Temps de lecture : 3 minutes
Après avoir identifié ce qui s’est passé, la prochaine étape que nous devons franchir consiste à réévaluer notre modèle de menace.
La sécurité sur Internet est beaucoup plus difficile que dans d’autres domaines, car Internet est en constante évolution et la tolérance des utilisateurs à l’égard des contrôles de sécurité est très faible. Contrairement aux militaires, nous ne pouvons pas ordonner aux gens de suivre les procédures de sécurité. L'acceptabilité doit être une priorité absolue dans la conception d'un contrôle de sécurité civile, sinon elle ne sera pas utilisée.
Le SSL Le mécanisme de sécurité utilisé dans les navigateurs a été conçu à l'origine pour permettre l'utilisation de cartes de crédit pour acheter des produits auprès de marchands en ligne. Bien que d'autres applications et cas d'utilisation aient été discutés, ceux-ci n'ont pas été autorisés à déterminer les exigences. Plus de quinze ans plus tard, Internet est désormais considéré comme le moteur d’une vague de révoltes populaires à travers l’Afrique du Nord et le Golfe. Les cas d’usage ont changé et nous devons donc revoir notre modèle de menace.
Dans la recherche universitaire, la tendance est à être sceptique et à suggérer la cause la moins surprenante. Ce qui compte ici n’est pas de déterminer l’auteur réel ou le motif réel de l’attaque, mais les auteurs plausibles et les motifs plausibles. Nous ne savons pas avec certitude qui était l’auteur de ce crime et il est très peu probable que nous le sachions un jour. Ce qui compte pour prévenir la prochaine attaque, c’est d’identifier l’éventail des auteurs plausibles et des motivations plausibles.
Des preuves circonstancielles suggèrent que l’attaque a pour origine l’Iran. Les demandes de certificat originales provenaient d'une adresse IP iranienne et un certificat a été installé sur un serveur avec une adresse IP iranienne. Bien que les circonstances suggèrent fortement un lien avec l’Iran, nous ne savons pas si c’est parce que l’attaquant était iranien ou parce que c’est la conclusion que l’attaquant voulait nous faire tirer.
Les circonstances suggèrent également que le motif de l’attaque n’était pas financier. Bien qu’il existe certainement des moyens par lesquels l’attaque aurait pu générer un gain financier, il est difficile de voir comment l’auteur aurait pu s’attendre à ce que l’attaque fournisse un retour plus facile, plus sûr ou plus rentable pour ses efforts. Le plus difficile dans la fraude bancaire est de soutirer de l’argent du compte. Les numéros de cartes de crédit et les coordonnées bancaires volés constituent une surabondance sur le marché.
Pour utiliser les certificats délivrés frauduleusement, l'auteur devrait avoir la possibilité de diriger les internautes vers leurs faux sites plutôt que vers les sites légitimes. Cela nécessite à son tour un contrôle de l’infrastructure DNS, ce qui nécessite des ressources gouvernementales pour être réalisé à grande échelle ou pendant une période prolongée.
Considéré avec d'autres attaques récentes contre d'autres cibles, signalées ou non, il semble probable que cet incident fasse partie d'un ensemble d'attaques contre l'infrastructure d'authentification Internet et qu'il est au moins très probable que les auteurs soient très sophistiqués et gouvernementaux. dirigé.
Il est tout à fait possible d’expliquer l’un ou l’autre des incidents perçus comme étant l’œuvre d’« hactivistes » indépendants. Mais dans son ensemble, la tendance suggère le contraire. Si nous voulons parer avec succès à cette menace, nous devons supposer que nos adversaires sont des équipes d’engagement informationnelles financées au niveau national et que les ressources dont ils disposent seront importantes.
Toutefois, pour réussir à vaincre une telle menace, nous devons adopter une approche de défense en profondeur. Nous devons renforcer l'infrastructure de confiance sur Internet, mais nous devons également renforcer les moyens par lesquels les applications interagissent avec elle. La faiblesse sous-jacente exposée ici est le fait que l’obtention d’informations d’identification de serveur frauduleuses permet à un attaquant d’obtenir les informations d’identification d’accès de l’utilisateur final. Nous devons rendre plus difficile à un attaquant l’obtention d’informations d’identification frauduleuses sur un serveur, mais nous devons également remédier aux faiblesses sous-jacentes des applications et des services qui les utilisent.
