最近，關(guān)于如果Comodo不能立即發(fā)現(xiàn)違規(guī)并快速響應(yīng)的內(nèi)容備受關(guān)注，很多讀者也非常感興趣?，F(xiàn)在，我將列出科莫多未能立即發(fā)現(xiàn)違規(guī)行為并迅速做出回應(yīng)的最新消息。

Comodo Security表示，為熱門(mén)網(wǎng)站頒發(fā)9個(gè)欺詐性SSL證書(shū)事件的主要收獲不是證書(shū)被頒發(fā)的事實(shí)，而是DNS基礎(chǔ)設(shè)施沒(méi)有受到保護(hù)。

在發(fā)現(xiàn)科莫多的安全合作伙伴受到威脅，攻擊者為一些谷歌、雅虎、Skype、微軟和Mozilla域名頒發(fā)了有效的數(shù)字證書(shū)后的第二天，科莫多的首席執(zhí)行官兼首席安全架構(gòu)師米勒夫阿杜勒哈尤格魯站出來(lái)反對(duì)對(duì)他的公司的批評(píng)。核心問(wèn)題不是證書(shū)是被欺詐頒發(fā)的，而是攻擊者“明顯”控制了DNS基礎(chǔ)設(shè)施。

“違規(guī)行為將會(huì)發(fā)生，”阿卜杜勒阿尤格魯告訴埃維克?！暗珕?wèn)題不在于證書(shū)頒發(fā)機(jī)構(gòu)的帳戶被侵犯，因?yàn)槿绻麤](méi)有DNS基礎(chǔ)架構(gòu)的控制，他們將無(wú)法對(duì)此采取任何措施。”

科莫多在事件報(bào)告中稱，攻擊源自分配給ISP(互聯(lián)網(wǎng)服務(wù)提供商)的IP地址，該服務(wù)器用于測(cè)試雅虎登錄頁(yè)面的一個(gè)已頒發(fā)證書(shū)?；谶@兩起事件以及眾所周知的事實(shí)，即政府攻擊其他加密通信機(jī)制以監(jiān)聽(tīng)本國(guó)公民，Abdulhayoglu確信，攻擊是由政府發(fā)起的，目標(biāo)是使用這些網(wǎng)站的人。

“這是我的意見(jiàn)。我沒(méi)有證據(jù)，”阿卜杜拉赫格盧說(shuō)。

他說(shuō)，這些證書(shū)頒發(fā)給通信基礎(chǔ)設(shè)施，而不是貝寶、銀行或金融組織，這是典型的網(wǎng)絡(luò)犯罪分子所擔(dān)心的。阿卜杜勒哈格盧說(shuō)，顯然，中間人攻擊將使政府能夠檢查持不同政見(jiàn)者正在閱讀和使用這些地方的聲明，特別是考慮到北非和波斯灣地區(qū)最近的動(dòng)蕩。

他還指出，據(jù)他所知，所有的互聯(lián)網(wǎng)服務(wù)提供商和電信公司都是國(guó)有的，域名系統(tǒng)由互聯(lián)網(wǎng)服務(wù)提供商維護(hù)。因此，國(guó)家控制著DNS，在這種情況下，攻擊者可以訪問(wèn)基礎(chǔ)設(shè)施，Abdulhayoglu說(shuō)。

Abdulhayoglu說(shuō)，如果科莫多沒(méi)有立即發(fā)現(xiàn)違規(guī)并迅速做出反應(yīng)，攻擊者將會(huì)成功。但據(jù)Abdulhayoglu介紹，Comodo具有多層安全防護(hù)，長(zhǎng)時(shí)間無(wú)法檢測(cè)違規(guī)，無(wú)法成功使用證書(shū)。

當(dāng)被告知Sophos的安全分析師切斯特維斯紐斯基(Chester Wisnewski)的言論時(shí)，科莫多發(fā)現(xiàn)并迅速解決了違規(guī)問(wèn)題，因?yàn)楣粽邉?chuàng)建了一個(gè)新賬戶，這是“一個(gè)幸運(yùn)”，Abdulhayoglu明確表示：“他完全錯(cuò)了。”然而，他拒絕討論檢測(cè)漏洞的適當(dāng)安全細(xì)節(jié)。

非營(yíng)利組織Tor Project的安全研究員雅各布阿普爾鮑姆指出，認(rèn)證機(jī)構(gòu)沒(méi)有正確審查申請(qǐng)人的身份，這是信任鏈中的薄弱環(huán)節(jié)。Trustwave負(fù)責(zé)托管身份和SSL的副總裁Brian Trzupek對(duì)此表示贊同，他指出，認(rèn)證機(jī)構(gòu)“通常只執(zhí)行自動(dòng)身份驗(yàn)證，而不進(jìn)行手動(dòng)審核?！?

Abdulhayoglu指出，其他認(rèn)證機(jī)構(gòu)“以10美元的價(jià)格提供夜間運(yùn)營(yíng)商的證書(shū)”可能就是這種情況，但Comodo需要一個(gè)漫長(zhǎng)的過(guò)程，要求申請(qǐng)人驗(yàn)證自己的身份和域名所有權(quán)，例如提交公證信函。

自去年秋天以來(lái)，阿卜杜勒阿尤格魯一直在倡導(dǎo)一種可以防止這一事件的標(biāo)準(zhǔn)。如果他的提議被采納，將把對(duì)DNS的控制權(quán)交給域名所有者。在這種情況下，如果有人請(qǐng)求證書(shū)，它將要求證書(shū)頒發(fā)機(jī)構(gòu)和域所有者(根據(jù)以前的事務(wù)已知)之間進(jìn)行身份驗(yàn)證，以驗(yàn)證是否應(yīng)該頒發(fā)證書(shū)。據(jù)Abdulhayoglu說(shuō)，這一請(qǐng)求變成了雙向交流。

Abdulhayoglu表示，這是科莫多首次目睹針對(duì)“認(rèn)證”基礎(chǔ)設(shè)施的“國(guó)家贊助”攻擊，科莫多將更新其威脅模型，以了解未來(lái)的國(guó)家級(jí)攻擊。