分类
网络新闻

伊朗骇客:Comodo凭证被盗事件是我干的

一位署名Janam Fadaye Rahbar的伊朗骇客在网路上张贴一篇宣告,一方面详细解说证实自己是盗用Comodo凭证的骇客,另一方面提醒世人应注意Stuxnet蠕虫、HAARP,及Echelon通讯监视系统。该名骇客强调整个Comodo凭证破解事件仅是个人所为,并宣称自己的经验胜于上千名骇客。

 

他利用反组译后找到的Comodo执行长与资料库帐密取得Comodo的API使用权,并自行撰写程序取代InstantSSL.it的程序,向Comodo取得九个网站的认证资料。

 

Comodo执行长上周曾对媒体宣称,虽然缺乏证据,但攻击的IP源自伊朗,手法涉及DNS等网络基础协定与设施,他认为整个事件是伊朗政府为窃听政治对手的其中一环。

 

该名骇客强调整个Comodo凭证破解事件仅是个人所为,并宣称自己的经验胜于上千名骇客。他表示,原本尝试破坏Verisign、Thawthe或Comodo等认证机构,虽然发现部分服务器的小漏洞,可是缺乏认证而无法进行。随后他发现Comodo在义大利有GlobalTrust.it和InstantSSL.it两个合作伙伴,其中InstantSSL.it透过一个DLL档案向Comodo申请认证。

 

他发现该DLL程序使用C#语言撰写而成,反组译后找到Comodo执行长与资料库的帐号与密码。他利用这些帐密取得Comodo的API使用权,并自行撰写程序取代InstantSSL.it的程序,向Comodo取得九个网站的认证资料。

 

骇客似乎是有政治意图,尤其是针对美国及以色列。他抱怨世界不重视Stuxnet蠕虫、HAARP及Echelon通讯监视系统等美国、以色列所发起的计画,并宣称:”只要我还活着,就不允许任何人在伊朗境内伤害伊朗人民、我国的核子科学家、领导人士、总统。”

 

骇客所提到的Stuxnet蠕虫锁定伊朗境内的五大组织,攻击时间最早可追溯到2009年6月,除了伊朗外,Stuxnet灾情较为严重的国家还包括印度尼西亚、印度、亚塞拜然、巴基斯坦,及马来西亚等,但伊朗感染数量占全球60%。

 

HAARP高频主动式极光研究计划目的则是分析电离层及研究电离层的发展潜力以增强无线电通讯技术达到监视的目的(如导弹检测),但网路传言该计画其实是美军的地震、气象武器。Echelon通讯监视系统被认为可以监听全球所有的有线、无线、数位、类比通讯。

 

骇客认为此次事件中微软、Mozilla、Google等,是受到中央情报局命令才如此迅速释出修补程序。反观Stuxnet蠕虫则耗时两年才修补。他宣称会以隐密的手法再度破解伊朗的SSL、RSA认证,并表示能够破解RSA 2048,暗示能够监视VPN、TOR、无 界浏览器等加密或保护的网路通讯,并恐吓任何从事”肮脏”网路事业的人应该尽快离职,并倾听伊朗大众的声音。(编译/沈经@ITHome)

分类
网络新闻

VeriSign代码签名保护Windows phone应用程序

微软(Microsoft)公司选择全球备受信任的互联网基础设施提供商威瑞信(VeriSign)公司为Windows® Marketplace for Mobile 发布的应用程序提供代码签名服务。

 

微软凭借威瑞信(VeriSign)代码签名服务来保护为 Windows® phone开发的应用程序。每个带有威瑞信(VeriSign)代码签名证书的手机应用程序,表明该应用程序来自可信赖的发行者。通过威瑞信(VeriSign) 独立验证的数字签名,代码签名证书被用作为该下载应用程序的虚拟“保护膜”。 数字签名失效即表示应用程序已被篡改或修改,从而保护用户免受黑客或恶意代码攻击。

 

