1. 奥巴马宣布成立国家网络安全强化委员会日期:2016-04-14 级别:★★★
今年 2 月,美国总统奥巴马公布了一个网络安全国家行动计划(简称 CNAP),旨在通过一系列长期与短期举措改善美国的网络安全态势。此项计划的一大主要特点在于无党派国家网络安全强化委员会的成立,其将由来自企业、技术及学术界的重要思想领袖组成,并负责提出建议以帮助国家在未来十年内强化公共与私营部门层面的网络安全水平。
奥巴马与国会两党各领导人在今天 (时差美国华盛顿时间 4 月 13 日) 已经选定了委员会的12 位初始成员,他们分别为:
· Tom Donilon,前总统助理及国家安全顾问(主席)
· Sam Palmisano,IBM 公司前任 CEO(副主席)
· General Keith Alexander,IronNet Cybersecurity 公司 CEO,国家安全局前主任及美国网络作战司令部前司令
· Annie Antón,佐治亚理工学院互动计算学院院长兼教授
· Ajay Banga,万事达公司总裁兼 CEO
· Steven Chabinsky,CrowdStrike 公司总顾问兼首席风险官
· Patrick Gallagher,匹兹堡大学校长兼标准与技术研究所前所长
· Peter Lee,微软研究院副总裁
· Herbert Lin,斯坦福国家安全与合作中心网络政策与安全高级研究学者,胡佛研究所合作研究员
· Heather Murren,金融危机调查委员会前任成员兼内华达癌症研究所创始人之一
· Joe Sullivan,Uber 公司首席安全官,Facebook 公司前首席安全官
· Maggie Wilderotter,前线通讯公司执行主席
这 12 位成员将负责向美国联邦政府、 私营部门以及国家整体提供建议与可行性举措, 从而进一步提升当今数字化时代之下的网络安全水平, 且自去年 12 月开始生效。 他们将于明天在美国商务部召开首次公开会议,并与商务部部长 Penny Pritzker、总统国土安全与反恐事务助理 Lisa Monaco 及其他高层人士共同探讨该委员会面临的核心工作。
自执政以来,奥巴马秉持明确态度,即网络安全是美国国家面临的最为重要的挑战之一。
在过去的七年当中,美国政府已经采取全面行动以面向以下三项目标持续推进:
–提升公共与私营部门的网络安全水平。
–阻止、破坏及干预针对美国及其盟友的恶意网络活动。
–有效应对网络事件并处理事后恢复工作。
相关成果包括网络威胁情报整合中心(简称 CTIIC)已经具备初始行动能力;与中国领导人就网络安全达成一系列前所未有的协议与承诺;为联邦政府系统中 81%账户部署强认证机制; 贯彻 2015 年网络安全法案以加强网络安全信息共享能力, 同时提升全国各地网络防御水平。
今年 2 月 9 日,奥巴马指示建立网络安全国家行动计划(简称 CNAP)。这一计划立足于过去七年来的安全工作基础,旨在帮助美国联邦政府探索更为广阔的数字化生态系统,同时引入长期与短期组成部分——包括能够立即实现的工作以及需要耗时数年方能完成的元素。
其目标在于直接切入网络安全挑战的根源,而不仅仅是解决表面症状。
但我们很清楚,这些工作需要投入大量时间并涉及各种变化因素,其具体范畴涵盖政府乃至全社会。正因为如此,奥巴马在 CNAP 之外还同时签署了一项行政命令,要求成立国家网络安全强化委员会。
该委员会的职责是制定详细的建议,从而在未来十年内强化各私营部门的网络安全意识与保护举措,最终实现隐私保护、公众安全保障、经济与国家安全防御以及引导美国民众更好地控制自有数字化资产的目标。
为了确定承担这项任务的具体人选,奥巴马和他的执政团队咨询了来自国家安全、网络安全、企业、技术、学术界以及其它多个领域的领导者们的意见。另外,美国国会两党各从领导层成员中选出一位参与此委员会, 以确保建议能够最终被交付至国家层面并受到广泛支持。
2. Dell 在为 SecureWorks 的首次公开募股做准备日期:2016-04-13 级别:★★★
戴尔为旗下网络安全公司 SecureWorks 发售新股的进程有了新进展,在原本艰难的技术IPO(首次公开募股)市场中,凸显了网络安全的力量。
为了以 670 亿美元的总价格收购 EMC,戴尔正在筹措资金。SecureWorks 在周一宣布,首次公开募股时, 每股价格会在 15.50 美元到 17.50 美元之间, 总的潜力估值约为 14.2 亿美元。
SecureWorks 将在纳斯达克交易所进行交易。
SecureWorks 将是今年的第一个技术 IPO,作为一名网络安全的提供者,这不是偶然情况,因为他们处在一个存在着很多赢家和输家的行业。
Summit Research Partners LLC 的研究分析师 Srini Nandury 说,Proofpoint(PFPT)、Imperva(IMPV)、Cyberark 软件(CYBR)和 Splunk(SPLK)都是新一代的网络安全技术公司,并且都处于有利位置,在短期内表现优异。
他补充说:“我们一般都看好网络安全的行情,因为在接下来的五年中,这都将是一个占主导地位的主题,并且,新奇的技术对于网络安全市场来说尤为重要。”
Nandury 说,与此同时,也有一些失败的竞争者,他们已经逐渐失去市场份额,这正是因为他们没能持续更新自己的技术,而在 Check Point 软件技术有限公司(CHKP)、赛门铁克公司(SYMC)以及瞻博网络公司(JNPR)身上, 我们也看到, 他们的防火墙产品正在失去其吸引力。
Dougherty & Co. LLC 的 Catharine Trebnick 在诸多网络安全公司中,选择了帕洛阿尔托网络公司(PANW)。她的目标价是每股 215 美元,这比周一的 142.87 美元的价格高出 50%。
Trebnick 在一封电子邮件中说,网络安全机构已经与思科(Cisco)和 Checkpoint 系统公司(CKP)建立起了商业联系,她指出,其市场份额在 14%到 16%之间。在 2016 年下半年,帕洛阿尔托能保持 46%的收入增长率,同时营业利润将提高近 18%。
这一行业中的另外一些竞争者,例如 FireEye(FEYE),在今年 1 月以 2 亿美元收购了 iSight公司,2 月份,NetApp(NTAP)公司以 8.7 亿美元的价格收购了 SolidFire。思科也是一名活跃的买家, 它在去年 12 月以 4.525 亿美元的价格购买了 Lancope 公司, 在去年 8 月以 6.35 亿美元的价格收购了 OpenDNS 公司,它还曾在 2013 年以 27 亿美元的价格收购 Sourcefire 公司。
TheStreet 的创始人、Action Alerts PLUS 投资组合经理吉姆•克莱默说:“思科是无可替代的,因为它能为客户提供一应俱全的服务,而其他公司做不到这一点。这是市场中最便宜的科技股票,并且收益良好,应该积极购买。”
Nandury 说,他想知道为什么戴尔选择进行 IPO,而不是出售 SecureWorks,并说,IPO 市场今年的走向是完全未知的。
戴尔在 10 月份宣布,将以 670 亿美元的价格收购 EMC,这也将成为史上数额最大的科技收购协议,他们计划将在 12 月公开发售 SecureWorks 股票。大约五年前,也就是 2011 年,这名 IT 巨头以不明确的价格收购了 SecureWorks,而在仅仅两年后,整个公司被 Silver LakePartners 以 249 亿美元的价格买下,变成私人公司。
美林证券公司(Merrill Lynch)、摩根士丹利(Morgan Stanley)、高盛(Goldman Sachs)和摩根大通(J.P. Morgan)都是 SecureWorks IPO 的承销商。
3. “心脏出血”漏洞可导致密码泄露日期:2016-04-13 级别:★★★
Heartbleed 漏洞(CVE-2014-0160,CNNVD-201404-073)是 OpenSSL 中的一个重大安全漏洞,2014 年 4 月 7 号,由国外黑客曝光。该漏洞可以让攻击者获得服务器上 64K 内存中的数据内容。由于使用 OpenSSL 的源代码的网站数量巨大,因此该漏洞影响十分严重。
OpenSSL 是一个强大的安全套接字层密码库,包括主要的密码算法、常用的密钥和证书封装管理功能及 SSL 协议,并提供丰富的应用程序供测试或其它目的使用。
该漏洞存在于 OpenSSL 中,可以泄露服务器的内存内容,其中包含大量主机托管数据等敏感信息,如用户名、密码和信用卡号码等。另外,攻击者还可以复制服务器的数字密钥,随后伪造服务器或解密通信。
安全人员 RonaldPrins 对雅虎网站进行测试证实, 攻击者可以借助 Heartbleed 漏洞获取用户名和密码。Scott Galloway 发表推文称,运行 5 分钟的 Heartbleed 代码就可以获取 200 对雅虎
邮箱的用户名和密码。
解决方案
雅虎称已在其主网站上修复了该漏洞,其中包括 Yahoo Homepage、Yahoo Search、Yahoo、Mail、Yahoo Finance、Yahoo Sports、Yahoo Food、Yahoo Tech、Flickr 和 Tumblr。另外,其安全团队正在其余网站上实现该修复。但是,雅虎还没有为用户提供相关的安全建议。
加密技术顾问 FilippoValsorda 研发了一种工具,可供用户在网站中检测 Heartbleed 漏洞。
目前已检测到 Google、Microsoft、Twitter、Facebook、Dropbox 等主流网站不受该漏洞影响,而有一些网站如 Imgur、OKCupid 和 Eventbrite 等受该漏洞影响。
根据 OpenSSL 发布的公告, 该漏洞影响 OpenSSL 1.0.1 版本和 1.0.2-beta 版本, 并且已经发布了 1.0.1g 版本修复该漏洞。网络运营商需要升级该软件,并撤销可能已经被攻击者控制的证书。
4. 如何应对伪造的 SSL 证书?日期:2016-04-14 级别:★★
在互联网中,仍存在一个巨大的加密后门,可怕的是大部分人却并不知道。我所指的是传统的数字证书管理系统,它完全是基于信任的,但同时它又是十分脆弱的,其信任认证曾被多次打破。
数十亿的互联网用户为了确保个人数据的机密性和完整性,盲目地依赖于全球的数百个证书颁发机构。
在这篇文章中,我将解释以下问题:当前数字证书管理系统中的结构性漏洞;证书颁发机构为什么失去了人们的信任?证书透明度是如何弥补SSL证书系统中存在的问题的?如何发现所有指向你域名的数字证书(合法或伪造)?
首先,你需要了解证书颁发机构及其作用。
证书颁发机构及其作用
证书颁发机构是一个受信任的第三方组织,负责发布和管理 SSL/TLS 证书。全球有数百个受信任的证书颁发机构,他们中任何一个都有权利为你的域名颁发有效的 SSL 证书,尽管你可能已经从某个证书颁发机构购买了一个。对,这就是 CA 系统中最大的漏洞。
SSL 的信任链破裂去年,谷歌发现赛门铁克(证书颁发机构之一)在 Google 不知情下为 Google 域名颁发了有效期一天的预签证书。
这样的事情已经不是第一次发生了,证书颁发机构的权利被滥用或者是错误地被用于发布伪造的数字证书,这样的举动使数百万互联网用户的隐私处于危险之中。
2011 年 3 月,一名黑客入侵了 Comodo 公司(一个著名的证书颁发机构),偷走了七个 Web域共 9 个数字证书,包括 mail.google.com, addons.mozilla.org 和 login.yahoo.com 等。
在同一年, 荷兰的证书颁发机构 DigiNotar 同样遭到了黑客入侵, 颁发了大量的伪造证书。
由于信任链的破裂,数百万的用户遭到了中间人攻击。
此外,爱德华·斯诺登泄露的文件透露:美国国家安全局截取和破解了大量 HTTPS 加密的 Web 会话,这也表明,某些所谓受信任的证书颁发机构可能受到了政府的控制或者得到了政府的授权。
如果政府要求某些这样的证书颁发机构颁发一些著名网站的伪造 SSL 证书,例如Facebook, Google or Yahoo,那该如何是好?
