2011最嚴重的VPN攻擊:他們的VPN安全怎么了?
2011最嚴重的VPN攻擊
1.Gucci:前Gucci網絡工程師創建了一個假員工賬號來訪問和控制公司電腦系統,他切斷了Gucci服務器上郵件和文件的通道,Gucci因停產和修復還原的損失超過20萬美金。
2.DigiNotar:黑客入侵數字證書授權系統,分發超過500個欺騙性數字證書給頂級互聯網公司,如谷歌,Mozilla和Skype。這次黑客攻擊發生在六月初,但是DigiNotar直到7月中旬才發現。該公司在9月申請破產。
3.Comodo:黑客分發欺騙性SSL證書給7個網頁域名,包括谷歌,雅虎和Skype。
4.花旗集團:黑客訪問了36萬多個賬號信息,查閱客戶聯系信息和交易歷史,直接了曝光他們網站的安全漏洞。
這4次VPN攻擊中的2次——DigiNotar和Comodo是由SSLVPN安全漏洞引起的。“SSLVPN使用因特網瀏覽器作為客戶端,而IPsecVPN使用專用客戶端,但是每個瀏覽器都有它自身的安全缺陷。”美國NCP工程公司首席技術官RainerEnders解釋道,這意味著SSLVPN的客戶端天生比較脆弱。黑客可以發掘這些瀏覽器的弱點,偽造一張CA證書。CA證書是通過“SSLVPN握手”來核實信息的。
Enders說:“這些安全攻擊對SSL認證過程的完整性提出質疑——所有這些證書授權實體并沒有很好的組織和控制。
除了使用欺騙的數字證書外,黑客還利用了DigiNotar缺少高級口令,脆弱的防毒保護和軟件過期的弱點。
攻擊花旗集團的黑客沒有偽造一張證書,而是在銀行的IPsecVPN中發現了一個授權不完善的漏洞。通過首次登陸到信用卡客戶的網頁,黑客可以入侵花旗集團的防御系統。一旦進入,通過在瀏覽器地址欄的文本字符串中輸入不同賬號,黑客就能訪問不同花旗客戶賬號。黑客的編碼系統自動重復這樣的操作成千上萬次以捕捉個人數據。
Enders說:“然而,Gucci網絡受到攻擊并不是因為VPN內在安全缺陷,這次是源于VPN的簡陋部署。”
預防VPN攻擊
Enders表示:“沒有‘仙丹靈藥’可以防止VPN攻擊。任何類型的VPN都會受到內部人士或社會工程師的攻擊,黑客發郵件或打電話給員工,騙取他們共享證書。然而,身份管理系統可以解決由單一網絡工程師完全控制整個網絡帶來的問題。在很多我們接觸到的案例中,雖然網絡工程師被解雇了,但是他們仍能完全控制整個網絡。如果Gucci網絡的可管理的IPsecVPN和身份管理系統綁定,管理用戶權限分配,就可以避免問題。”
最近VPN攻擊暴露出來的缺陷證明IPsecVPN要比SSLVPN更安全。應對當今VPN攻擊最有力的保障是擁有一套策略,它不僅涵蓋先進的技術,而且有關鍵安全策略和對終端用戶的正當引導。
Enders總結道:“部署IPsec,再將可管理客戶端,可管理客戶端防火墻和集成管理VPN系統捆綁到你的身份管理系統,這樣就可以做到真正全面的安全保障。”
【編輯推薦】
