IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁(yè)網(wǎng)絡(luò)安全安全防護(hù) → 黑帽大會(huì)重磅炸彈:SSL安全不堪一擊

黑帽大會(huì)重磅炸彈:SSL安全不堪一擊

時(shí)間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評(píng)論(0)

沒有哪次黑帽大會(huì)在結(jié)束前不向IT界扔出幾個(gè)重磅炸彈的。黑帽大會(huì)的聽眾們經(jīng)常在現(xiàn)場(chǎng)目瞪口呆的發(fā)現(xiàn)他們以前認(rèn)為鋼筋鐵骨一般的安全措施在一些黑帽研究員面前瞬間變成了撲克牌搭成的紙房子。

Moxie Marlinspike就是其中的一位研究員,這次在拉斯維加斯,他向人們展示的是SSL是怎樣變成一推就倒的紙房子。你認(rèn)為SSL是安全的嗎?再想想吧。但是據(jù)Marlinspike說,這不是SSL本身的問題,這項(xiàng)用于保護(hù)Web(http)安全的協(xié)議本身是沒問題的。而問題出在大多數(shù)的SSL執(zhí)行方法是完全不安全的。這包括大多數(shù)的主要銀行、電子郵件系統(tǒng),還有社交網(wǎng)站等等。甚至包括大多數(shù)軟件自動(dòng)更新機(jī)制。為了更多了解一些關(guān)于這個(gè)似乎會(huì)讓整個(gè)網(wǎng)絡(luò)崩潰的SSL問題,我特意訪問了Marlinspike。

"基本的想法就像是對(duì)橋梁進(jìn)行攻擊,"Marlinspike告訴我。"SSL部署在網(wǎng)頁(yè)的方式比較特別。SSL本是一項(xiàng)安全協(xié)議,但卻很少直接調(diào)用,總是要經(jīng)過一些HTTP連接才起作用。比方說你正在使用HTTP,你的瀏覽器一般碰到了類似于"登錄"或"我的購(gòu)物車"或"去結(jié)帳"之類的鏈接,你按一下,然后才可以進(jìn)入SSL的安全世界。請(qǐng)你考慮一下,SSL協(xié)議本身很安全,但它實(shí)際上要建立在HTTP的基礎(chǔ)上,而HTTP是很不安全的。所以就算再安全的東西如果搭建在不安全的基礎(chǔ)上也就喪失了它的安全性。

雖然過去和現(xiàn)在我也一直在討論直接攻擊SSL的問題。但是用另一種方式攻擊SSL卻方便的多,那就是改為攻擊HTTP。" 我們來更好的理解一下Marlinspike的話,想想你自己上網(wǎng)的親身經(jīng)歷,你用過幾個(gè)網(wǎng)站是以HTTPS前綴開頭的呢(這時(shí)你發(fā)送的請(qǐng)求是經(jīng)過加密的,好在Gmail是這樣做的)。大多數(shù)用戶要么是輸入"www"(這樣默認(rèn)為HTTP),或者點(diǎn)擊搜索結(jié)果,或者各種鏈接,還有收到的電子郵件等等。讓人吃驚的地方是,據(jù)統(tǒng)計(jì)有90%的購(gòu)物網(wǎng)站直到讓你確認(rèn)實(shí)際支付的時(shí)候才會(huì)向你發(fā)送HTTPS的網(wǎng)頁(yè)。

當(dāng)你看到瀏覽器下方出現(xiàn)安全鎖標(biāo)志(請(qǐng)注意,最近偽裝的安全鎖標(biāo)志已經(jīng)到處都是了),你就會(huì)認(rèn)為"好,點(diǎn)擊鏈接會(huì)是安全的。沒什么問題。" 再想一遍吧。所謂的中間人攻擊(MITM,man in the middle)如今已經(jīng)非常常見而且簡(jiǎn)單,黑帽大會(huì)早已經(jīng)不把它當(dāng)成一個(gè)議題來討論,它如今只能作為其它攻擊的探路兵。有各種各樣的MITM攻擊,比如你可以到一個(gè)公共的WiFi接入點(diǎn)發(fā)布相同的SSID,這樣你就可以獲取周圍用戶的連接信息,這是一個(gè)簡(jiǎn)單的MITM攻擊。

