|
|
正如大家所知道的運動使用免費從我們加密證書 灰鴿子下載,遠程控制軟件
一個掛鎖圖標在瀏覽器的地址欄顯示,已經(jīng)建立了一個安全的HTTPS連接與服務器的SSL證書從一個可接受的證書頒發(fā)機構(CA)����。
該組織說撤銷證書不是濫用的答案
1.jpg (52.58 KB, 下載次數(shù): 619)
下載附件
2016-1-7 12:42 上傳
網(wǎng)絡罪犯正在利用免費的數(shù)字證書的組織問題,引發(fā)分歧如何處理這樣的濫用。
周三,趨勢科技在12月21日寫道,它發(fā)現(xiàn)了一個網(wǎng)絡攻擊,被設計用來在電腦上安裝了銀行業(yè)的惡意軟件�����。
網(wǎng)絡罪犯已經(jīng)損害一個合法的網(wǎng)站,建立子區(qū)域,導致服務器控制,寫了約瑟夫·陳,欺詐研究員的趨勢��。
如果一個用戶來到網(wǎng)站,子域將顯示一個惡意廣告,將用戶重定向到網(wǎng)站托管垂釣者開發(fā)工具包,查找軟件漏洞以安裝惡意軟件。
子域名使用SSL / TLS(安全套接字層/傳輸層安全性)證書,加密服務器之間的流量和用戶的計算機�����。
出具的證書加密,一個項目,該項目由ISRG(網(wǎng)絡安全研究小組),由Mozilla,電子前沿基金會,思科和Akamai等��。
加密是第一個大規(guī)模項目發(fā)布免費的數(shù)字證書,廣泛運動的一部分,提高整個網(wǎng)絡的安全��。
陳寫道,趨勢科技一直期待網(wǎng)絡罪犯會得到免費從我們加密證書對自己的惡意目的��。在這種情況下,加密流量的惡意服務器更好的面具網(wǎng)絡罪犯的活動��。
可以取消數(shù)字證書��。然而,加密有政策決定不撤銷證書�����。去年10月,該組織解釋說,認證機構(ca)不具備警察內容����。
但是我們加密檢查與谷歌的安全瀏覽API來看看一個域的一個證書請求已被標記為釣魚或惡意軟件����。
陳不同意這個方法,寫作,“中科院應該愿意取消證書非法政黨已經(jīng)被各種威脅演員������!
Josh Aas,ISRG的執(zhí)行董事,通過電子郵件寫道,雖然證書問題可以重復使用,不太可能網(wǎng)絡罪犯會很遠,因為域正如大家所知道的網(wǎng)站�����。
攻擊者仍然可以生成新的證書為不同的領域,任何CA和這些行動將難以停止,他寫道��。
“中科院不能檢測和響應速度不夠快,”他寫道�����。
在線廣告代理的另一個方法是實現(xiàn)內部控制來阻止惡意廣告,Aas寫道����。
在線廣告行業(yè)已經(jīng)認識到問題惡意廣告,但網(wǎng)絡罪犯使用各種技術來偷偷有害的。 |
|
加載中...
發(fā)表于 2016-1-7 12:43:06
QQ好友和群
收藏
發(fā)表于 2016-1-7 12:43:12