غوغل إلى سيمانتيك: تنظيف عملك أو أن تكون علامة تجارية غير آمنة

سيمانتيك؛ [تحديث 1.23 مساء بتوقيت جرينتش: بيان سيمانتيك]

وضعت غوغل القانون عندما يتعلق الأمر ب سيمانتيك وكيفية تعامل الشركة مع الشهادات – تكون شفافة أو تواجه العواقب.

من الواضح أن شركة غوغل ليست مسرورة جدا بالأداء الأخير لشركة سيمانتيك الأمنية عندما يتعلق الأمر بإصدار شهادات الويب الآمنة، وقد حددت قائمة بالمتطلبات لمنع تكرار الأخطاء نفسها مرة أخرى.

في سبتمبر، أطلقت شركة سيمانتيك عددا من الموظفين بعد أخطاء صارخة في إصدار شهادات أمن طبقة النقل (تلس). وقالت الشركة “خطأ الموظف” تسببت في إصدار شهادات التشفير على الانترنت دون موافقة إما جوجل أو سيمانتيك، مما يسمح للمهاجمين لانتحال شخصية صفحات جوجل المحمية بواسطة هتبس

كما يمكنك أن تتخيل مع مثل هذا بارز مزود خدمة الانترنت، وهذا النوع من فشل الأمن ليس خطأ صغير يمكنك فرشاة تحت السجادة.

إذا سمح لهذه الشهادات للخروج غير المكتشفة في البرية، يمكن أن يكون للمهددين الإلكترونيين يوم ميداني انتحال مجالات مشروعة. وهذا بدوره، يضع المستخدمين على الانترنت في خطر من المراقبة وسرقة البيانات واختطاف الدورة – في حين أن كل حين ترك المسؤولية في باب غوغل.

كانت الشهادات السابقة للتوثيق الموسع (إيف) الخاصة ب ثوت من أجل نطاقات google.com و www.google.com. تم إلغاؤها فورا عندما لاحظت سيمانتيك المشكلة، وبما أن الشهادة السابقة كانت نشطة فقط ليوم واحد، فإنه لا يعتقد أن أمن المستخدمين وضعت في خطر.

ومع ذلك، كشف تقرير كامل في القضية 23 شهادة اختبار أخرى صدرت دون إذن، والتي تغطي ليس فقط جوجل، ولكن أوبرا وثلاثة أطراف أخرى لم يكشف عنها – قبل 164 شهادات إضافية على 76 المجالات و 2،458 شهادات الصادرة للنطاقات التي لم تكن أبدا تم تسجيلها.

يقول سيمانتيك: “إن شهادات الاختبار هذه لم تشكل أبدا أي خطر على أي شخص أو أي منظمة، لأن الشهادات لم تترك أبدا مختبرات سيمانتيك الامنة أو آلة اختبار ضمان الجودة، ولم تكن مرئية أبدا لأي مستخدم نهائي”.

وعلاوة على ذلك، لم تستخدم شهادات الاختبار أبدا على آلة اختبار ضمان الجودة. وأخيرا، تم تدمير المفاتيح الخاصة المرتبطة بشهادات الاختبار كلها كجزء من أداة الاختبار التي تم استخدامها للتسجيل لشهادات الاختبار.

وقال ريان سليفي، مهندس برمجيات غوغل، يوم الأربعاء في إحدى مقالات المدونة إن تحقيق غوغل الخاص في المشكلة أثار “عدة شهادات أكثر مشكوكا فيها” بعد بضع دقائق فقط من العمل.

المشكلة الآن لم تعد حفنة من شهادات الاختبار التي تصدر في وقت خاطئ من قبل عدد قليل من الموظفين. إنها آلاف الشهادات التي لم تكتشف العديد من عمليات التدقيق لاكتشافها فحسب، بل احتمال تعرض الملايين من المستخدمين للخطر إذا سمح لمثل هذه الممارسات بالاستمرار – ويبدو أن لقاء غوغل مع الموظفين السابقين لشركة سيمانتيك قد ترك علامة.

ويقول المهندس إنه لمنع حدوث ذلك مرة أخرى، ستطالب غوغل الآن بجميع الشهادات الصادرة عن سيمانتيك اعتبارا من 1 حزيران (يونيو) 2016 لدعم شفافية الشهادة – أو قد يشير متصفح غوغل كروم إلى مواقع الويب التي تستخدم الشهادات باعتبارها غير محتملة، بعيدا المستخدمين.

وبموجب هذه السياسة، يجب تسجيل بيانات اعتماد طبقة النقل الآمنة لإثبات أن موقع ويب مملوك لمؤسسة معينة، مثل بايبال أو أبل، ومن ثم يتعين على سيمانتيك تسجيل جميع هذه البيانات بدلا من تلك النطاقات التي تستخدم إضافات الشهادات فقط.

ويقول سليفي “في هذه الحالة، كان من شأن تسجيل شهادات عدم إيف تقديم المزيد من التبصر في المشكلة، وربما سمح بالكشف عن المشكلة عاجلا”.

