2月6日消息 上周路透社披露Versign在2011年10月發(fā)給美國證卷交易委員會(Securities and Exchange Commission)的報(bào)告中承認(rèn)其在2010年遭到不止一次的安全攻擊。
Verisign在2010年遭到數(shù)次數(shù)據(jù)盜竊的安全攻擊,但它并未說明什么數(shù)據(jù)被盜,只是宣稱公司支持的DNS網(wǎng)絡(luò)并未受到影響。至于被竊取的信息是否會危及Verisign的客戶,鑒于Verisign一直對此事保持沉默,只是說它并不知道被竊的數(shù)據(jù)是否已經(jīng)被利用,這些都不確定。
Verisign遭到攻擊意味著什么?
Verisign控制著互聯(lián)網(wǎng)13個(gè)根DNS服務(wù)器,所以,最糟的情況是,如果它們被攻破并感染了其他服務(wù)器,這將使網(wǎng)絡(luò)用戶無法鍵入U(xiǎn)RL和訪問網(wǎng)頁。
此外,Verisign還發(fā)布SSL數(shù)據(jù)證書以保證互聯(lián)網(wǎng)用戶在確保安全連接的情況下能夠訪問其目標(biāo)服務(wù)器。如果系統(tǒng)被攻破,罪犯能夠使用假證書偽裝成合法的網(wǎng)站竊取受害者的個(gè)人信息。
去年證書機(jī)構(gòu)Comodo和DigiNotar也發(fā)生了類似的事件,而且直接導(dǎo)致了NigiNotar的破產(chǎn)。那么,該事件是否會使Versign遭遇相似的結(jié)果?Verisign公司曾告訴SEC:“如果我們遭到安全攻擊,我們將面臨負(fù)債,并且我們的信譽(yù)和業(yè)務(wù)也將面臨危機(jī)。”
如此重要的事件,2010年遭到攻擊為何現(xiàn)在才被披露?
攻擊發(fā)生的準(zhǔn)確時(shí)間是在2010年8月9日,也就是賽門鐵克收購Verisign部分業(yè)務(wù)之前。賽門鐵克表示攻擊在其收購這些資產(chǎn)后,并未發(fā)生攻擊。
而Verisign直至2011年的秋季才向美國證卷交易委員會(SEC)報(bào)告此事。美國證卷交易委員會新規(guī)定中要求上市公司需要報(bào)告此類遭到攻擊的事件,新規(guī)定在2011年10月生效。Verisign對此的解釋是知道此事的員工直到2011年9月才向其上級主管報(bào)告此事,Verisign稱“此次攻擊事件并沒有充分的報(bào)告給公司的管理層”。
而路透社由于正在調(diào)查新規(guī)定要求什么樣的文件需要提交,才牽出該事件。
美國SEC對于多嚴(yán)重的攻擊事件需要向SEC報(bào)告這一問題并沒有詳細(xì)的說明,但上面寫著“如果這些事件包含會導(dǎo)致公司投資風(fēng)險(xiǎn)的非常關(guān)鍵的要素,注冊人應(yīng)該報(bào)告其網(wǎng)絡(luò)攻擊事件的危險(xiǎn)”。
證交會的指導(dǎo)方針很長但包括“…如果網(wǎng)絡(luò)攻擊竊取了相關(guān)知識產(chǎn)權(quán),并且被竊的效果類似于物質(zhì)性的失竊,那么注冊人應(yīng)該說明被竊的財(cái)產(chǎn)及其給運(yùn)營、流動(dòng)資產(chǎn)和財(cái)務(wù)狀況帶來的影響,以及攻擊是否會導(dǎo)致被報(bào)道的財(cái)務(wù)信息不會成為未來經(jīng)營業(yè)績或財(cái)務(wù)狀況的指標(biāo)。”
Verisign采取了什么樣的安全措施?
根據(jù)其向SEC遞交的文件,公司“需要投入一定的時(shí)間和金錢來威脅或提升其設(shè)備和基礎(chǔ)設(shè)施的安全性”。即便如此,該公司或?qū)⒊蔀槠渌舻臓奚罚驹谠撐募袑懙剑?ldquo;很有可能我們還需要投入額外的金融和其他資源用于解決這些問題”。
而Verisign的用戶或許還被蒙在鼓里。至于Verisign的用戶應(yīng)該采取什么樣的措施來保證安全?目前主要有兩種情況:相信Verisign一旦發(fā)現(xiàn)存在嚴(yán)重的問題一定會告知他們的用戶目前并沒有采取任何行動(dòng);而另外的用戶則做了最壞打算并棄用了Verisign。由于不知道具體什么樣的信息遭到竊取,因此沒辦法確定什么是最好的解決辦法。或許比起公司告知媒體的信息,如果直接問Verisign會從他們那獲得更多信息,正如RSA去年遭到攻擊的時(shí)候也是如此。
賽門鐵克官方博客發(fā)聲明:賽門鐵克并未被攻擊
鑒于Verisign公司只是表示其遭受的攻擊并未影響其DNS網(wǎng)絡(luò),且攻擊發(fā)生在賽門鐵克收購Verisign部分業(yè)務(wù)之前。
賽門鐵克也對Verisign遭到攻擊的事件發(fā)表了聲明:“賽門鐵克非常重視其解決方案的安全及功能。賽門鐵克收購的可信性服務(wù)(SSL)、用戶認(rèn)證(VIP, PKI, FDS)和其他的產(chǎn)品系統(tǒng)并未因Verisign在給SEC提交的季報(bào)中提及的網(wǎng)絡(luò)攻擊事件而收到攻擊損害。”(http://www.symantec.com/connect/blogs/verisign-inc-breach-update-symantec-not-compromised)
的確,很多人將Verisign遭到的攻擊與其被賽門鐵克收購的SSL身份認(rèn)證品牌聯(lián)系在一起,因此質(zhì)疑該產(chǎn)品的安全性。但是賽門鐵克的這一聲明,無疑給SSL的用戶吃下一顆定心丸。
推薦閱讀
Groupon已收購美國電商數(shù)據(jù)分析目標(biāo)公司Adku
Groupon收購Adku的價(jià)格超過1000萬美元。雖然AdkuCEO艾吉特·瓦爾瑪(AjitVarma)與公司6人團(tuán)隊(duì)中的幾人為前谷歌員工,但是此次收購并非是單純?nèi)瞬攀召彛侨瞬偶蛹夹g(shù)收購。 北京時(shí)間2月7日早間消息,團(tuán)購網(wǎng)站Groupon>>>詳細(xì)閱讀
本文標(biāo)題:Verisign遭到攻擊 SSL并未受影響
地址:http://www.sdlzkt.com/a/guandian/yejie/20111230/168026.html
網(wǎng)友點(diǎn)評
精彩導(dǎo)讀
科技快報(bào)
品牌展示