【正文】 60。theinternet’ssecurityinfrastructure一次黑客攻擊暴露了互聯(lián)網安全架構的深層隱患Sep10th2011|fromtheprinteditionFORallitsvaunteddecentralisation,theinternetisatopdownaffairwhenitestosecurity.Usersaretoldwhomtotrustbydigitalcertificates,whichallowawebsiteto displayapadlocksymbolandputthe“s”inthe://prefixtowebaddresses.Thesecertificatesareissuedtowebsitesbyseveralhundredpaniesthatpridethemselvesontheirsecurityandreputationforprobity.Alistofsuchcertificateauthoritiesisbuiltintowebbrowsersoftware.Ifasitedisplaysacertificateissuedbyaproperauthority,thebrowserwillloadthepagewithnoobjection.Itshouldallworkfineintheory.Butinpracticetheguardiansofinternetsecurityseembadlytoneedguardingthemselves.盡管因特網自詡分權化管理，當遇到安全問題時他儼然一個管理嚴密的組織。數字證書告知用戶哪些網站可以放心瀏覽，通過網頁顯現(xiàn)出“鎖形”以及網頁鏈接以://開頭的方式。這些證書是數以百計的在安全方面以安全和名譽方權威著稱的公司頒發(fā)給網站的。一系列認證證書被嵌入到瀏覽器中。如果網頁顯示了特定公司頒發(fā)的證書，瀏覽器將會加載頁面。這在理論上行得通，但是實際上網絡保護者似乎更需要保護他們自己。OnSeptember6thoneoftheworld’sbiggestcertificateauthorities,GlobalSign,temporarilystoppedissuingthemfollowingnewclaimsbyanassailantunderthename“ComodoHacker”.Claimingtobeactingalone,hehasalreadybrokenintoaDutchissuer,DigiNotar,hijackingitssystemandissuinghundredsofboguscertificatesfordomainsincludingFacebook,TwitterandGoogle,aswellasforAmerican,British,Israeliandothergovernmentagencies.9月6日，網絡安全與數字認證機構GlobalSign在自稱“Comodo黑客”發(fā)出新聲明以后，已暫時停止數字認證的發(fā)放。黑客聲稱單獨行動，他已經成功的入侵了荷蘭數字認證機構DigiNotar，劫持系統(tǒng)并頒發(fā)了數百個用于攻擊Facebook,Twitter和Google以及美國英國以色列以及其他政府部門的虛假數字認證。Thesedodgydocumentscouldallowmischiefmakerstoimpersonatesupposedlysecurewebsites.ManysecurityanalystsfretthatthefakecertificateshavebeenusedtosnooponIranianusersofGmail,Google’sservice.這些危險文件能夠讓始作俑者假做出看起來安全的網站。許多安全分析員為假冒認證已被用來以監(jiān)控伊朗公民的Gmail帳戶活動（google的郵件服務）而感到惴惴不安TheDutchgovernmentreliedonDigiNotartoauthenticatemanyofitswebsites.Itsinteriorminister,PietHeinDonner,saidthatsitesforthecountry’ssocialsecurity,policeandtaxauthoritiesmightbepromised.Heurgedcitizenswhowantedtobeonthesafesidetousepenandpaperindealingswiththestate.荷蘭依賴DigiNotar認證許多政府網站。該國內務部長PietHeinDonnersay稱國內社會保障、警察以及稅務當局的網站可能已經被波及，他敦促國民為了以防萬一在涉及到與國家的交易中使用紙筆的原始方法。Securitypunditshavelongbeenringingalarmbellsaboutthepossibilityofsuchanattack—thedigitalequivalentofburglarsbreakingintoalocksmith’sshop.AnewreportonDigiNotarisscathingaboutitssecurity.Manyfeelthisimbroglio,plusanapparentlyrelatedoneinMarchinvolvinganItalianauthorityaffiliatedwithComodo,abigAmericanissuer,showsthatthesystemurgentlyneedsanoverhaul.“ComodoHacker”claimsalsotohavecrackedsecurityatthreeother(sofarunnamed)issuers.長期以來安全專家一直都在為此類攻擊敲警鐘—這種攻擊好比竊賊入侵鎖店。一篇關于DigiNotar的新報告對其安全情況毫不留情的批評。