您的位置: 首頁 >互聯(lián)網(wǎng) >

網(wǎng)絡安全研究暴露了機器身份的脆弱性

2019-06-03 10:53:48 編輯: 來源:
導讀 根據(jù)佐治亞州立大學循證網(wǎng)絡安全研究小組的最新研究,SSL和TLS證書的繁榮市場 - 用于促進組織服務器與其客戶計算機之間保密通信的小型數(shù)

根據(jù)佐治亞州立大學循證網(wǎng)絡安全研究小組的最新研究,SSL和TLS證書的繁榮市場 - 用于促進組織服務器與其客戶計算機之間保密通信的小型數(shù)據(jù)文件 - 存在于互聯(lián)網(wǎng)的隱藏部分。 (EBCS)和薩里大學。

Venafi是一家私人持有的機器身份保護提供商和研究贊助商,他們使用密鑰和SSL / TLS證書在相互連接時識別和驗證自己,就像人類使用用戶名和密碼上網(wǎng)一樣。

當這些證書在暗網(wǎng)上銷售時,它們與各種犯罪軟件一起打包,向網(wǎng)絡犯罪分子提供機器身份,這些犯罪軟件使用它們來欺騙網(wǎng)站,竊聽加密流量,執(zhí)行攻擊并竊取敏感數(shù)據(jù)等活動。

根據(jù)喬治亞州立大學安德魯·楊政策研究學院副教授兼EBCS主任的主要作者大衛(wèi)·梅蒙(David Maimon)的說法,揭露這些證書在暗網(wǎng)上的廣泛應用是一個驚喜。在這個研究的暗網(wǎng)中搜索了五個市場,發(fā)現(xiàn)了2,943個“SSL”和75個“TLS”。相比之下,“勒索軟件”僅提及531個。

“這項研究的一個非常有趣的方面是看到TLS證書打包了環(huán)繞式服務 - 例如網(wǎng)頁設計服務 - 讓攻擊者能夠立即獲得高水平的在線信譽和信任,”他說。“令人驚訝的是,發(fā)現(xiàn)獲得擴展驗證證書是多么容易和便宜,以及在沒有任何驗證信息的情況下創(chuàng)建非常可靠的空殼公司所需的所有文檔。”

“這項研究發(fā)現(xiàn)了在暗網(wǎng)上猖獗出售TLS證書的明顯證據(jù),”Venafi安全和威脅情報副總裁Kevin Bocek說。“充當受信任的機器身份的TLS證書顯然是網(wǎng)絡犯罪工具包的關鍵部分,就像僵尸程序,勒索軟件和間諜軟件一樣。


免責聲明:本文由用戶上傳,如有侵權請聯(lián)系刪除!

精彩推薦

圖文推薦

點擊排行

2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標明“本站原創(chuàng)”外所有信息均轉載自互聯(lián)網(wǎng) 版權歸原作者所有。