有很多更復(fù)雜的。例如,Marlinspike曾經(jīng)運(yùn)行TOR出口節(jié)點(diǎn)將自己放到之間數(shù)百個(gè)用戶和他們正在訪問的網(wǎng)站之間。作為一種安全防護(hù)措施,很多人使用TOR來讓自己和他們的行為保持匿名。他們經(jīng)過Marlinspike的TOR出口節(jié)點(diǎn)只有幾分鐘時(shí)間,但是在24小時(shí)中,Marlinspike共收集了114份Yahoo登錄信息、50份Gmail登錄信息、42份Ticketmaster、13份Hotmail、9份PayPal、9份LinkedIn和3份Facebook的登錄信息。

他是怎么做的呢?答案簡(jiǎn)單得可笑。使用自己編寫的SSLStrip工具,他觀察所有的HTTP連接,當(dāng)他看到帶有HTTPS鏈接的網(wǎng)頁(yè)被送回最終用戶時(shí),就截住網(wǎng)頁(yè)把所有的HTTPS鏈接中的"S"去掉。結(jié)果如何呢?那些原先帶有安全鏈接的頁(yè)面中現(xiàn)在全都是不安全的鏈接,這意味著用戶點(diǎn)擊這些鏈接傳送回來的任何信息(密碼,信用卡號(hào)碼等)都一目了然。
Marlinspike說,"SSLStrip所做的就是HTTP連接的中間人,觀察流量,如果看到出現(xiàn)安全鏈接或重定向,就簡(jiǎn)單的把這些換成看上去相同但不安全的鏈接。因此,用戶根本不會(huì)用到SSL。這個(gè)辦法在絕大多數(shù)用戶身上都能成功,他們不會(huì)引起注意。" 最后,作為中間人,Marlinspike并不會(huì)終止連接或偽造目標(biāo)網(wǎng)站。相反,他會(huì)讓連接流量繼續(xù)通行,這樣連接雙方誰都不會(huì)注意到這個(gè)問題。那么后果會(huì)是什么呢?

"后果是你的數(shù)據(jù)不再安全。基本上可以說今后我們可以擁有你所有的安全信息。你的用戶名、你的密碼、信用卡、銀行信息……所有的一切。因?yàn)楝F(xiàn)在的SSL實(shí)施狀況,所有這些都不能得到保護(hù)。另外的結(jié)果是,我們還可以控制你的計(jì)算機(jī),因?yàn)橛泻芏嘧詣?dòng)更新機(jī)制也使用SSL,我們可以劫持它們,把我們自己的軟件安裝在計(jì)算機(jī)上。這樣,我們有你的所有信息,還可以控制你的機(jī)器里的軟件運(yùn)行。所以,這是致命的。" 這的確是致命的。黑帽大會(huì)的聽眾又是如何回應(yīng)Marlinspike的報(bào)告的呢?只要在Twitter上搜索"Marlinspike"就能得到答案。你會(huì)看到無數(shù)"可怕"和"恐怖"這樣的字眼。

關(guān)鍵詞標(biāo)簽:黑帽大會(huì),SSL安全

相關(guān)閱讀

文章評(píng)論
發(fā)表評(píng)論

熱門文章 火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 騰訊QQ密碼防盜十大建議 騰訊QQ密碼防盜十大建議

相關(guān)下載

    人氣排行 火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 xp系統(tǒng)關(guān)閉445端口方法_ 教你如何關(guān)閉xp系統(tǒng)445端口 什么是IPS(入侵防御系統(tǒng)) 企業(yè)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)方案 ARP協(xié)議的反向和代理 Windows Server 2008利用組策略的安全設(shè)置