很多人都覺察到了這個錯綜復雜的局面 以及表面上的關聯(lián)事件：牽扯到三月份意大利隸屬于Comodo（美國大型認證商）的認證中心。事件表明系統(tǒng)亟待徹底改進。Comodo黑客也宣稱沖擊了其他三個認證商（迄今為止還未透漏其名字）Oneproposalistocreatenewdigitalnotariesthatwouldperformregularscansofallsecureserversontheinternet.Ratherthanrelyingonabuiltinlistofcertificateissuers,asatpresent,browserswouldinsteadmatchthecertificatesthatasitepresentedtothoseinthenotaries’repository.GoogleistestingasimilarideacalledCertificateCatalog.ThepanyhopestoincludeitinitsChromebrowser,whicheveninitsexistingformwouldhavespottedthefakecertificateissuedforGooglebyDigiNotar.一項提議是開創(chuàng)新數字認證體系，該體系會定期掃描網絡安全服務器。瀏覽器將使網站提供的數字認證證書以及公證信息庫里的相匹配來確保安全而不是現(xiàn)行的內置認證商。Google也在嘗試類似的方法，稱之為證書目錄。公司希望將其嵌入到其發(fā)行的Chrome瀏覽器，能夠使現(xiàn)行版本的瀏覽器都能夠識別DigiNotar頒發(fā)給google的假證書。Othersarelesssanguine.BruceSchneier,aninternetsecurityexpert,doubtsthatanysuchfixwillwork.Theproblem,hesays,isnottechnological—itisaboutincentives.Thosewhohavestakesintheexistingsystem,betheycertificateauthorities,browsermakers,orgovernments,havenointerestinmendingit.Manyusersarewillingtoforgosecurityforthesakeofconvenience,evenignoringwarningsontheirbrowsersaboutexpiredorunrecognisedcertificates.MrSchneierlikensdiscussingtherelativemeritsoftheproposedfixestodiscussingwhatcolourtopainttankswhileinthemiddleofabattle.其他人就不是這么樂觀了。網絡安全專家BruceSchneier懷疑這樣的做法能否有一絲效果。問題不出在技術上而是出在于動機上。那些和現(xiàn)行系統(tǒng)有利害關系的所有者—認證商、瀏覽器公司—無意修復。為了圖方便，許多用戶愿意放棄安全措施，甚至忽視瀏覽器上給出的過期或者無法識別證書的警告。Schneier先生將推薦方修復方法的相關特性比作討論給戰(zhàn)場中坦克涂什么樣的顏色。Thebroaderproblem,saysSethSchoenoftheElectronicFrontierFoundation,anadvocacygroup,isthatthepeoplemostatriskfrompryinggovernmentsinAfrica,theMiddleEastandAsiaalltoooftenuseantiquatedequipmentandsubstandardsoftwarethatismorevulnerabletohacking.FewIranians,forexample,useChrome.ItbecameavailabletowebusersthereonlyinJanuary,afterAmericaeasedtradesanctionsagainsttheIslamicrepublic.“更廣泛的問題在于，來自于非洲、中東以及亞洲等熱衷窺探的政府的網民處于最危險的境地，他們經常使用陳舊的電腦設備、不安全的軟件—這都將使他們更容易受攻擊”，來自電子前沿基金會—一個游說團體—的SethSchoen表示。比如說伊朗網民很少使用Chrome瀏覽器，在美國放松了對伊朗的貿易制裁后他僅在一月份可以使用.Onlineprivacy網絡隱私 及類似的零售商通過對零售數據的熟練駕馭開啟了“大賣場革命”（大型郊區(qū)賣場加上超低價格）。今日的海量數據也將為未來的變革打下基礎。Internetsecurity網絡安全Mistrustauthority不信任權威Ahackingattackexposesdeeperflawsintheinternet’ssecurityinfrastructure一次黑客攻擊暴露了互聯(lián)網安全架構的深層隱患Sep10th2011|fromtheprinteditionFORallitsvaunteddecentralisation,theinternetisatopdownaffairwhenitestosecurity.Usersaretoldwhomtotrustbydigitalcertificates,whichallowawebsiteto displayapadlocksymbolandputthe“s”inthe://prefixtowebaddresses.Thesecertificatesareissuedtowebsitesbyseveralhundredpaniesthatpridethemselvesontheirsecurityandreputationforprobity.Alistofsuchcertificateauthorities