微软独立软件开方商和开发人员体验总监 Jason Lim表示:“代码签名遵循软件开发的最佳实践,有助于确保所有 Windows phone应用程序的安装和运行权限正确,并且不会限制特性或功能。我们之所以使用威瑞信(VeriSign)代码签名证书来保护应用程序,是因为只有威瑞信(VeriSign)能够为快速增长的应用程序存储提供所需要的强健度和规模。这个世界一流的、可定制的代码签名解决方案可以保护我们对 Windows Marketplace for Mobile的 投资,并使我们有更多的方式来控制 Windows phone体验的完整性和质量。”

 

Windows Marketplace 让人们能够轻松找到并购买高质量的手机应用程序,满足工作和娱乐需求,同时也为开发人员创造一个新契机,可以与全球数百万 Windows phone用户建立联系。 除了一系列基本业务应用程序外,Windows phone用户还可以下载用于 Facebook、MySpace、Netflix、Twikini、WunderRadio 和 ZAGAT 的应用程序以及前沿游戏,包括数独、“吉他英雄世界巡演”和“吃豆人”系列,所有这些都可以通过Windows phone手机轻松购买并直接安装。 购买的所有应用程序都经过微软认证,可在 Windows phone上运行,并且有简便的退货政策支持。

 

威瑞信 (VeriSign)公司SSL 产品副总裁兼总经理 Michael Lin表示:“手机应用程序应该拥有如同个人计算机 应用程序已享有多年的保护,这也正是威瑞信(VeriSign) 代码签名证书为 Windows phone应用程序开发人员带来的。我们很高兴能够成为 Windows Marketplace for Mobile 的代码签名合作伙伴。 微软和 Windows phone的开发者尽可放心,随着市场的发展,威瑞信(VeriSign) 代码签名平台也会随之扩展,并始终提供像现在每个下载一样可靠的保护。”

 

在威瑞信(VeriSign)与微软多年关系中,最近期的合作就是成为 Windows phone应用程序代码签名合作伙伴。 公司日前宣布让微软使用可靠的威瑞信(VeriSign)SSL证书 和威瑞信(VeriSign)代码签名证书来保护在 Windows® Azure™ 平台上开发和部署的基于云的服务和应用程序。

分类
网络新闻

恶意软件网络泛滥 搜索结果认证被认可

  美国安全公司VeriSign在周一宣布,他们已经为网站服务供应商开始提供恶意软件扫描以及网址认证业务。

 

  “VeriSign认证”的打钩标志就意味着VeriSign已经认证了该网站是合法的并且是安全的。同时,也表示,这个网址所代表的公司或者企业也正在用加密技术来连接网站服务器与上网用户的冲浪安全。VeriSign产品营销副总裁Tim Callan表示,现在,已有的和新的VeriSign SSL用户可以让他们的网站每天都进行恶意软件的检测,同时没有成本上的增加。

 

  该公司同时还表示,他们还将在购物搜索引擎Pricegrabber以及TheFind的搜索结果中添加标记,就像用户在使用AVG LinkScanner软件来处理Google和Bing的搜索结果一样。Callan表示,“我们正在积极的寻求和其他搜索引擎的合作。”

 

  VeriSign还表示,如果用户在一些标记为安全的网站上发现了恶意软件,用户可以移除标记并且发送电子邮件通知网站管理员。网站管理员可以通过VeriSign的管理控制台看到报告的详情,包括哪一段代码被发现有问题。当恶意软件被清除之后,VeriSign可以再次扫描该网站并且恢复其可信的图标。

 

  Callan表示,由于路过式下载等等的恶意攻击手段的流行,访问一个恶意网站可能带来的危害将会增加,VeriSign能够增加网民在这一层次的安全保障。

 

  Callan说,“我们的标记被用户广泛的理解并且受到很大的认可,这是一个非常突出的网址安全指标,为了进一步的保障安全,用户认为我们的服务还需要更进一步。”

 

  该服务的增强版,也是VeriSign区别于其他数十家提供SSL证书服务厂商的一种方式。Callan表示,“我们认为我们自己是这一类服务中的梅赛德斯-奔驰,我们确定我们是提供此类服务中最优秀的厂商。”

 

