Internet Technologies - Computer Science for Business Leaders 2016
Minden webszalag látta őket. Azok az "érvénytelen tanúsítvány" figyelmeztetések, amelyeket néha akkor kap, amikor megpróbálsz meglátogatni egy biztonságos webhelyet.
Azt mondják, hogy "Probléma van a webhely biztonsági tanúsítványával." Ha olyanok vagyunk, mint a legtöbb ember, akkor bizonytalanul érzed magad, és - a Carnegie Mellon Egyetem kutatóinak új könyve szerint - jó eséllyel figyelmen kívül hagyhatja a figyelmeztetést, és bárhogy is kattinthat.
a kutatók azt találták, hogy a résztvevők 55 százaléka és 100 százaléka figyelmen kívül hagyta a tanúsítvány biztonsági figyelmeztetéseit, attól függően, hogy melyik böngészőt használták (különböző böngészők különböző nyelvet használnak, hogy figyelmeztessék a felhasználókat)
[További olvasmány: a Windows PC-jét]"Mindenki tudta, hogy probléma van ezekkel a figyelmeztetésekkel" - mondta Joshua Sunshine, a Carnegie Mellon posztgraduális hallgató és az egyik papír társszerzője. "Tanulmányunk drámai módon megmutatta, milyen nagy a probléma."
Ez nem jó hír. Gyakran előfordul, hogy a figyelmeztetések egy technikai probléma miatt felbukkannak a webhelyen, de azt is jelenthetik, hogy a webes szörfös valamilyen módon átirányított egy hamis weboldalra. A biztonságos weboldalak URL-jei "https" -al kezdődnek.
A kutatók először több mint 400 webes szörfös felmérést végeztek, hogy megtudják, mit gondolnak a tanúsítványra vonatkozó figyelmeztetésekkel kapcsolatban. Aztán 100 embert vezettek be egy laborba, és tanulmányozták, hogyan szaladnak az interneten.
Azt találták, hogy az emberek sokszor megértették a tanúsítványok figyelmeztetéseit. Például sokan úgy gondolják, hogy figyelmen kívül hagyhatják az üzenetet, amikor meglátogatnak egy webhelyet, amelyben megbízik, de hogy kevésbé megbízható webhelyekről legyen szó.
"Ez egyfajta hátrányos megértés, amit ezek az üzenetek jelentenek" - mondta Sunshine. "Az üzenet ellenőrzi, hogy Ön meglátogatta-e az Ön által látogatott webhelyet, nem pedig, hogy a webhely megbízható."
Ha egy banki webhely egy üzenetet jelenít meg, hogy a biztonsági tanúsítvány érvénytelen, akkor ez egy nagyon rossz jel, mondják a biztonsági szakértők. Ez azt jelentheti, hogy a webszirénát egy úgynevezett "ember-in-the-middle" támadásnak vetik alá. Ebben a típusú támadásban a bűnöző beilleszti magát a webes szörfös és az általa látogatott oldal között, az információk ellopásának reményében.
Biztonsági szakértők már régóta tudják, hogy ezek a biztonsági figyelmeztetések hatástalanok - mondta Jeremiah Grossman, Web biztonsági tanácsadás White Hat Security. Ez azért van, mert a felhasználók "tényleg nem tudják, mit jelentenek a biztonsági kockázatok" - mondta azonnali üzenetben. "Szóval veszik a játékot."
A Firefox 3 böngészőben a Mozilla egyszerűbb nyelvet és jobb figyelmeztetéseket próbált használni a rossz tanúsítványokra vonatkozóan. A böngésző pedig nehezebb figyelmen kívül hagyni a rossz tanúsítványt. A Carnegie Mellon laboratóriumában a Firefox 3 felhasználók a legkevésbé valószínűleg átkattintottak a figyelmeztetés megjelenése után.
A kutatók több újratervezett biztonsági figyelmeztetést kíséreltek meg, amelyeket maguk írtak, és amelyek még hatékonyabbnak tűntek. Azt tervezik, hogy beszámolnak a megállapításairól a Usenix Security Symposiumban, Montrealban, augusztus 14-én.
Mégis, Sunshine úgy véli, hogy a jobb figyelmeztetések csak annyit segítenek. A figyelmeztetések helyett a böngészők olyan rendszereket használhatnak, amelyek elemezhetik a hibaüzeneteket. "Ha ezek a rendszerek úgy döntenek, hogy ez valószínűleg támadás, mindössze blokkolják a felhasználót" - mondta.
Még akkor is, ha olyan fontos weboldalakat látogat, mint a bankok, "az emberek még mindig drasztikusan figyelmen kívül hagyják a figyelmeztetéseket.
A NIST iránymutatásai A július 31-én kiadott, polgári ügynökségekhez tartozó nem minősített adatok esetében a szövetségi informatikai rendszereket a legmagasabb biztonsági követelményeknek megfelelően hagyta el, mondta a Cyber Secure Institute. Az alacsony vagy mérsékelt hatású szövetségi rendszerek szerint a biztonsági ellenőrzések nem alkalmasak arra, hogy felkészüljenek a képzett és jól finanszírozott hackerekre, a csoport a héten közzétett kritikában elmondta.
"Az úgynevezett high-end fenyegetések most a norma nem a kivétel - jelentette CSI a jelentésében. "A szövetségi és a magánszektor informatikai szakemberei egyre inkább azt állítják, hogy a támadások, amelyekkel rendszeresen szembesülnek, magasan képzett, motivált és jól képzett szereplők - az orosz mobtól a kínai hadseregig és a szervezett cyber-bűnözőkig terjednek.
Az indiai kormány megkönnyíti a levelek és egyéb adatok Skype- A BlackBerry és a Gmail beszámolók szerint a kormány felkérte a kormányt, hogy küldjön értesítést a Skype és a Research In Motion (RIM) számára annak biztosítására, hogy e-mailjeik és egyéb adatszolgáltatásai megfeleljenek olyan formátumoknak, amelyek a biztonsági és hírszerző ügynökségek szerint két indiai újságban jelentettek szerint.
A Skype és a BlackBerry szolgáltatás tiltást szenved Indiában, ha nem felelnek meg 15 napon belül, a The Economic Times és a The Hindu Üzleti vonal. Hasonló értesítést küldünk a Google-nak, kérve, hogy olvasható formában hozzáférjen a Gmail tartalmához.
Biztonsági tanúsítványok megtekintése és ellenőrzése a Chrome böngészőben
A Google Chrome böngésző a webhely SSL-tanúsítványának részleteit áthelyezte a fejlesztői eszközökhöz. Megtudhatja, hogyan jelenítheti meg, ellenőrizheti és megtekintheti a biztonsági tanúsítványokat