2016美国总统大选网站安全评估 希拉里最差
随着2016美国总统初选季的展开,各党派参选人纷纷加入用网站笼络选民的大军。虽然所有参选人都有自己的网站,那么若从安全角度出发,谁的竞选站点是最安全的呢?
安全评估公司SecurityScorecard最近对特朗普、克鲁兹、克林顿、桑德斯和卡西奇的竞选网站做了分析对比。研究结果表明:共和党领跑者唐纳德·特朗普的网站在安全性方面傲视群雄,民主党领跑人希拉里·克林顿还需要做很多工作才能赶得上。(小编注:希拉里的安全意识的确很差,比如去年让她陷入麻烦的公用邮箱私用)
SecurityScorecard专业提供对各类组织的安全评估服务,采用多种对外属性进行衡量。今年2月,该公司抛出了一项第三方供应商安全状况评估的新业务。很多组织面临的风险,其实通常不局限在他们自己的基础设施中,而是存在于第三方供应商引入的共享组件中。
该公司首席研究官埃德表示, SecurityScorecard对总统参选人网站的分析并未使用任何入侵渗透测试,只是建立在被动分析上的,仅仅观测了网站的IP地址和审查了网站源代码。
很多现代网页浏览器依然保有让任何用户仅仅通过点击“查看源代码”就能顺利获得站点源码的功能。通过审查这些代码,发现站点所用的内容管理系统(CMS)和插件不是什么难事。
总统参选人们的网站展现出了一些有趣的共同点。特朗普、克鲁兹和桑德斯都选择了安全厂商CloudFlare提供的分布式拒绝服务(DDoS)防护和Web应用防火墙(WAF)。卡西奇和克林顿的网站都托管在亚马逊Web服务上,且二者都没有部署DDoS/WAF防护。
No.1 唐纳德·特朗普
特朗普的网站采用了一款内容管理系统,且配置良好,没有暴露出管理界面。另外,贝宝(PayPal)的BrainTree支付处理系统,以及共和党VictoryParty.com支付处理器也应用到了特朗普的网站上。
这并不是说特朗普的网站就无懈可击,但从外部观察,他的网站确实运作良好。
最近几周,激进黑客组织“匿名者(Anonymous)”公开宣称要对特朗普的竞选开战——虽然到现在也没能成功拿下特朗普的网站。酒店网站倒是遭到了DDoS攻击,但特朗普的主要竞选网站尚未经历过任何宕机时间。抵挡“匿名者”组织潜在攻击之功,恐怕要记在CloudFlare对网站防护的增强上。虽然上周左右访问donaldjtrump.com站点的人可能会感受到一点点的延迟,但网站依然坚挺,没有被拿下。
No.2 泰德·克鲁兹
排名第二安全的竞选网站是tedcruz.org,归属克鲁兹。DDoS和WAF防护与特朗普的网站相同,都采用了CloudFlare。但内容管理系统并没有采用特朗普所用的Drupal,而是选择了开源的WordPress。Drupal的管理界面是隐藏了的,WordPress则在某种程度上跟暴露在外也没什么区别。而且,克鲁兹所用的特定WordPress模板主题也很好认出——Kleo。这些都会带来潜在的安全风险。对攻击者而言,拿下克鲁兹的网站,不过是坐等漏洞出现而已。
No.3 & 4 伯尼·桑德斯 希拉里·克林顿
民主党一边,桑德斯的berniesanders.com要优于克林顿的hillaryclinton.com——虽然二者在整体安全性上都落后于特朗普和克鲁兹的网站。桑德斯的防护组合是CloudFlare和WordPress CMS。不过,与克鲁兹一样,桑德斯也没有隐藏起管理页面。
克林顿的网站与克鲁兹和桑德斯的都不一样,没有采用开源CMS,而是用了自定义的内容管理。不用开源平台未必会让她的网站更不安全,但确实会引起一些安全方面的顾虑。
如果开源CMS合理配置,那唯一会遭到的攻击就只剩真正的零日漏洞利用了。但对自定义的站点来说,有更多的组件需要仔细检查。
商业CMS,比如开源的Drupal和WordPress应用,有庞大的社区做后盾,常年都有一大帮人在检查安全问题,改进应用功能。