3 Ιαν 2012

Χάκινγκ σε Certificate SSL, πλήγμα στην ασφάλεια του 2011


Οι εισβολές σε παρόχους πιστοποιητικών SSL και μάλιστα ιδιαίτερα γνωστών και οι απειλές από malware με την κατάχρηση πιστοποιητικών SSL ήταν σημαντικά θέματα το 2011. Οδήγησαν στην λήψη μέτρων ασφαλείας από τις αρμόδιες Αρχές πιστοποίησης SSL (Certificate Authority, CA) και τους ιδιοκτήτες ιστοσελίδων για προστασία των ίδιων αλλά και των πελατών τους.


Η εκτεταμένη δημοσιότητα κι η δημόσια οργή σχετικά με παραβιάσεις πιστοποιητικών SSL, όπως συνέβη με την έκδοση ψευδών πιστοποιητικών από την Ολλανδική αρχή DigiNotar και την αμερικανική Comodo έφτασαν σε ιδιαίτερα υψηλά επίπεδα το 2011. 

Οι απειλές κακόβουλου λογισμικού προέρχονταν κυρίως από πηγές που χρησιμοποιούσαν Πιστοποιητικά SSL και τα οποία εν συνεχεία εκλάπησαν από κυβερνο-εγκληματίες. 

Αυτή η κατάσταση οδήγησε επιχειρήσεις και καταναλωτές στην απαίτηση καλύτερων επιπέδων ασφάλειας SSL, πιέζοντας τις Αρχές Πιστοποίησης και τους ιδιοκτήτες ιστοσελίδων στην αύξηση της προστασίας από παραπλάνηση, κακόβουλο λογισμικό και κακόβουλης διαφήμισης. 

Η δημοτικότητα των φορητών συσκευών και ο πολλαπλασιασμός των υπηρεσιών cloud ενδοεταιρικά όξυνε περαιτέρω τα πιθανά ευάλωτα σημεία και κατέδειξε την αυξημένη ανάγκη για αξιόπιστο, ισχυρό authentication. 

Οι λύσεις λύσεις SSL authentication για εφαρμογές φορητών συσκευών και σε περιβάλλον cloud άρχισαν να αποκτούν επίσης μεγαλύτερη δημοτικότητα, δεδομένου ότι αυξήθηκε και η ενημέρωση των καταναλωτών σχετικά με την ασφάλεια των δικών τους online συναλλαγών. 

Όλα τα παραπάνω, τροφοδότησαν συζητήσεις για τον μεγάλο αριθμό των οργανισμών που εκδίδουν πιστοποιητικά SSL χωρίς να διαθέτουν την απαιτούμενη ασφάλεια για να τα υποστηρίξουν. 

Ένα άλλο θέμα που κυριάρχησε το 2011 ήταν το αν οι παραβιάσεις πιστοποιητικών SSL σηματοδότησαν την επερχόμενη παρακμή των τεχνολογιών SSL, ή ακόμη και την ίδια την εμπιστοσύνη στις online συναλλαγές. 

Τα δεδομένα δείχνουν ότι και οι δύο εικασίες είναι υπερβολικές. 

Η τεχνολογία SSL δεν ήταν ο αδύναμος κρίκος στο DigiNotar, ούτε και σε παρόμοιες παραβιάσεις: αντίθετα, οι επιθέσεις αυτές κατέδειξαν την ανάγκη των εταιρειών να ενδυναμώσουν τις υποδομές ασφαλείας και να ενισχύσουν την αντίληψη ότι οι Αρχές Πιστοποίησης πρέπει να εφαρμόσουν πρότυπα για μεγαλύτερη ασφάλεια των επιχειρηματικών λειτουργιών και των διαδικασιών authentication. 

Επιπλέον, αν η εμπιστοσύνη στις online συναλλαγές είχε χαθεί, κανείς δε θα χρησιμοποιούσε το διαδίκτυο, σενάριο το οποίο προφανώς δεν επαληθεύεται.

Πηγή: http://tech.in.gr