار الخاصة بك في خطر.

بلوكوات يفعل ذلك في بروسيسغ الآمنة بوابة الويب، وذلك باستخدام ميزة تسمى المشفرة الحنفية التي تقول انها “تصفية حركة المرور على شبكة الإنترنت، وتحديد استخدام التطبيقات السحابية، وتوفير منع فقدان البيانات، وتوفير الوقاية من التهديدات، وضمان الرؤية في حركة المرور المشفرة”.

وبهذه الطريقة، يمكنك التحقق والأرشفة حتى حركة المرور المشفرة، والتي سوف تحتاج للعثور على الهجمات وإكتشاف البيانات تسرب من النظم الخاصة بك التي تم تشفيرها من قبل الأشرار أو حتى الموظفين الخبيثة.

جوجل الأحذية الرئيسية سلطة الشهادة الرقمية في الصين ننيك، سوف دعونا تشفير تهدد السلطات شهادة تجارية؟؛ مايكروسوفت الأحذية 20 شهادات من برنامج شهادة الجذر الموثوق

الابتكار؛ و M2M السوق ترتد مرة أخرى في البرازيل؛ الأمن؛ مكتب التحقيقات الفدرالي يعتقل أعضاء مزعومين من كراكاس مع موقف لاختراق المسؤولين الحكوميين في الولايات المتحدة؛ الأمن؛ وورد يحث المستخدمين على تحديث الآن لإصلاح الثقوب الأمنية الحرجة؛ الأمن؛ البيت الأبيض يعين أول رئيس الاتحادية مسؤول أمن المعلومات

ولكن هل تحتاج سلطات التصديق إلى القيام بعمل أفضل عند البت في الشهادات التي ينبغي إصدارها لمن؟

سألت ماثيو برينس، الرئيس التنفيذي ل كلودفلار، وهي الخدمة التي بدأت كشبكة تسليم المحتوى مع حماية دوس ولكن قد تشعبت إلى دنس والخدمات الأمنية.

المشكلة هي أن السلطات المصدقة تحاول أن تفعل شيئين في نفس الوقت: فهي تحاول إثبات الهوية وأنشأت التشفير “، وقال لي إذا كنت تصميم النظام الآن، وقال” ربما كنت قد أنشأت أكثر طريقة خفيفة لتأسيس التشفير والحفاظ على جزء الهوية قبالة إلى الجانب. وحقيقة أنهما يتعاملان مع الهوية أيضا، فإن التشابك يجعلها مشكلة صعبة.

وقارنت ذلك مع الوضع مع تشفير دعونا، وهي خدمة تستخدم تقنية كلودفلار لتقديم شهادات التشفير المجانية لتشجيع جميع المواقع لتعطيك اتصال آمن. “ما يقولونه هو” جعلنا من السهل السوبر للحصول على شهادات التشفير، وبطبيعة الحال الأشرار ذاهبون إلى استخدام هذا وانها جيدة جيدة أننا يمكن أن توفر السيرتس بسهولة أكبر وبأسعار معقولة لجميع العملاء “.

ويلاحظ أيضا أنه إذا كان الخاطف باي بال يستخدم شهادة تشفير دعونا، فإنه من السهل أن نسحب ذلك – والتي لا يمكن أن تفعل إذا كان قد خلق شهادة على البنية التحتية الخاصة بهم.

ويضيف: “جزء من المشكلة هو أن عملية إلغاء الشهادات مكسورة جدا”، مضيفا: يحتاج مقدمو نظام التشغيل والمتصفحون إلى التعامل مع الإلغاء ولا يمكنك أن تجعل من السهل جدا أو التي سيتم استخدامها لمهاجمة شخص ما أيضا.

على نحو متزايد، انها ليست السلطات شهادة التقليدية مثل سيمانتيك أن يكون القول النهائي مع الشهادات؛ مقدمي مثل كلودفلار وشركات المتصفح مثل جوجل تعمل بشكل متزايد في إدارة الثقة أيضا.

ما لم يكن لدينا حتى الآن هو وسيلة سهلة للمستخدمين لفهم ما يحدث.

الأمان

؟ M2M السوق مستبعد مرة أخرى في البرازيل

مكتب التحقيقات الفيدرالي يعتقل أعضاء مزعومين من كراكاس مع موقف لاختراق مسؤولين حكوميين أمريكيين

ووردبحث المستخدمين على تحديث الآن لإصلاح الثقوب الأمنية الحرجة

البيت الأبيض يعين أول رئيس أمن المعلومات الاتحادية

Refluso Acido