|
据CNET报道,美国政府停摆进入第25天,不断地影响联邦政府机构网站的网络安全性,随着时间推移受此影响的政府网站数量已大幅上升。英国网络安全公司Netcraft上周报告,80多个美国政府站点使用过期的安全证书,这种情况会让访问者面临遭受中间人攻击的风险。
截至本周四,Netcraft的最新报告指出这一数字已经超过了130个,超过130个联邦政府站点的证书过期没有更新。最初证书过期包括美国司法部和NASA等机构站点遭受到其影响,新一轮的证书过期影响到白宫、联邦航空管理局,国家档案局和农业部的站点安全性。 Netcraft表示,当用户对这些站点的访问涉及支付门户时可能会危及访客的个人信息,不过CNET无法独立验证这一点。 这些站点的证书在全年中有不同的到期日期,由于政府停摆,机构中负责更新证书的员工可能正在休假,导致站点证书无法更新。Netcraft安全研究员Paul Mutton在1月10日的公司博客中写道。 “因此,这可能是破坏所有美国公民安全的现实机会” Netcraft的调查结果强调了长期停摆对美国政府网络安全的影响,导致数十万联邦雇员和承包商陷入困境。 使用加密密钥验证网站的安全证书是否合法是验证网络安全运行的重要工具。证书允许网站利用工具加密网站,并向访问者发送和接收的信息。如果网站的证书无效,则安全工具将无法使用。 这使得公民信息(密码和信用卡号码) 非常容易遭受到黑客的攻击。更重要的是,黑客可以悄悄地引导访问者下载伪装成日常文件的恶意软件,例如重要文件的PDF。 “这就是所谓的‘中间人’攻击,”办公登陆Okta公司的经营网络安全的马克罗杰斯说。 罗杰斯说这个策略已经被犯罪分子和间谍机构用来愚弄互联网用户并早已用于计算机行业。 这种攻击非常复杂,即使用户输入正确的网址,黑客也会劫持访客所看到的内容。然后,黑客可以向访问者发送他们试图访问的网站的欺诈版本。 Netcraft在美国政府网站中发现了80多张过期的安全证书,但该公司并未说黑客实际上利用了易受攻击的网站。 一些过期证书失效已经影响了部分子域名或主网站的分支。目前NASA子域名rockettest.nasa.com已经无法访问,Netcraft表示这是因为证书失效。根据互联网档案馆,该页面是为太空探索机构的火箭推进测试计划而设,该网站的安全证书已于1月5日到期。 美国宇航局没有立即回复评论请求。 网站比以往任何时候都使用安全证书,从而实现加密连接。互联网安全专家和包括谷歌和Mozilla在内的硅谷主要公司的推动使网站所有者获得证书变得更加简单。事实上,欺诈者已经开始加密他们的网站,以便其看起来像是合法的政府网站。 罗杰斯表示,过期证书带来的威胁应该促使立法者和部门负责人更好地为下一次政府关闭做好计划。 “我们都应该问问,我们必须要去保护的有哪些?”罗杰斯说。 “这样当这些问题发生时,犯罪分子就不会有可乘之机。” |
- 关注天气:
