|
|
正如大家所知道的运动使用免费从我们加密证书 灰鸽子下载,远程控制软件
一个挂锁图标在浏览器的地址栏显示,已经建立了一个安全的HTTPS连接与服务器的SSL证书从一个可接受的证书颁发机构(CA)。
该组织说撤销证书不是滥用的答案
网络罪犯正在利用免费的数字证书的组织问题,引发分歧如何处理这样的滥用。
周三,趋势科技在12月21日写道,它发现了一个网络攻击,被设计用来在电脑上安装了银行业的恶意软件。
网络罪犯已经损害一个合法的网站,建立子区域,导致服务器控制,写了约瑟夫·陈,欺诈研究员的趋势。
如果一个用户来到网站,子域将显示一个恶意广告,将用户重定向到网站托管垂钓者开发工具包,查找软件漏洞以安装恶意软件。
子域名使用SSL / TLS(安全套接字层/传输层安全性)证书,加密服务器之间的流量和用户的计算机。
出具的证书加密,一个项目,该项目由ISRG(网络安全研究小组),由Mozilla,电子前沿基金会,思科和Akamai等。
加密是第一个大规模项目发布免费的数字证书,广泛运动的一部分,提高整个网络的安全。
陈写道,趋势科技一直期待网络罪犯会得到免费从我们加密证书对自己的恶意目的。在这种情况下,加密流量的恶意服务器更好的面具网络罪犯的活动。
可以取消数字证书。然而,加密有政策决定不撤销证书。去年10月,该组织解释说,认证机构(ca)不具备警察内容。
但是我们加密检查与谷歌的安全浏览API来看看一个域的一个证书请求已被标记为钓鱼或恶意软件。
陈不同意这个方法,写作,“中科院应该愿意取消证书非法政党已经被各种威胁演员。”
Josh Aas,ISRG的执行董事,通过电子邮件写道,虽然证书问题可以重复使用,不太可能网络罪犯会很远,因为域正如大家所知道的网站。
攻击者仍然可以生成新的证书为不同的领域,任何CA和这些行动将难以停止,他写道。
“中科院不能检测和响应速度不够快,”他写道。
在线广告代理的另一个方法是实现内部控制来阻止恶意广告,Aas写道。
在线广告行业已经认识到问题恶意广告,但网络罪犯使用各种技术来偷偷有害的。 |
|
加载中...
发表于 2016-1-7 12:43:06
发表于 2016-1-7 12:43:12