  他同时表示,恶意软件扫描服务将分阶段的推送给全球的VeriSign SSL证书用户。

分类
网络新闻

SNS网站应用VeriSign SSl证书安全防护

  随着网络应用的兴起,个人隐私已经越来越多的在“光天化日”之下频繁传递,大量的木马、钓鱼攻击,让用户的隐私信息一览无遗。大到银行账户操作,小至上网闲聊,都可能遭到黑客窥视,账户被盗、信息被篡改、泄密的现象比比皆是。

 

  为了保障自身账户安全,用户不得不去购买额外的安全产品,且不说效果如何,在防止邮件被篡改等涉及信息传输安全的方面这些产品大多无能为力,更何况也不该让用户独自应对安全问题。不同功能的网站应当肩负起不同的安全责任,并根据使用过程中信息敏感度以及安全隐患的差异,提供与之相匹配的安全措施。

 

  高危网上支付需要严格醒目的安全防护

 

  最新数据显示,目前假冒各家银行官方网站的“钓鱼网页”超过1600个,并且还在以每月400个的速度快速增加,加之前一段动态口令曝出的安全漏洞,网银用户已经面临了极大威胁。不仅是银行网页,在金融类、网购以及第三方支付等直接涉及资金账号操作的网站都是“钓鱼网页”的重点仿造对象。因此在为用户提供服务时,保护用户信息传输安全并协助用户鉴别“钓鱼网页”成为了此类网站安全防护的首要目标。

 

  以招商银行的网站为例,其采用高安全强度的VeriSign扩展验证EV SSL证书来保护用户提交的数据信息。VeriSign是全球最知名的服务器证书品牌, VeriSign扩展验证(EV)SSL证书不仅可以在用户和服务器之间建立一条加密通道以保证信息安全传输,同时可以提供每日恶意软件扫描以检测网页上木马等恶意软件的攻击情况。此外,VeriSign扩展验证(EV)SSL证书还具有绿色地址栏功能:当用户登录安全可信的网站时,该网站地址栏会变为绿色;如果当前网站是钓鱼或可疑网站时,地址栏会变为红色。通过醒目的颜色变化对钓鱼网站加以区别。

 

  不仅如此,VeriSign会给予获得VeriSign扩展验证(EV)SSL证书的网站一个安全标识VeriSign信任签章。用户点击信任签章后,可以查看包括网站所有者的名称、城市、州/省、国家或地区,以及最近恶意软件扫描的情况,让用户通过大量的验证信息判断网站是否真实可信。

 

  招商银行凭借VeriSign扩展验证(EV)SSL证书对钓鱼网站进行了有力回击,随着用户安全知识的增加,这项技术的防护效果已经愈加明显,中信银行、中国工商银行、北京银行等知名银行的网站也在使用。

 

  电子邮件与博客等网站安全易被忽视

 

  与银行网站的“真金白银”不同,电子邮件、招聘信息这类信息发送频繁的网站暂未受到钓鱼网站的“重视”,所以网站的安全防范也容易被忽视,但一封重要的邮件遭到篡改或窥视同样是极其危险的。建议此类网站采用VeriSign SSL证书,这种服务器证书与VeriSign扩展验证(EV)SSL证书的主要区别就在于没有绿色地址栏功能,但在确保信息传输安全上同样可靠,网易邮箱的SSL安全登录服务就是这一技术的应用体现。

 

  另外,博客以及以人人网、开心网为代表的SNS网站涉及了大量用户信息的在线提交,网站仅凭简单的静态密码难以保障用户账户及个人信息安全,加之这类网站一般都支持发送短链接,更加方便了恶意链接的传播。最近不少名人博客、邮箱被盗已经引起了人们的警惕,对于博客以及SNS网站这种用户信息非常集中的网站,应至少采用VeriSign SSl证书进行安全防护。

 

  第三方电子认证服务机构有力支持网站安全建设

 

  国内很多网站已经开始通过VeriSign服务器证书保护用户的信息安全,并抵御钓鱼网站侵害。其中大部分VeriSign服务器证书是由VeriSign中国地区的首要合作伙伴天威诚信提供的。天威诚信iTrusChina)是工信部批准的合法第三方电子认证服务机构,专业从事数字证书等技术和产品服务,与VeriSign已经稳定合作超过11年。

 

  在此有力支持下,国内网站可以更加方便有效的维护网站安全,为用户提供安全可信的上网环境。无论是与用户利益直接相关的银行网站还是供用户休闲交流的博客网站,都应当担负起自身应尽的责任。

