IT专业人员比以往任何时候都更依赖于公共密钥加密。他们也比以往更多的怀疑,这项技术将使他们的关键数据和资产安全。
的结论的调查超过2000波耐蒙研究所进行的IT专业人员和安全公司Venafi。它在美国安全专家的调查英国、德国、法国和澳大利亚发现攻击加密密钥和证书都是通用的,而企业治理证书仍然滞后。
扩散问题
调查发现,收集的数据部署在组织内的密钥和证书的数量增长了34%,达到近24000企业。不出所料,快速增长,促使组织不那么确定,他们使用密钥和证书。百分之五十四的受访机构承认他们不知道所有的密钥和证书,报告说。
[在ITworld:6老化协议可能削弱互联网]
无数的报告听起来可怕的警告政府和私营企业,依靠公共密钥加密来保护在线交易和数据。“数字相信,支撑着世界上大部分的经济接近崩溃的边缘,和没有替换,“它总结道。
全球数字信任系统面临的问题有很多。数字证书已经成为一个标准的工具来保护通信与互联网连接设备,但这些证书和监管的基础设施,支持他们往往是松散的。
其他原因证书扩散:制造商连接设备(如笔记本电脑、手机或机顶盒大规模生产数字证书附带每个产品没有认为维护他们随着时间的推移,凯文Bocek说,副总统Venafi安全策略,赞助6调查。
一个有吸引力的目标攻击
这些证书已经成为一个有吸引力的目标网络犯罪集团和政府支持的黑客攻击人员,利用隐式信任谁授予证书种植在其他系统上的恶意代码。2014年10月报告援引一位网络犯罪报告SenseCy表明市场的公司偷来的证书的生意兴隆。
[在ITworld:安全专家称在他们将改变互联网是如何建造]
报告援引的研究表明,网络犯罪团伙和恶意软件作者认为被盗和伪造的证书是一个可靠的方法得到目标系统上安装恶意软件。团体背后恶意软件Carbanak和火焰使用证书签署恶意软件并使其看起来合法的。先进的持续威胁(APT)组包括面具和黑暗酒店使用偷来的证书立足在目标网络或进行网络钓鱼和中间人攻击的高管和其他高价值目标,报告指出。
报告之际,关于袭击的报告数字证书的完整性和系统支持在线加密的证书颁发机构。其中:OpenSSL称为“Heartbleed”漏洞导致攻击脆弱的SSL和TLS密钥和证书。
最近,争议爆发在笔记本电脑制造商联想的决定由公司Superfish船硬件包含广告软件。Superfish软件破坏安全web会话进行“中间人”攻击:在本地解密会话分析其内容。
电子前沿基金会后来的研究发现的证据1600年的SSL证书,可以用来进行“中间人”攻击以类似的方式Superfish广告软件。web领域涉及包括引人注目的属性,比如谷歌、雅虎、亚马逊和银行网站,EFF说。
警告和袭击的累积效应是减少了密钥和证书的能力的信心保证在线身份和保护敏感交易。6研究一半的受访者表示,在线信任模式被打破了,同意“证书可以不再是盲目的信任。”
Bocek Venafi说——公共基础设施——密钥和证书的系统已经被忽视而互联网已经长大了。“在过去的20年里,我们已经创建了价值1000亿美元的互联网和电子商务…这是值得信赖的技术很长一段时间,但是就像任何信息技术,它必须改变。”
没有简单的修复
报告建议组织采用实践让他们识别和跟踪他们的环境内使用的证书。Bocek认为,像谷歌这样的公司的其他公司可能遵循的路径:结束使用破坏加密标准和投入资源证书完整性检查和透明度。除此之外,谷歌已经建立了一个三个月的有效期在所有证书的问题,限制任何妥协证书的使用寿命。
搜索巨头谷歌也推出了证书透明度、开放的框架,用于监控和审计近乎实时的SSL证书。Vocek说证书透明度等工具,就能很容易地识别和剔除被盗或恶意的证书和标识证书颁发机构不再可靠:发布证书用于流氓行动。
“整个系统需要更灵活,”他说。“我们必须决定是否信任(证书),准备好取代旧事物”。
这个故事,“调查发现相信互联网信任系统快速消退”最初发表的ITworld 。