Sto studiando la violazione di Equifax descritta qui: link
Apparentemente l'attacco non è stato rilevato per un lungo periodo di tempo e la motivazione principale è certificata scaduta: a causa dei certificati scaduti, Equifax IPS non è stato in grado di ispezionare il traffico crittografato e rilevare la violazione nel tempo.
- Modifica, in base alla risposta di Steffen Ulrich sotto -
La pagina 34 del rapporto fornisce ulteriori dettagli:
The expired SSL certificate was installed on a traffic monitoring device called an SSL Visibility (SSLV) appliance.195 This device allowed Equifax to inspect encrypted traffic flowing to and from the ACIS platform by decrypting the traffic for analysis prior to sending it through to the ACIS servers.196 Both the intrusion detection system and the intrusion prevention system were behind this monitoring device.
E più avanti nella stessa pagina:
The default setting for this device allowed web traffic to continue through to the ACIS system, even when the SSL certificate was expired. When this occurs, traffic flowing to and from the internet is not analyzed by the intrusion detection or prevention systems because these security tools cannot analyze encrypted traffic. According to documents obtained, the SSL certificate installed on the SSLV device monitoring the ACIS domain ai.equifax.com expired on January 31, 2016. As a result, Equifax did not have visibility into the network traffic in the ACIS environment for nineteen months
- fine modifica -
Secondo la mia ricerca dovrebbe essere ancora possibile decifrare i dati, anche con un certificato scaduto. Prendi ad esempio questo post qui: link
Non sono così familiare con i prodotti IPS e le rispettive possibilità di configurazione, quindi sono un po 'confuso: qual è esattamente il problema con il certificato scaduto? L'IPS verifica la validità e nel caso il certificato. è scaduto si rifiuta semplicemente di decifrare il traffico? Se così sembra, dovrebbe esserci almeno un'opzione per decrittografare e inviare un avvertimento a chiunque stia eseguendo l'IPS. C'è una cosa del genere?
Grazie per la tua visione e il tuo tifo