分类
知识中心

PKI技术简介

   为解决Internet的安全问题,世界各国对其进行了多年的研究,初步形成了一套完整的Internet安全解决方案,即目前被广泛采用的PKI体系结构,PKI体系结构采用证书管理公钥,通过第三方的可信机构CA,把用户的公钥和用户的其他标识信息(如名称、e-mail、身份证号等)捆绑在一起,在Internet网上验证用户的身份,PKI体系结构把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的机密性、完整性。

    从广义上讲,所有提供公钥加密和数字签名服务的系统,都可叫做PKI系统,PKI的主要目的是通过自动管理密钥和证书,可以为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便的使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性,数据的机密性是指数据在传输过程中,不能被非授权者偷看,数据的完整性是指数据在传输过程中不能被非法篡改,数据的有效性是指数据不能被否认。一个有效的PKI系统必须是安全的和透明的,用户在获得加密和数字签名服务时,不需要详细地了解PKI是怎样管理证书和密钥的,一个典型、完整、有效的PKI应用系统至少应具有以下部分:

 

    公钥密码证书管理。

    黑名单的发布和管理。

    密钥的备份和恢复。

    自动更新密钥。

    自动管理历史密钥。

    支持交叉认证。

 

    由于PKI体系结构是目前比较成熟、完善的Internet网络安全解决方案,国外的一些大的网络安全公司纷纷推出一系列的基于PKI的网络安全产品,如美国的Verisign,IBM,Entrust等安全产品供应商为用户提供了一系列的客户端和服务器端的安全产品,为电子商务的发展提供了安全保证。为电子商务、政府办公网、EDI等提供了完整的网络安全解决方案。

    PKI是一种新的安全技术,它由公开密钥密码技术、数字证书、证书发放机构(CA)和关于公开密钥的安全策略等基本成分共同组成的。PKI是利用公钥技术实现电子商务安全的一种体系,是一种基础设施,网络通讯、网上交易是利用它来保证安全的。从某种意义上讲,PKI包含了安全认证系统,即安全认证系统-CA/RA系统是PKI不可缺的组成部分。

分类
知识中心

VeriSign SSL证书确保网站安全技巧

    对于网站经营者来说,提升网站知名度,增加网站访问量意味着更多的商机。但不时出现的欺诈钓鱼网站总给人以防不胜防的感觉。如何更好的发挥SSL证书的作用,提升网站的可信度,降低欺诈钓鱼的风险?网站可以采用以下几种方法。

 

第一:在敏感交易界面,高端SSL证书

    对于网站来说,并不是说所有的页面均需部署VeriSign SSL证书。网站只需在一些需要提交关键数据的交易页面提供SSL证书安全保护。但关键页面的SSL证书,一定要选择经过身份验证、拥有良好品牌信誉的SSL证书,否则客户将无法对网站身份进行有效判断。

第二:网站提供识别欺诈钓鱼网站的方法

    鉴于国内客户网站安全知识匮乏的现状,网站在部署SSL证书后,最佳的方式是在交易页面同时以文字或图片的方式告知客户SSL证书功能及识别欺诈钓鱼网站的简单方法,从而提升网民继续完成交易的信心。

第三:放置VeriSign信任签章(VeriSign Trust Seal)

    为了让更多的客户了解网站采用了SSL证书安全技术,网站安全值得信赖。拥有VeriSign SSL证书的网站可以各页面或交易页面的显著位置放置VeriSign信任签章(VeriSign Trust Seal)。作为世界范围内最被认可的安全标记,其应对欺诈钓鱼方面的作用显著。VeriSign SSL服务器证书客户,不需要支付任何额外费用。

第四:升级绿色地址栏

    绿色地址栏技术是VeriSign扩展验证EV SSL证书特有功能,是目前反击钓鱼网站最为先进的武器,没有客户不会对地址栏颜色的变化无动于衷。对于拥有强烈安全需求、客户群庞大、品牌知名度极高的网站,绿色地址栏一定是最好的选择。

