美國政府停擺,聯邦網站所使用的逾80個TLS憑證失效
自去年12月22日起,因美國參議院未能通過包含美墨築牆的臨時支出法案,美國總統川普(Donald Trump)則拒絕簽署不含美墨築牆經費的臨時支出法案,美國政府因預算不足而關閉部份政府機構或服務,估計已有1/4的政府機構關門,80萬名員工被停薪。資安業者Netcraft則發出警告,美國政府所設立的.gov網站至少有逾80個TLS憑證已經失效,可能招來中間人(man-in-the-middle,MITM)攻擊。
美國政府旗下的聯邦網站一向都採用HTTP+TLS憑證以提供HTTPS加密通訊服務,然而,美國參議院與川普之間的歧義造成政府機構的預算不足,直到1月13日已持續停擺24天,創下美國史上最高紀錄,連到期的TLS憑證都無法續約。
Netcraft在1月10日指出,至少有超過80個美國政府網站的TLS憑證已經過期,使用者造訪這些網站時,將會造成兩種結果,一是面臨無法存取的窘況,二為網頁上會跳出安全警告,但仍允許使用者以未加密的HTTP協定連結。
Netcraft的網路安全顧問Paul Mutton說明,前者是因某些政府網站被納入了Chromium的HSTS預載名單中,HSTS為HTTP的強制安全傳輸技術(HTTP Strict Transport Security),當網站採用HSTS策略時,瀏覽器即會強制使用HTTPS與網站通訊,假設網站不支援HTTPS,便會無法存取。
儘管HSTS會造成使用者無法造訪特定的政府網站,但Mutton更擔心的是後者可能引來的中間人攻擊。
原本啟用HSTS的美國政府網站並不多,但在Mutton發出警告之後,已有不少TLS憑證失效的美國政府網站加入HSTS的行列。
Mutton說,未來的幾天、幾周甚至是幾個月可能會有愈來愈多的憑證失效,將增加美國民眾造訪這些政府網站的風險。
美國政府停擺導致130個聯邦政府網路證書過期,存取網站可能遭受攻擊
美國政府停擺進入第25天,不斷地影響聯邦政府機構網站的網路安全性,隨著時間推移受此影響的政府網站數量已大幅上升。英國網路安全公司Netcraft上週報告,80多個美國政府網站使用過期的安全證書,這種情況會讓連接網站的使用者面臨遭受中間人攻擊的風險。
Netcraft的最新報告指出這一數字已經超過了130個,過130個聯邦政府網站的證書過期沒有更新。最初證書過期包括美國司法部和NASA等機構網站遭受到其影響,新一輪的證書過期影響到白宮、聯邦航空總署,國家檔案和記錄管理局和農業部的網站安全性。
Netcraft表示,當使用者存取這些網站涉及支付門戶時可能會危及訪客的個人訊息,不過CNET無法獨立驗證這一點。
這些網站的證書在全年中有不同的到期日期,由於政府停擺,機構中負責更新證書的員工可能正在休假,導致網站證書無法更新。Netcraft安全研究員Paul Mutton在1月10日的公司部落格中寫道。
「因此,這可能是破壞所有美國公民安全的現實機會」
Netcraft的調查結果強調了長期停擺對美國政府網路安全的影響,導致數十萬聯邦僱員和承包商陷入困境。
使用加密密鑰驗證網站的安全證書是否合法是驗證網路安全執行的重要工具。證書允許網站利用工具加密網站,並向使用者發送和接收的訊息。如果網站的證書無效,則安全工具將無法使用。
這使得公民訊息(密碼和信用卡號碼)非常容易遭受到駭客的攻擊。更重要的是,駭客可以悄悄地引導使用者下載偽裝成日常文件的惡意軟體,例如重要文件的PDF。
「這就是所謂的『中間人』攻擊,」經營網路安全的馬克羅傑斯說。
羅傑斯說這個策略已經被犯罪分子和間諜機構用來愚弄網路使用者並早已用於電腦行業。
這種攻擊非常複雜,即使使用者輸入正確的網址,駭客也會劫持訪客所看到的內容。然後,駭客可以向使用者者發送他們試圖連接的網站的詐欺版本。
Netcraft在美國政府網站中發現了80多張過期的安全證書,但該公司並未說駭客實際上利用了易受攻擊的網站。
一些過期證書失效已經影響了部分子或主網站的分支。目前NASA子域名rockettest.nasa.com已經無法連接,Netcraft表示這是因為證書失效。根據網路檔案資料,該頁面是為太空探索機構的火箭推進測試計畫而設,該網站的安全證書已於1月5日到期。
美國太空總署沒有立即回覆評論請求。
網站比以往任何時候都使用安全證書,進而實現加密連結。網路安全專家和包括谷歌和Mozilla在內的矽谷主要公司的推動使網站所有者獲得證書變得更加簡單。事實上,詐欺者已經開始加密他們的網站,以便其看起來像是合法的政府網站。
羅傑斯表示,過期證書帶來的威脅應該促使立法者和部門負責人更好地為下一次政府關閉做好計畫。
「我們都應該問問,我們必須要去保護的有哪些?」羅傑斯說。 「這樣當這些問題發生時,犯罪分子就不會有可乘之機。」
