Android

Turvavarmenteen varoitukset eivät toimi, tutkijat sanovat

Anonim

Jokainen Web-surffaus on nähnyt ne. Nämä "epätosi todistus" -varoitukset, joita joskus saat, kun yrität käydä turvallisessa Web-sivustossa.

He sanovat asiat, kuten "Tämän sivuston suojaustodistuksessa on ongelma." Jos olet kuin useimmat ihmiset, saatat tuntea epämiellyttävää ja - Carnegie Mellonin yliopiston tutkijoiden uuden artikkelin mukaan - on hyvä mahdollisuus jättää varoitus ja napsauttaa joka tapauksessa.

laboratorion kokeessa tutkijat havaitsivat, että 55- 100 prosenttia osallistujista jätti huomiotta varmenneturvallisuusvaroitukset riippuen siitä, millä selainella he käyttivät (eri selaimet käyttävät eri kieltä varoittamaan käyttäjiään).

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokone]

"Kaikki tiesivät, että näillä varoituksilla oli ongelma", kertoo tohtori Carnegie Mellon jatko-opiskelija Joshua Sunshine ja yksi paperin kirjoittajista. "Tutkimuksemme osoitti dramaattisesti kuinka suuri ongelma oli."

Se ei ole hieno uutinen. Usein varoitukset ilmestyvät verkkosivujen teknisen ongelman takia, mutta ne voivat myös tarkoittaa, että Web-surffaaja ohjataan jonkin verran väärennettyyn Web-sivustoon. Turvallisten WWW-sivustojen URL-osoitteet alkavat "https."

Tutkijat suorittivat ensimmäisen kerran verkkokyselyn yli 400 Web-surffaajilta oppimaan, mitä he ajattelivat varmenteen varoituksista. He sitten tuottivat 100 ihmistä laboratorioon ja tutkivat, miten he surffailevat verkossa.

He havaitsivat, että ihmiset usein olivat sekaisin ymmärtämään varmenteen varoituksia. Esimerkiksi monet ajattelivat, että he voisivat sivuuttaa viestit vierailtaessaan sivustossa, johon he luottavat, mutta että heidän pitäisi olla varovaisempia vähemmän luotettaville sivustoille.

"Se on eräänlainen taaksepäin ymmärrys siitä, mitä nämä viestit tarkoittavat", Sunshine sanoi. "Viesti vahvistaa, että olet vierailemassa sivustoa, jonka luulet vieraantanne, eikä että sivusto on luotettava."

Jos pankkisivustossa näkyy viesti, että sen varmennustodistus on virheellinen, se on erittäin huono merkki, turvallisuusasiantuntijat sanovat. Se voi tarkoittaa, että Web-surffaaja joutuu ns. Mies-in-the-middle -hyökkäykseen. Tämäntyyppisessä hyökkäyksessä rikollinen lisää itsensä web-surffaajan ja hänen vierailevansa sivuston välityksellä tietojen varastamiseen.

Tietoturva-asiantuntijat ovat jo pitkään tienneet, että nämä turvallisuusvaroitukset ovat tehottomia, sanoi teknologiajohtaja Jeremiah Grossman Web-turvallisuusneuvonta White Hat Security. Tämä johtuu siitä, että käyttäjät "eivät todellakaan tiedä, mitä tietoturva-riskit tarkoittavat", hän sanoi pikaviestinä. "Joten he ryhtyvät uhkapeliin."

Firefox 3 -selaimessa Mozilla yritti käyttää yksinkertaisempaa kieltä ja parempia varoituksia huonoista varmenteista. Selaimen avulla on vaikeampi sivuuttaa huonoa varmenteen varoitusta. Carnegie Mellon -laboratoriossa Firefox 3: n käyttäjät olivat vähiten todennäköisiä napsauttamalla sen jälkeen, kun heille oli annettu varoitus.

Tutkijat kokeilivat useita uudistettuja turvallisuusvaroituksia, jotka he olivat itse kirjoittaneet, mikä näytti olevan vielä tehokkaampaa. He aikovat raportoida havainnoistaan ​​14. elokuuta Usenix Security Symposiumissa Montrealissa.

Sunshine uskoo kuitenkin, että paremmat varoitukset auttavat vain niin paljon. Varoitusten sijaan selaimissa tulisi käyttää järjestelmiä, jotka voivat analysoida virheilmoituksia. "Jos nämä järjestelmät päättävät, tämä on todennäköisesti hyökkäys, heidän pitäisi vain estää käyttäjä kokonaan", hän sanoi.

Vaikka vierailevat myös tärkeissä verkkosivuilla, kuten pankkeissa, "ihmiset ovat edelleen dramaattisesti jättäneet huomiotta varoitukset", hän sanoi.