最近,关于如果Comodo不能立即发现违规并快速响应的内容备受关注,很多读者也非常感兴趣。现在,我将列出科莫多未能立即发现违规行为并迅速做出回应的最新消息。
Comodo Security表示,为热门网站颁发9个欺诈性SSL证书事件的主要收获不是证书被颁发的事实,而是DNS基础设施没有受到保护。
在发现科莫多的安全合作伙伴受到威胁,攻击者为一些谷歌、雅虎、Skype、微软和Mozilla域名颁发了有效的数字证书后的第二天,科莫多的首席执行官兼首席安全架构师米勒夫阿杜勒哈尤格鲁站出来反对对他的公司的批评。核心问题不是证书是被欺诈颁发的,而是攻击者“明显”控制了DNS基础设施。
“违规行为将会发生,”阿卜杜勒阿尤格鲁告诉埃维克。“但问题不在于证书颁发机构的帐户被侵犯,因为如果没有DNS基础架构的控制,他们将无法对此采取任何措施。”
科莫多在事件报告中称,攻击源自分配给ISP(互联网服务提供商)的IP地址,该服务器用于测试雅虎登录页面的一个已颁发证书。基于这两起事件以及众所周知的事实,即政府攻击其他加密通信机制以监听本国公民,Abdulhayoglu确信,攻击是由政府发起的,目标是使用这些网站的人。
“这是我的意见。我没有证据,”阿卜杜拉赫格卢说。
他说,这些证书颁发给通信基础设施,而不是贝宝、银行或金融组织,这是典型的网络犯罪分子所担心的。阿卜杜勒哈格卢说,显然,中间人攻击将使政府能够检查持不同政见者正在阅读和使用这些地方的声明,特别是考虑到北非和波斯湾地区最近的动荡。
他还指出,据他所知,所有的互联网服务提供商和电信公司都是国有的,域名系统由互联网服务提供商维护。因此,国家控制着DNS,在这种情况下,攻击者可以访问基础设施,Abdulhayoglu说。
Abdulhayoglu说,如果科莫多没有立即发现违规并迅速做出反应,攻击者将会成功。但据Abdulhayoglu介绍,Comodo具有多层安全防护,长时间无法检测违规,无法成功使用证书。
当被告知Sophos的安全分析师切斯特维斯纽斯基(Chester Wisnewski)的言论时,科莫多发现并迅速解决了违规问题,因为攻击者创建了一个新账户,这是“一个幸运”,Abdulhayoglu明确表示:“他完全错了。”然而,他拒绝讨论检测漏洞的适当安全细节。
非营利组织Tor Project的安全研究员雅各布阿普尔鲍姆指出,认证机构没有正确审查申请人的身份,这是信任链中的薄弱环节。Trustwave负责托管身份和SSL的副总裁Brian Trzupek对此表示赞同,他指出,认证机构“通常只执行自动身份验证,而不进行手动审核。”
Abdulhayoglu指出,其他认证机构“以10美元的价格提供夜间运营商的证书”可能就是这种情况,但Comodo需要一个漫长的过程,要求申请人验证自己的身份和域名所有权,例如提交公证信函。
自去年秋天以来,阿卜杜勒阿尤格鲁一直在倡导一种可以防止这一事件的标准。如果他的提议被采纳,将把对DNS的控制权交给域名所有者。在这种情况下,如果有人请求证书,它将要求证书颁发机构和域所有者(根据以前的事务已知)之间进行身份验证,以验证是否应该颁发证书。据Abdulhayoglu说,这一请求变成了双向交流。
Abdulhayoglu表示,这是科莫多首次目睹针对“认证”基础设施的“国家赞助”攻击,科莫多将更新其威胁模型,以了解未来的国家级攻击。