據(jù)CNET報道，美國政府停擺進(jìn)入第25天，不斷地影響聯(lián)邦政府機(jī)構(gòu)網(wǎng)站的網(wǎng)絡(luò)安全性，隨著時間推移受此影響的政府網(wǎng)站數(shù)量已大幅上升。英國網(wǎng)絡(luò)安全公司Netcraft上周報告，80多個美國政府站點(diǎn)使用過期的安全證書，這種情況會讓訪問者面臨遭受中間人攻擊的風(fēng)險。

截至本周四,Netcraft的最新報告指出這一數(shù)字已經(jīng)超過了130個,超過130個聯(lián)邦政府站點(diǎn)的證書過期沒有更新。最初證書過期包括美國司法部和NASA等機(jī)構(gòu)站點(diǎn)遭受到其影響,新一輪的證書過期影響到白宮、聯(lián)邦航空管理局,國家檔案局和農(nóng)業(yè)部的站點(diǎn)安全性。

Netcraft表示,當(dāng)用戶對這些站點(diǎn)的訪問涉及支付門戶時可能會危及訪客的個人信息,不過CNET無法獨(dú)立驗(yàn)證這一點(diǎn)。

這些站點(diǎn)的證書在全年中有不同的到期日期,由于政府停擺,機(jī)構(gòu)中負(fù)責(zé)更新證書的員工可能正在休假,導(dǎo)致站點(diǎn)證書無法更新。Netcraft安全研究員Paul Mutton在1月10日的公司博客中寫道。

“因此,這可能是破壞所有美國公民安全的現(xiàn)實(shí)機(jī)會”

Netcraft的調(diào)查結(jié)果強(qiáng)調(diào)了長期停擺對美國政府網(wǎng)絡(luò)安全的影響,導(dǎo)致數(shù)十萬聯(lián)邦雇員和承包商陷入困境。

使用加密密鑰驗(yàn)證網(wǎng)站的安全證書是否合法是驗(yàn)證網(wǎng)絡(luò)安全運(yùn)行的重要工具。證書允許網(wǎng)站利用工具加密網(wǎng)站,并向訪問者發(fā)送和接收的信息。如果網(wǎng)站的證書無效,則安全工具將無法使用。

這使得公民信息(密碼和信用卡號碼) 非常容易遭受到黑客的攻擊。更重要的是,黑客可以悄悄地引導(dǎo)訪問者下載偽裝成日常文件的惡意軟件,例如重要文件的PDF。

“這就是所謂的‘中間人’攻擊,”辦公登陸Okta公司的經(jīng)營網(wǎng)絡(luò)安全的馬克羅杰斯說。

羅杰斯說這個策略已經(jīng)被犯罪分子和間諜機(jī)構(gòu)用來愚弄互聯(lián)網(wǎng)用戶并早已用于計算機(jī)行業(yè)。

這種攻擊非常復(fù)雜,即使用戶輸入正確的網(wǎng)址,黑客也會劫持訪客所看到的內(nèi)容。然后,黑客可以向訪問者發(fā)送他們試圖訪問的網(wǎng)站的欺詐版本。

Netcraft在美國政府網(wǎng)站中發(fā)現(xiàn)了80多張過期的安全證書,但該公司并未說黑客實(shí)際上利用了易受攻擊的網(wǎng)站。

一些過期證書失效已經(jīng)影響了部分子域名或主網(wǎng)站的分支。目前NASA子域名rockettest.nasa.com已經(jīng)無法訪問,Netcraft表示這是因?yàn)樽C書失效。根據(jù)互聯(lián)網(wǎng)檔案館,該頁面是為太空探索機(jī)構(gòu)的火箭推進(jìn)測試計劃而設(shè),該網(wǎng)站的安全證書已于1月5日到期。

美國宇航局沒有立即回復(fù)評論請求。

網(wǎng)站比以往任何時候都使用安全證書,從而實(shí)現(xiàn)加密連接。互聯(lián)網(wǎng)安全專家和包括谷歌和Mozilla在內(nèi)的硅谷主要公司的推動使網(wǎng)站所有者獲得證書變得更加簡單。事實(shí)上,欺詐者已經(jīng)開始加密他們的網(wǎng)站,以便其看起來像是合法的政府網(wǎng)站。

羅杰斯表示,過期證書帶來的威脅應(yīng)該促使立法者和部門負(fù)責(zé)人更好地為下一次政府關(guān)閉做好計劃。

“我們都應(yīng)該問問,我們必須要去保護(hù)的有哪些?”羅杰斯說。 “這樣當(dāng)這些問題發(fā)生時,犯罪分子就不會有可乘之機(jī)。”