阅读时间: 3 分钟
确定发生了什么之后,我们下一步必须采取的措施是重新评估我们的威胁模型。
Internet安全比其他领域要困难得多,因为Internet不断变化并且用户对安全控制的容忍度很低。 与军队不同,我们不能命令人们遵守安全程序。 在设计民用安全控件时,可接受性必须是头等大事,否则将不会使用。
SSL 浏览器中使用的安全机制最初旨在允许使用信用卡从在线商家购买商品。 在讨论了其他应用程序和用例的同时,不允许这些驱动需求。 十五年后,互联网现在被视为推动北非和海湾地区民众起义浪潮的推动力。 用例已更改,因此我们必须修改威胁模型。
在学术研究中,这种趋势令人怀疑,并提出了最令人惊讶的原因。 在这里重要的不是确定攻击的实际肇事者或动机,而是确定合理的犯罪者和合理的动机。 我们不确定地确定肇事者是谁,我们永远不会知道。 防止下一次攻击的重点是确定合理的肇事者范围和合理动机。
间接证据表明,袭击起源于伊朗。 原始证书请求是从伊朗IP地址收到的,并且一个证书已安装在具有伊朗IP地址的服务器上。 尽管这种情况强烈暗示了伊朗的关系,但我们不知道这是因为攻击者来自伊朗还是因为这是攻击者想要我们得出的结论。
情况还表明,攻击的动机并不经济。 尽管肯定有一些攻击可以带来经济收益的方式,但很难看到犯罪者如何期望攻击可以为其工作提供更轻松,更安全或更有利可图的回报。 银行欺诈的难点是从帐户中提取资金。 信用卡号码和银行帐户详细信息被盗,市场上供过于求。
为了利用欺诈性颁发的证书,犯罪者必须具有将互联网用户定向到其假网站而非合法网站的能力。 反过来,这需要对DNS基础结构进行控制,这需要政府级的资源才能大规模或长时间地实现。
连同最近针对其他目标的其他攻击,无论是报告的还是未报告的,此事件似乎都可能构成对Internet身份验证基础结构的攻击方式的一部分,并且至少极有可能是犯罪者非常老练和政府指示。
很有可能解释一个事件或另一个事件是独立的“激进主义者”的工作。 但是从整体上看,这种模式暗示了另外的情况。 如果我们要成功解决这一威胁,我们必须假设我们的对手是国家资助的信息参与团队,他们拥有的资源将是巨大的。
为了成功克服这种威胁,我们需要采取纵深防御方法。 我们必须加强Internet信任基础结构,但也必须加强应用程序与之交互的方式。 这里暴露出的潜在弱点是这样一个事实,即获得欺诈性的服务器凭据会使攻击者获得最终用户访问凭据。 我们需要使攻击者更难获得欺诈的服务器凭据,但是我们还需要解决使用它们的应用程序和服务中的潜在弱点。
在发现此特定攻击之前,已经在努力加强Internet信任基础结构,这些将在下一篇文章中进行解释。 在接下来的文章中,我将探讨解决根本原因的措施。
- :是
- :不是
- a
- 对,能力--
- 学者
- 学术研究
- ACCESS
- 账号管理
- 横过
- 实际
- 地址
- 采用
- 非洲
- 驳
- 允许
- 允许
- 已经
- 还
- an
- 和
- 另一个
- 出现
- 应用领域
- 的途径
- 保健
- 地区
- AS
- 承担
- At
- 攻击
- 攻击
- 认证
- 银行
- 银行账户
- BE
- 承担
- 因为
- before
- 背后
- 作为
- 博客
- 都
- 浏览器
- 但是
- 购买
- by
- 不能
- 卡
- 牌
- 例
- 原因
- 当然
- 肯定
- 证书
- 证书
- 变
- 改变
- 情况
- 点击
- 结论
- 地都
- 经常
- 控制
- 控制
- 可以
- 凭据
- 资历
- 信用
- 信用卡
- 信用卡
- 国防
- 深度
- 设计
- 设计
- 详情
- 确定
- 难
- 直接
- 针对
- 发现
- 讨论
- DNS
- do
- 驾驶
- 驾驶
- 更容易
- 努力
- enable
- 结束
- 订婚
- 活动
- EVER
- 证据
- 预期
- 说明
- 解释
- 裸露
- 事实
- 假
- 十五
- 金融
- 遵循
- 以下
- 针对
- 力
- 形式
- 骗局
- 欺诈
- 自由的
- 止
- 受资助
- Gain增益
- 获得
- 得到
- 去
- 货
- 政府
- 发生
- 硬
- 更难
- 有
- 相关信息
- 高度
- 创新中心
- 但是
- HTTPS
- i
- 确定
- 鉴定
- if
- in
- 事件
- 独立
- 信息
- 信息参与
- 基础设施
- 安装
- 即食类
- 拟
- 相互作用
- 网络
- IP
- IP地址
- 伊朗
- 伊朗的
- 发行
- IT
- JPG
- 知道
- 大
- 后来
- 最少
- 合法
- Level
- 容易
- 看
- 低
- 使
- 市场
- 事项
- 手段
- 措施
- 机制
- 商家
- 军工
- 时尚
- 模型
- 钱
- 更多
- 动机
- 许多
- 必须
- 国内
- 需求
- 下页
- 北
- 现在
- nt
- 数字
- 获得
- of
- on
- 一
- 那些
- 在线
- or
- 秩序
- 原版的
- 本来
- 起源
- 其他名称
- 除此以外
- 我们的
- 超过
- 部分
- 特别
- 模式
- 员工
- 期间
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 似是而非
- 热门
- 可能
- 帖子
- 防止
- 优先
- 程序
- 有利可图
- 提供
- 相当
- 范围
- 宁
- 收到
- 最近
- 加强
- 报道
- 要求
- 岗位要求
- 需要
- 研究
- 资源
- 回报
- 修改
- s
- 更安全
- 鳞片
- 记分卡
- 保安
- 看到
- 看到
- 提交
- 服务器
- 特色服务
- 显著
- 网站
- 怀疑的
- So
- 极致
- SSL
- 步
- 被盗
- 非常
- 顺利
- 这样
- 建议
- 提示
- 奇怪
- 采取
- 拍摄
- 目标
- 队
- 比
- 这
- 其
- 他们
- 那里。
- 博曼
- 他们
- Free Introduction
- 威胁
- 次
- 至
- 一起
- 公差
- 最佳
- 信任
- 转
- 相关
- 进行
- 不像
- 不会
- us
- 使用
- 用过的
- 用户
- 用户
- 非常
- 是
- 波
- 方法
- we
- 虚弱
- 为
- 什么是
- 这
- 而
- WHO
- 全
- 将
- 工作
- 将
- 年
- 您一站式解决方案
- 和风网