ستار تريك: 50 عاما من مستقبلية إيجابية والتعليق الاجتماعي جريئة، سطح مايكروسوفت وقال الكل في واحد بيسي لعنوان أكتوبر إطلاق الأجهزة؛ اليدين مع اي فون 7، أبل ووتش جديدة، و إيربودس؛ جوجل تشتري أبيجي ل 625 مليون $

أعلى الأدوات والملحقات للأجهزة وأمن البيانات؛ كيفية إطلاق فعالية فريق الأحمر الإختراق المشاريع؛ في أعقاب اشلي ماديسون، وهنا قصة رجل واحد من الجنس والحزن والابتزاز؛ وقد عانى عملك خرق البيانات. الآن ماذا؟؛ 10 أشياء كنت لا تعرف عن الويب الظلام

بعد هذا التاريخ، قد تكون مواقع هتبس التي تستخدم بيانات اعتماد سيمانتيك محملة بصفحات تحذر من محتوى يحتمل أن يكون غير آمن وغير آمن، أو “مشكلات أخرى” عند استخدامها في منتجات غوغل. بالنسبة لسيمانتيك، يمكن أن يؤدي ذلك إلى إلحاق أضرار جسيمة بالعلاقات مع المستخدمين – ولكن يمكن أن يثبت أنها نعمة للشركات المتنافسة.

وطلبت غوغل أيضا من سيمانتيك تحديث تقريرها مع ما بعد الوفاة لماذا لم تكتشف الشركة الشهادات الإضافية التي عثر عليها سيمانتيك، تفاصيل فشل شركة الأمن، لماذا تم السماح بالأخطاء، وما هي الخطوات التي سيتم اتخاذها في والمستقبل لمنع تكرار الأداء.

القائمة الكاملة للمطالب أدناه

بعد تنفيذ هذه الخطوات التصحيحية، نتوقع من سيمانتيك أن يخضع لتقييم جاهزية نقطة في الوقت وتدقيق أمن طرف ثالث. وسيقيم التقييم في الوقت المناسب مطابقة سيمانتيك لكل من هذه المعايير

الأمن؛ مكتب التحقيقات الفدرالي يعتقل أعضاء مزعومين من كراكاس مع موقف لاختراق المسؤولين الحكوميين في الولايات المتحدة؛ الأمن؛ وورد يحث المستخدمين على تحديث الآن لإصلاح الثغرات الأمنية الحرجة؛ الأمن؛ البيت الأبيض يعين أول رئيس مجلس أمن أمن المعلومات الاتحادية؛ الأمن؛ انتقد البنتاغون لسيبر استجابة الطوارئ من قبل الوكالة الحكومية الدولية

مبادئ ويبتروست ومعايير سلطات التصديق

مبادئ ومعايير ويبتروست للسلطات مصدقة – سل خط الأساس مع أمن الشبكات

مبادئ ويبتروست ومعايير سلطات التصديق – التحقق من صحة سل

يجب تقييم التدقيق الأمني ​​من طرف ثالث

صحة ادعاءات سيمانتيك أنه في أي وقت من الأوقات مفاتيح خاصة تعرضت لموظفي سيمانتيك من قبل الأداة.

لم يتمكن موظفو سيمانتيك من استخدام الأداة المعنية للحصول على الشهادات التي يسيطر عليها الموظف المفتاح الخاص.

أن آلية تسجيل تدقيق سيمانتيك محمية بشكل معقول من التعديل أو الحذف أو العبث، كما هو موضح في القسم 5.4.4 من كبس.

وقال متحدث باسم سيمانتيك الموقع

في سبتمبر، تم تنبيهنا بأن عددا صغيرا من شهادات الاختبار للاستخدام الداخلي لشركة سيمانتيك قد تم إصداره بشكل خاطئ. بدأنا على الفور التحقيق علنا ​​في تاريخنا شهادة اختبار كامل وجدت الآخرين، ومعظمها للنطاقات غير موجودة وغير المسجلة. وفي حين أنه لا يوجد دليل على أن أي ضرر قد وقع لأي مستخدم أو منظمة، فإن هذا النوع من اختبار المنتجات لا يتفق مع السياسات والمعايير التي نلتزم بها.

لقد أكدنا أن شهادات الاختبار هذه قد تم إلغاؤها أو انتهت صلاحيتها، وعملت مباشرة مع منتدى المتصفح لإدراجها في القائمة السوداء. ولمنع حدوث هذا النوع من الاختبارات في المستقبل، وضعنا بالفعل أدوات إضافية وسياسات وإجراءات عملية، وأعلننا عن خطط لبدء تسجيل شفافية الشهادة لجميع الشهادات. كما شاركنا طرف ثالث مستقل لتقييم نهجنا، باإلضافة إلى توسيع نطاق التدقيق السنوي.

قراءة على: يختار الأعلى

مكتب التحقيقات الفيدرالي يعتقل أعضاء مزعومين من كراكاس مع موقف لاختراق مسؤولين حكوميين أمريكيين

ووردبحث المستخدمين على تحديث الآن لإصلاح الثقوب الأمنية الحرجة

البيت الأبيض يعين أول رئيس أمن المعلومات الاتحادية

انتقد البنتاغون للاستجابة السيبرانية في حالات الطوارئ من قبل الوكالة الحكومية الدولية

Refluso Acido