近日科學家們對提供安全網站認證标志的十家知名安全服務商的認證服務進行了深入研究後發現,安全網站認證服務存在普遍的嚴重缺陷。
所謂網站安全認證服務,就是安全服務商每日針對網站/外圍網絡的漏洞進行測試、查找、通路和管理漏洞的安全掃描,并根據一系列标準提供安全修複方案,為值得信賴的網站 提供安全認證标志。
有些知名的網站安全認證如還會和搜尋引擎合作,為有網站安全 認證标志的網站提供綠色安全圖示,確定通路者對網站的信心。
目前國外比較知名的提供網站安全認證服務的企業包括賽門鐵克、mcafee、trust-guard、qualys等安全廠商,獲得“安全網站”認證标志的收費标準通常在100-2000美元之間。
我們在電商、金融、資訊類網站上常見這些安全認證标志(小盾牌、小鎖之類的圖案),這也許能給消費者帶來一些安全感,但是,獲得這些安全認證服務的 網站真的就不會(容易)被黑嗎?事實恰恰相反,近日國外科技網站theregister和arstechnica先後撰文指出,網站安全認證标志并不能 “辟邪”,反而更容易被黑客攻破。
近日科學家們對提供安全網站認證标志的十家知名安全服務商的認證服務(下圖)進行了深入研究後發現,安全網站認證服務存在普遍的嚴重缺陷。
在一份《揭秘第三方安全認證标志生态系統》請登入下載下傳的報告中,科學家們指出目前的安全網站認證服務的缺陷主要表現為以下兩方面:
首先,安全認證服務的漏洞掃描不靠譜。科學家們實測發現安全認證服務的掃描器無法發現很多嚴重的安全漏洞。
在另外一組試驗中,研究者架設了一個包含12個已知漏洞(例如sql注入、csrf、xss等),然後購買了8家安全網站認證廠商的服務,其中表現 最佳的安全認證服務也會漏掉超過一半的已知網站安全漏洞,很多安全認證服務的漏洞掃描甚至連virus total這樣的公開庫中的惡意軟體都無法識别。
其次,安全認證網站更容易遭黑。科學家們發現獲得安全網站認證标志的網站,黑客隻需不到一天時間就可找到漏洞,更加讓人震驚的是,研究者發現由于有了安全網站認證标志的存在,攻擊者反而更容易鎖定安全漏洞,換而言之,“安全網站”更容易遭受黑。這要“感謝”安全認證廠商給黑客的提示。
因為當一家獲得過安全認證标志的網站因漏洞太多未能通過最新的檢測,或者合同到期後,安全認證服務商不會把安全網站認證從客戶網站上拿掉,而是采取 改變認證标志尺寸或對标志做透明化處理,當黑客覺察到一家網站存在“隐形”安全标志,或者安全認證标志有異樣時,基本可以确定這家網站一定存在很多容易得 手的漏洞。
此外,黑客還可以架設實驗網站,購買多家安全認證服務,然後采用同樣的安全檢測方法去掃描那些安全标志有異常的網站,進而快速确定目标網站的漏洞和攻擊優先級。