分类
知识中心

为什么证书生命周期很重要?

实现证书生命周期很重要的原因之一是由于证书的用途。证书标识 Internet 上的网站和用户,这意味着如果证书在其生命周期的任何时候遭到入侵,攻击者可能会伪装成该人,并且该证书所属的用户将被归咎于与该证书关联的任何攻击。此外,由于用户的密钥与其数字证书相关联,因此该密钥也会受到损害,由同一密钥加密的任何数据也会受到损害。

保持强大的证书生命周期的另一个原因是它与网站一起使用。网站数字证书的泄露可能导致中断,从而给其网站所在的组织造成损失。该网站还可能被用来用恶意软件感染用户的计算机,或者在网站所有者的幌子下执行网络钓鱼活动。正确实现证书生命周期的第一步是了解生命周期的每个阶段是什么,以及如何保护每个阶段。

分类
知识中心

代码签名的弱点

代码签名也有几个弱点,包括:
  • 对在代码签名过程开始时创建的私钥管理不当可能会导致所发送软件的不安全。如果合法的私钥被盗,则攻击者可以使用私钥对其恶意软件进行编码,这将告诉用户该软件可以安全使用,即使它不是。
  • 威胁参与者可以获得受信任的证书,但阻止大多数攻击者的是需要提供标识信息才能获得证书。如果使用合法证书分发恶意软件,则可以识别并阻止开发人员。
  • 如果用户允许安装软件,即使操作系统说它没有代码签名,那么代码签名将变得毫无用处。
为了防止这些弱点,应该遵循一些最佳实践。
  • 为了保护加密密钥,应使用硬件安全模块或 HSM。HSM 是一种高度受信任的专用物理设备。它是一种网络计算机,执行所有主要的加密操作,包括加密,解密,身份验证,密钥管理,密钥交换等。它们具有防篡改功能,并使用极其安全的加密操作。
  • 与 HSM 一起,最小特权原则应与密钥一起使用,以确保只有需要密钥的用户才能访问它。
  • 最后,在进行代码签名时应始终谨慎使用。仅下载并安装由受信任的 CA 签名的代码的软件。
分类
知识中心

代码签名的优点

代码签名提供了许多好处,包括下面列出的那些。

通过代码签名,用户可以信任他们正在下载的软件,而不必担心将恶意软件下载到他们的计算机或移动设备上。这种身份验证就像一条双向的路,代码签名促进了交易所双方的信任。用户不仅可以信任发件人,而且开发人员还可以信任他们的软件到达正确的位置并且没有被滥用。

由于许多最大的受信任的移动和网络应用程序商店,如IOS AppStore或谷歌的Play商店,都需要代码签名,开发人员可以通过更多的平台分发他们的软件。

分类
安全播报

“欺诈短信”手机病毒来袭 安全隐患再起波澜

日前,安全管家查杀了一款名为3D player的软件,该软件被嵌入smsfraud病毒,此系列病毒一般会嵌入在知名软件中,一旦用户误下载,该恶意软件就会读取手机联系人,发送欺诈短信,骗取手机用户亲友钱财,存在诱骗欺诈用户的风险。

木马行为分析:

该木马伪装成知名软件诱导用户下载,一旦手机下载该软件,它就会侵入您的通讯系统,窃取用户资料,发送诈骗信息。读取手机通讯录中的联系人;读取SIM卡中的联系人, 分别向读取的联系人发送欺诈短信。

安全管家提醒:

年末大家在注意防盗的同时也要管好自己的手机,不要给骗子可乘之机,一定要谨慎小心。

分类
网络新闻

2013年网络安全呈现五大趋势

赛门铁克日前发布了2013年全球网络安全趋势预测,以帮助广大企业用户和消费者了解最新的网络安全动向,提高网络安全意识。

1.网络冲突或成常态

2013年及未来的网络世界中,不同组织或个人之间的网络冲突或将成为一种常态。2013年的网络形势更类似于一场“比武大会”,不同组织和团体都可能会通过网络攻击来展示其“实力”并“发布信息”。

此外,那些针对个人和非政府类组织的攻击会越来越多,例如政治事件的拥护者以及发生冲突的少数群体成员。随着某些个人或企业将那些活跃的黑客组织聚集起来,这种针对性的攻击会越来越多。

2.勒索软件(Ransomware)成为新的网络欺诈手段

随着“假冒防病毒软件”这一犯罪产业的消退,一种威力更强大的新模式——“勒索软件”正在涌现。勒索软件不仅仅是欺骗受害者那么简单,它还会对受害者实施威胁与恐吓。这种模式之前也曾出现过,但受到了与现实生活中的绑架案相同的限制——没有一个收钱的好方法。而如今,网络罪犯似乎已经找到了解决该问题的方法,那就是使用在线支付的方式。如今,网络罪犯可以使用恐吓而非欺骗的方式从受害者那里获取非法收益。

3.移动广告软件搅乱网络安全市场

移动广告软件(或称“Madware”)会严重影响用户体验,并可能会将用户的当前位置、联系人信息和设备信息等私人信息泄露给网络罪犯。Madware会在用户下载某个应用程序时潜入用户的设备中,然后向通知栏发送弹出警告或增加图标、修改浏览器设置,甚至收集个人信息等。

由于网络广告允许以合法的方式收集设备信息,进而通过这些信息来定位目标用户群,因此我们预测Madware的使用将呈增长态势,因为有越来越多的公司希望能够通过移动广告来实现营收增长。然而,其中难免也包括那些针对货币化的“免费”移动应用程序实施的潜在恶意攻击。

4.社交网络货币化引发新威胁

作为消费者,我们对社交媒体给予了高度的信任。随着某些网络通过允许用户购买并派发实体礼物,进而开始探索新的方式来实现平台的货币化,日益庞大的网络消费群体也为网络罪犯开展新一轮攻击奠定了基础。

赛门铁克预计,未来恶意软件攻击数量将呈上升趋势,主要表现为在社交网络上盗取支付凭证或诱使用户提供支付信息,及其他个人信息等具有潜在价值的信息。这可能包括递送虚假礼物的通知以及邮件信息等,以得到受害者的家庭住址及其他个人信息。尽管这些非财务方面的信息看似无害,但网络罪犯会将这些信息连同已有的用户其他信息一起兜售给他人,进而建立起一个有关受害者的“档案”,然后利用这些信息侵害受害者的其他账户。

5.随着用户迈向移动环境和云端,攻击者也如影随形

攻击者对用户总是如影随形,当用户开始使用移动设备和云服务时,攻击者也同样来到这些领域安营扎寨了。移动平台和云服务极有可能在2013年成为网络攻击的主要目标。

此外,随着未受管理的移动设备频繁进出企业网络并收集企业信息(而这些信息后续往往会被存储到其他云中),针对这些移动设备中的数据进行的破坏和针对性攻击正在增加。

2013年,移动计算的广泛应用会不断挑战SSL移动基础设施的极限,同时这也凸显出一个核心问题:移动浏览器上的网络活动不受SSL证书处理的限制。而用户又经常使用一些不安全的移动应用程序,这些应用程序往往会带来其他潜在风险,进而使这一问题更加严重。