Des efforts visant à renforcer l’infrastructure de confiance sur Internet étaient déjà en cours avant la découverte de cette attaque particulière et seront expliqués dans le prochain article. Dans le post suivant, j'examinerai les mesures permettant de remédier à la cause sous-jacente.
COMMENCER L'ESSAI GRATUIT OBTENEZ GRATUITEMENT VOTRE SCORECARD DE SÉCURITÉ INSTANTANÉE
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://blog.comodo.com/other/the-changing-threat-model/
- :est
- :ne pas
- a
- capacité
- académique
- recherche universitaire
- accès
- Compte
- atteindre
- à travers
- présenter
- propos
- adopter
- Afrique
- à opposer à
- permis
- permet
- déjà
- aussi
- an
- et les
- Une autre
- apparaît
- applications
- une approche
- SONT
- domaines
- AS
- assumer
- At
- attaquer
- Attaques
- Authentification
- Banque
- compte bancaire
- BE
- Gardez
- car
- before
- derrière
- va
- Blog
- tous les deux
- navigateurs
- mais
- acheter
- by
- ne peut pas
- carte
- Cartes
- cas
- Causes
- Assurément
- certitude
- certificat
- certificats
- modifié
- en changeant
- conditions
- cliquez
- conclusion
- connexion
- constamment
- des bactéries
- contrôles
- pourriez
- CRÉDENTIEL
- Lettres de créance
- crédit
- carte de crédit
- Cartes de crédit
- Défense
- profondeur
- Conception
- un
- détails
- détermination
- difficile
- dirigé
- découvert
- discuté
- dns
- do
- motivation
- conduite
- plus facilement
- effort
- permettre
- fin
- participation
- événement
- JAMAIS
- preuve
- attendu
- Expliquer
- expliqué
- exposé
- fait
- faux
- Quinze
- la traduction de documents financiers
- suivre
- Abonnement
- Pour
- Force
- document
- fraude
- frauduleux
- gratuitement ici
- De
- Financé
- Gain
- gagner
- obtenez
- aller
- pour les
- Gouvernement
- arrivé
- Dur
- Plus fort
- Vous avez
- ici
- très
- Comment
- Cependant
- HTTPS
- i
- identifié
- identifier
- if
- in
- incident
- indépendant
- d'information
- engagement d'information
- Infrastructure
- Installé
- instantané
- prévu
- interagir
- Internet
- IP
- IP dédiée
- l'Iran
- iranien
- Publié
- IT
- jpg
- Savoir
- gros
- plus tard
- au
- légitime
- Niveau
- Probable
- Style
- Faible
- a prendre une
- Marché
- compte
- veux dire
- les mesures
- mécanisme
- Marchands
- Militaire
- Mode
- modèle
- de l'argent
- PLUS
- motif
- beaucoup
- must
- nationalement
- Besoin
- next
- Nord
- maintenant
- nt
- numéros
- obtenir
- of
- on
- ONE
- et, finalement,
- en ligne
- or
- de commander
- original
- initialement
- origine
- Autre
- autrement
- nos
- plus de
- partie
- particulier
- Patron de Couture
- Personnes
- période
- Platon
- Intelligence des données Platon
- PlatonDonnées
- plausible
- Populaire
- possible
- Post
- empêcher
- priorité
- procédures
- rentable
- fournir
- assez
- gamme
- plutôt
- reçu
- récent
- renforcer
- Signalé
- demandes
- Exigences
- a besoin
- un article
- Resources
- retourner
- réviser
- s
- plus sûre
- Escaliers intérieurs
- fiche d'évaluation
- sécurité
- sur le lien
- vu
- envoyer
- serveur
- Services
- significative
- Sites
- sceptique
- So
- sophistiqué
- SSL
- étapes
- volé
- fortement
- Avec succès
- tel
- suggérer
- Suggère
- surprenant
- Prenez
- tâches
- objectifs
- équipes
- que
- qui
- Le
- leur
- Les
- Là.
- Ces
- l'ont
- this
- menace
- fiable
- à
- ensemble
- tolérance
- top
- La confiance
- TOUR
- sous-jacent
- En cours
- contrairement à
- improbable
- us
- utilisé
- d'utiliser
- Utilisateur
- utilisateurs
- très
- était
- Vague
- façons
- we
- faiblesse
- ont été
- Quoi
- qui
- tout en
- WHO
- la totalité
- sera
- comprenant
- activités principales
- pourra
- années
- Votre
- zéphyrnet