近日科学家们对提供安全网站认证标志的十家知名安全服务商的认证服务进行了深入研究后发现,安全网站认证服务存在普遍的严重缺陷。
所谓网站安全认证服务,就是安全服务商每日针对网站/外围网络的漏洞进行测试、查找、访问和管理漏洞的安全扫描,并根据一系列标准提供安全修复方案,为值得信赖的网站 提供安全认证标志。
有些知名的网站安全认证如还会和搜索引擎合作,为有网站安全 认证标志的网站提供绿色安全图标,确保访问者对网站的信心。
目前国外比较知名的提供网站安全认证服务的企业包括赛门铁克、McAfee、Trust-Guard、Qualys等安全厂商,获得“安全网站”认证标志的收费标准通常在100-2000美元之间。
我们在电商、金融、资讯类网站上常见这些安全认证标志(小盾牌、小锁之类的图案),这也许能给消费者带来一些安全感,但是,获得这些安全认证服务的 网站真的就不会(容易)被黑吗?事实恰恰相反,近日国外科技网站TheRegister和Arstechnica先后撰文指出,网站安全认证标志并不能 “辟邪”,反而更容易被黑客攻破。
近日科学家们对提供安全网站认证标志的十家知名安全服务商的认证服务(下图)进行了深入研究后发现,安全网站认证服务存在普遍的严重缺陷。
在一份《揭秘第三方安全认证标志生态系统》请登录下载的报告中,科学家们指出目前的安全网站认证服务的缺陷主要表现为以下两方面:
首先,安全认证服务的漏洞扫描不靠谱。科学家们实测发现安全认证服务的扫描器无法发现很多严重的安全漏洞。
在另外一组试验中,研究者架设了一个包含12个已知漏洞(例如SQL注入、CSRF、XSS等),然后购买了8家安全网站认证厂商的服务,其中表现 最佳的安全认证服务也会漏掉超过一半的已知网站安全漏洞,很多安全认证服务的漏洞扫描甚至连Virus Total这样的公开库中的恶意软件都无法识别。
其次,安全认证网站更容易遭黑。科学家们发现获得安全网站认证标志的网站,黑客只需不到一天时间就可找到漏洞,更加让人震惊的是,研究者发现由于有了安全网站认证标志的存在,攻击者反而更容易锁定安全漏洞,换而言之,“安全网站”更容易遭受黑。这要“感谢”安全认证厂商给黑客的提示。
因为当一家获得过安全认证标志的网站因漏洞太多未能通过最新的检测,或者合同到期后,安全认证服务商不会把安全网站认证从客户网站上拿掉,而是采取 改变认证标志尺寸或对标志做透明化处理,当黑客觉察到一家网站存在“隐形”安全标志,或者安全认证标志有异样时,基本可以确定这家网站一定存在很多容易得 手的漏洞。
此外,黑客还可以架设实验网站,购买多家安全认证服务,然后采用同样的安全检测方法去扫描那些安全标志有异常的网站,从而快速确定目标网站的漏洞和攻击优先级。