分类
知识中心

软件代码数字签名基础知识

    软件代码数字签名是以电子方式通过信息来标记文件的方式。此时,文件将由创建者(发行商)来数字签名。有效的数字签名将告诉您关于文件的下面两项内容:发行商名称,以及文件在签名后没有被更改。任何篡改都将使签名无效。软件代码数字签名将:

 

    * 允许您验证文件的发行商。

    * 确认文件自数字签名以来没被更改过。

 

    任何软件开发商都可以向 IE浏览器中的“受信任的根证书颁发机构”中的证书颁发机构(如VeriSign)申请软件代码签名证书来签名代码。

    有效的数字签名只能保证软件代码的发行商的真实身份是通过第三方权威证书颁发机构验证的,但并不保证文件的内容就一定无害。您必须自己确定是否应当信任该文件的内容。

    记住,数字签名不保证文件一定无害。 签名的文件可能仍然包含有害的代码,如果该文件是按照这种有害方式创建的话。这就是为什么当您开始从浏览器打开某些文件类型时,即使它具有有效的数字签名, Windows 也将询问您是否希望打开该文件的原因。

    如果该文件没有有效的数字签名,则无法确保该文件确实来自它所声明的来源,或者无法确保它在发行之后未被篡改过(可能由病毒篡改)。较为安全的做法是,除非您确定该文件的创建者而且知道其内容才可以安全地打开,否则不要打开该文件。

分类
知识中心

VeriSign站点签章标志

    VeriSign 站点签章标志(VeriSign Secured® Seal),是世界范围内最被认可的安全标记,每天的浏览人次数超过1.5亿次。创新的签章技术可以确保该标志不会被假冒或欺诈钓鱼网站非法使用,网民通过点击该标志便可查看网站详细信息,并且VeriSign签章支持中文显示。根据调查,拥有VeriSign SSL证书的网站,同时将该标志放置在网站上可以有效提升网站的可信度。

 

站点签章标志的价值所在

· 世界范围内最被认可的安全标记

· 提示访问者网站采用了VeriSign SSL证书技术

· 提升网站交易额,降低客户流失率

 

站点签章标志的特点

· 145个国家,超过90万个网站将站点签章标志置于网页上

· 支持包括中文在内的13种语言,每天的浏览人数次超过1.5亿次

· 点击签章标志可展示网站所有真实身份信息,提升网站可信度

分类
知识中心

扩展验证(EV)SSL证书的角色

    SSL 协议和 SSL 证书已经被广泛用于几百万个银行网站和电子商务网站来保护在线消费者的交易安全。SSL 证书由数字证书颁发机构 (CA) 颁发,消费者已经把浏览器中的安全锁作为一种安全和信任的标志。

    信任 (Trust) 对于电子商务来讲非常重要,是把网站访问者变成购买者的最关键因素。目前互联网的在线用户数与电子商务交易的用户数的比例非常非常低的主要原因是用户 对在线交易缺乏信任,担心会有欺诈,因为用户与网上所声称的商家并没有见面,而消费者在街上购物时看到了实实在在的商店就能放心地购物。如何让消费者也能 在线“看到”实实在在的商家呢?如何方便地让在线消费者也相信此网站的实体确实是一个实实在在的商家呢?

    著名调查公司 Gartner 指出:在过去的一年来,有将近两百万美国人成为网上欺诈的受害者,并估计美国有 5700 万互联网用户都收到过假冒知名网站或银行的要求用户更新个人信息的欺诈电子邮件,而其中有 180 万用户因此而泄露了机密的个人信息。

    而现在,新标准的VeriSign扩展验证(EV)SSL证书的推出,就是给用户一个非常直接的方式 ( 地址栏为绿色 ) 来表明他 / 她正在访问的网站的实体确实是一个实实在在的商家,其真实身份已经通过权威的第三方严格身份验证,用户可以对其经营实体的身份真实性放心。而商家赢得了用 户的信任就赢得了生意。

 

信任才有商机

    在过去的 10 年里,各种消费者杂志、商业团体和信息安全服务提供商都在不断地教育人们一些在线安全的常识,所以,现在的许多消费者都知道了浏览器下面的安全锁的重要 性,用户要在线购买您的产品就要让他 / 她确实是安全的,是不会泄露其个人机密信息的,而部署了 SSL 证书就能让用户可以看到您是非常重视其安全的,并且确实他 / 她的机密信息是加密传输的。

