Most U.S. federal agencies -- including the Department of Homeland Security -- have failed to comply with a Dec. 31, 2009, deadline to deploy new authentication mechanisms on their Web sites that would prevent hackers from hijacking Web traffic and redirecting it to bogus sites.
Most U.S. federal agencies -- including the Department of Homeland Security -- have failed to comply with a Dec. 31, 2009, deadline to deploy new authentication mechanisms on their Web sites that would prevent hackers from hijacking Web traffic and redirecting it to bogus sites.
各机构被要求在管理和预算办公室下,在其。gov网站上增加一层安全防护要求2008年8月发行,但至少有一位专家调用年底大限“一点点侵略性。”
不管是否主动,独立的监控显示只有20%的机构显示出部署这种新的安全机制的迹象,这种机制被称为DNS安全扩展(DNS security Extensions,简称DNSSEC)。
DNSSEC是一个互联网标准通过允许网站,以验证其域名和使用数字签名和公共密钥加密对应的IP地址,防止欺骗攻击。
DNS提供商Secure64调查了360个联邦机构,看有多少联邦机构的网站在其。gov域名上显示了数字签名的迹象。
Secure64负责营销的副总裁马克•贝克特说:“截至上周,我们发现大约20%的机构都有签名。”“80%的人在上面没有任何签名。我们可以推测这是为什么。他们可能正在进行这项工作,但还没有将签名投入生产。从外部看,你能知道的是,没有证据表明DNSSEC的任务取得了进展。”
“20%的数字是完全可信的,”VPN联盟的主管Paul Hoffman说,他也是互联网工程工作组中DNSSEC标准化努力的积极参与者。“NIST一直致力于DNSSEC,但各个机构的IT部门却什么都没做。DNSSEC不是优先考虑的。”
在包括谷歌、雅虎和Adobe在内的数十家美国公司都有报道称,奥巴马政府未能在这一关键的网络安全期限前完成任务网络攻击中国黑客。
管理预算办公室的官员拒绝透露,为什么该机构没有对行政分支部门强制执行DNSSEC的最后期限。
“具体到DNS数据库的加密,政府致力于数据保护和完整性。由部门和机构迄今采取的步骤正在评估其有效性,” OMB发言人Tom加文在一份声明中说。
不是每个人都认为错过最后期限有理由担心。
“行政管理和预算局的最后期限有点过了,”互联网先驱、从事dnsseco相关工作的研发公司Shinkuro首席执行官史蒂夫•克罗克(Steve Crocker)说。他说:“我认为这是一个非常积极的迹象,任何行动都有可能发生。我听到的是,在所有联邦首席信息官不得不关注的众多事情中,DNSSEC很可能会在2010年得到关注。”
克罗克说,这是在2010年年底大部分联邦机构来支持DNSSC他们.GOV子域的现实。
“通过1年缺少的标志是相当不错的消息,在这项业务,‘’Corcker说,”有安全回事上下互联网协议栈的逐步收紧。DNSSEC是不是BE-所有和结束所有,但它是一个重要的棋子。技术界一直在DNSSEC了20年。。州长的顶部被签署,现在我们所看到的其他部分一起过来。“”
管理和预算局的DNSSEC规定适用于运行。gov网站的行政分支部门和机构。(美国国防部的。mil网站则例外。)行政管理预算办公室要求。gov在2009年1月31日之前在高层进行加密签名,而这一里程碑是达到了一个月后,2009年2月。
各个机构被要求在2009年12月31日之前在其所有子域名(如www.irs.gov)上支持DNSSEC。似乎已经在最后期限前完成任务的机构包括商务部和内政部,而财政部和国土安全部则没有。
一旦它的全面部署,DNSSEC将会对美国公众产生广泛的影响。这是因为这将确保公民谁认为他们正在访问联邦政府网站不重定向到其他地方。例如,公民谁在网上报税,要确保,当他们键入www.irs.gov到他们的浏览器,他们去到一个网站由国税局工作,而不是一个骗子试图窃取他们的社会保障数字。
DNSSEC是一个层次系统,在匹配域名和相应IP地址的过程中,每一步都需要进行身份验证。为了让用户收到来自像www.irs.gov这样的政府网站的经过身份验证的响应,DNSSEC需要被部署到因特网的根服务器、国税局运营的。gov域服务器和子域服务器上。
VeriSign的首席技术官肯•席尔瓦(Ken Silva)表示:“如果一切都启用了域名安全系统,那么打造DNS响应将变得极其困难。”VeriSign正在互联网根服务器以及。com和。net域名上部署域名安全系统。“话虽如此,它确实需要端到端的DNSSEC才能产生影响。”
霍夫曼指出,有边际价值,直到DNS根签署机构中部署DNSSEC,这将发生在今年夏天。
“这是一个耻辱,更多的机构还没有准备好DNSSEC,”霍夫曼说。“根签订后,那些准备机构会比那些没有更快速地来加快速度。”
专家说,尽管DNSSEC承诺会提高政府在线服务的可信度,但许多机构并没有为DNSSEC的授权投入资金或人员。
其他机构在部署DNSSEC时也遇到了技术故障。
“当我们去部署DNSSEC,有时也有网络问题,其中网络的某些部分可能会在数字签名或有时有防火墙问题的方式获得,”贝克特补充说,这些都是正常的调试问题,而不是主要技术障碍DNSSEC部署。
VeriSign表示,它在跨根服务器、。com和。net服务器部署DNSSEC时遇到了一些困难,但没有比预期的更糟。
“我们发现周围的网络设备,包括防火墙和负载均衡一些技术障碍,”席尔瓦说。“我们已经有这些设备的某些版本的包滑稽动作,如果是大于它通常希望是...。那就是为什么它是如此重要,以测试自己的系统,并确保DNSSEC是不会引起任何问题。“
贝克特说,机构有足够的时间去完成所有的测试,并满足OMB任务。
“我们有一个客户的联邦谁在一个试点项目,在三天内签署这些领域,”贝克特说。“机构能够非常快速地部署这一点。”
许多其他国家 - 瑞典ncluding,波多黎各,保加利亚和巴西 - 已经部署在自己的国家代码域名DNSSEC。
DNSSEC也在这个网站上运行域到今年年底,它将在。com和。net域中得到支持。
“如果美国政府对落后DNSSEC,如果他们不相信他们不得不遵循OMB任务这将是非常可悲的,”霍夫曼说。“我们的盟友已经签署了[国家代码顶级域]这将是可悲的,如果我们落后了。”
行业观察人士表示,奥巴马政府未能满足网络安全委员会的最后期限,是对网络安全问题关注不够的结果。作为证据,他们指出总统没有宣布选择霍华德·施密特担任白宫网络安全协调员至2009年12月。
“有一个缺乏领导的整个政府网络安全,”霍夫曼说。“这不只是他们还没有网络安全的位置填满。目前尚不清楚的是,网络安全位置将会有什么权力......而且没有任何机构迅速对自己的未来前进。”
行政管理和预算办公室否认了这种批评。
“网络安全是政府的首要任务,”加文在一份声明中说。他补充说,“各机构正在积极采用新的工具和技术,以确保政府信息的安全。”
在OMB DNSSEC任务是在互联网域名系统高调缺陷后发表 - 俗称卡明斯基错误——被揭露。DNSSEC是防止卡明斯基式攻击的唯一长期解决方案。