这并不是一个推测,而是实实在在发生过的。政府机构和一些政府所资助的黑客通过滥用受信任的证书颁发机构来获取伪造的一些知名网站的数字证书,并将其用于监视用户。
涉及到政府的一些案例
1. 2011 年,DigiNotar 证书颁发机构颁发的伪造数字证书被用于攻击约 300000 个伊朗用户的 Gmail 账户。
2. 2013 年末,谷歌发现法国政府伪造了其域名的数字证书,并将其用于实施中间人攻击。
3. 2014 年,谷歌证实了又一事件:印度国家信息中心使用了其域名的未授权数字证书。
到了这你就能明白,那些所谓的证书颁发机构给予 HTTPS 加密网站的安全性有多么脆弱了吧。
你仍然盲目地信任证书颁发机构吗?
DigiNotar 公司和 Comodo 公司的事件为我们敲响了警钟, 也结束了这盲目信任证书颁发机构的时代。
问题: 你如何去检查是否有指向你域名的伪造证书被发行给他人, 甚至是被攻击者所利用?
答案:Certificate Transparency(证书透明度)项目,它的目标是提供一个开放的审计和监控系统,可以让任何域名所有者或者证书颁发机构确定证书是否被错误签发或者被恶意使用,从而提高 HTTPS 网站的安全性。
在2013年, 谷歌发起了一个针对全行业的倡议, 名为Certificate Transparency(证书透明度),这是一个开源项目,用于记录,审计和监控证书颁发机构所颁发的数字证书。
什么是 Certificate Transparency 系统?
Certificate Transparency 项目包括三部分:
1.证书日志
2.证书监视
3.证书审计
Certificate Transparency 项目要求证书颁发机构公开地宣布其颁发的每一个数字证书(将其记录到证书日志中)。
证书日志提供给用户一个查找某个给定域名颁发的所有数字证书的途径。
值得注意的是,Certificate Transparency 模型并没有替代传统的以证书颁发机构为基础的鉴定验证程序,它只是提供给你一个途径,让你可以确保你的证书是独一无二的。
证书日志有 3 个优点:
1.仅允许附加:证书记录只能被添加,而不能被删除,修改,或者追溯地将数据插入日志。
2.加密可靠:证书日志使用知名的“Merkle Tree Hashes”加密机制来防止被篡改。
3.公开审计:任何人都可以查询日志,或者验证颁发的数字证书是否已经被合理地记录在了日志之中。
在 CT 中,每个数字证书都包含一个证书时间戳,它可以证明数字证书在被颁发之前已经被记录到了日志之中。
谷歌,DigiCert,Symantec 和一些证书颁发机构目前管理着这些公开日志。
虽然 CT 不能阻止证书颁发机构颁发伪造的数字证书,但是它可以让我们更容易地发现它们。 CT 将让人们可以快速地识别出被错误地或者恶意地颁发的数字证书, 以此来缓解可能会出现的安全问题,例如中间人攻击。今年早些时候,Certificate Transparency 系统和监控服务
帮助 facebook 安全团队提前检测到了多个 fb.com 子域的伪造证书。
在另一篇文章中,我详细介绍了 facebook 所提供的 Certificate Transparency 监控服务,它可以自动而快捷地发现 SSL 证书的问题。
facebook 已 经 向 The Hacker News (THN) 证 实 , 在 未 来 几 个 月 会 把 试 验 性 的Certificate Transparency 监控服务免费提供给更多的社区。
Certificate Transparency 搜索工具
Comodo 已经推出了一款 Certificate Transparency 搜索工具,它可以列出给定域名所有颁发的证书。或者,你也可以去试试谷歌的 Certificate Transparency 查询工具,它可以在目前公开
的 Certificate Transparency 日志中查询任意一个给定的域名的所有颁发证书。
如果你发现有指向你域名的伪造证书,请立即报告给相应的证书颁发机构解决。
,