    但是,由于只验证域名的 SSL 证书的推出,使得用户无法直观地识别没有验证身份的网站和已经验证身份的网站有什么不同。现在, 扩展验证EV SSL证书的推出,就突出了没有验证身份的网站和已经验证身份的网站的不同,通过全球统一标准的严格身份验证的网站就会显示为绿色,让您的客户相信他 / 她正在访问的网站确实是所声称的单位,其真实身份是通过权威第三方验证的。

如下图所示:

 扩展验证(EV)SSL证书的角色-1

    浏览器的绿色安全通道,让您的客户信任您,信任才有商机!

 

不严格的身份验证不能带来信任

    建立在线信任的基础是身份验证,一个用户可以通过查看网站所部署的 SSL 证书来验证其真实身份。但是,由于只验证域名的 SSL 证书 (Low Assurance SSL) 的推出,使得只验证域名所有权的弱身份验证 SSL服务器证书与已经人工严格验证身份的 SSL 证书 (High Assurance SSL) 表面看起来没有什么不同,都同样显示一个安全锁标志,只有查看证书内容才会发现不同,但普通用户一般是不会查看证书内容。

    这带来什么后果?这让假冒网站钻了空子,由于不验证真实身份使得一个假冒知名机构的网站也一样有 SSL 证书,一样显示一个安全锁标志。其最终的恶果是使人们失去了对 SSL 证书的信任,同时也对电子商务的安全失去了信心。

分类
金融

浙商基金VeriSign网站可信服务

   浙商基金管理有限公司于2010年10月正式成立,是一家获中国证监会批准设立的基金管理公司,公司注册资本1亿元人民币。作为一家刚刚成立不久的公司,浙商基金管理有限公司非常注重公司形象建设,对于公司相关的每处细节都一丝不苟。

    其官方网站为用户设有登陆网上交易厅、基金账户查询、网上交易开户三大快捷入口,为用户在线操作提供了不少便利。就在大家欣然接受网上基金交易的便捷时,浙商基金管理有限公司注意到了一个新的问题:大量用户个人信息频繁往来于用户与网站服务器之间,这些信息在毫无防范之下很可能会被不法分子窃取、篡改。虽然基金账户的特性无法使账户盗窃者直接获利,但信息的丢失一样会给客户造成损失或麻烦,降低用户体验。

    为保障其客户个人信息及帐户交易安全,树立网站良好形象,浙商基金管理有限公司决定在正式发行基金的前期与天威诚信开展合作,采用了天威诚信提供的安全解决方案。

 

解决方案

    针对浙商基金管理有限公司的安全需求,天威诚信提供了基于网站可信服务的网站安全认证解决方案。在浙商基金管理有限公司官方网站的登陆网上交易厅、基金账户查询、网上交易开户等涉及用户个人信息的网页,部署了VeriSign128位强制型服务器证书。使用户能通过服务器证书鉴别网站身份的真实性,同时依靠VeriSign SSL证书建立的SSL链接保证所有用户与服务器间传输的信息都经过高强度加密,确保用户在线提交信息的安全。

    VeriSign是全球数字认证领域最知名的品牌,目前全球超过百万台服务器已经部署了VeriSign服务器证书。天威诚信作为VeriSign中国大陆区的首要合作伙伴,可以提供VeriSign全系列证书产品,双方稳定合作已超过11年,为国内上百家知名企业提供服务。

 浙商基金VeriSign网站可信服务-1

 · 地址栏自动出现“https://”加密标志,提示网站已进入加密通道

 · 地址栏右侧金色锁头标记,点击展示企业和证书签发机构身份信息

 

带来的价值

· 数据加密传输,确保用户交易信息安全,建立可信网站形象,同时提升公司形象

· 可查验网站真实身份,区分假冒网站,进一步加强用户对网站的信任

· 安全可靠的交易环境,吸引更多用户,促进基金销售

 

相关成功客户

    嘉实基金、泰达红利基金、华夏基金、广发基金、招商基金、南方基金、兴业基金、长盛基金