觀點

多家憑證機構遭駭 網路釣魚威脅升高

2012 / 02 / 06
吳依恂
多家憑證機構遭駭 網路釣魚威脅升高

2011年,曾入侵憑證機構Comodo的伊朗駭客ComodoHacker公開表示,他還曾成功入侵過其他4家憑證機構,包括DigiNotar、StartCom與GlobalSign等。大家也暗自揣測還有哪些機構也遭殃。而最近又傳出了相關新聞,根據外電報導,在VeriSign向美國證券交易委員會(SEC)繳交的文件當中,VeriSign曾於2010年多次遭駭的新聞終於曝光,該文件提及VeriSign的安全部門隱蔽資安事件,甚至「悄悄私了」並未向當時的技術長呈報,文件中亦未提及遭駭或後續處理事宜。

一般憑證的運用,最常用到的就是Https/SSL連線的驗證,還有檔案的數位簽章安全。憑證若是被盜,可以被用做很多用途,因此防護也得從多個地方下手,但一般企業是很難察覺的。資安專家蔡松廷說,憑證基本上是一種信任架構和機制,既然已經相信,就很難抓到它有問題,每個人都要有人來擔保「他是好的」,所以這種信任關係是一層一層疊上去,因此總會有最上面那個人,沒人可以擔保,因此大家必須預設信任。VeriSign便是處於一個上層的地位,因此影響層面會更大。

然而,憑證機構被駭,真正的受害者並非企業,而是一般使用者。駐站專家Zero說,通常CA被駭會造成憑證被盜發,通常會被不法之徒拿來做為網路釣魚之用。既然已經掌握假憑證,想做壞事不用再花工夫去打銀行網站,只要弄個假網站,申請一個類似的網域名稱,而一般使用者又去信任假憑證,就會相信該站台是真的,如此一來,例如消費者在網路上進行線上交易,其信用卡號也可以「合法的」被壞人收作己用。Zero說,根據伊朗駭客ComodoHacker的聲明,已知曾遭殃的機構有Comodo、DigiNotar、GlobalSign、Starcom、VeriSign。蔡松廷表示,目前雖然尚未發現VeriSign的假憑證,不過也可能被駭客拿來用作日後的目標式攻擊。

當你發現該憑證公司已遭盜發時,建議應先將目前使用的憑證更新,Zero說,發生這種事情後,合理的處理方式是憑證機構會將自己發出去的舊憑證都抹除掉,然後將新憑證透過如微軟根憑證更新的方式派送出來。並且,消費者也應該確認自己交易的網站是該網站真正的全域名稱(FQDN, Fully Qualified Domain Name),當然,也可以求助於客服人員的幫助,避免受到網站釣魚。