首先看两则新闻:
黑帽大会的重磅炸弹:SSL面对恶意攻击不堪一击
Moxie Marlinspike就是其中的一位研究员,这次在拉斯维加斯,他向人们展示的是SSL是怎样变成一推就倒的纸房子。你认为SSL是安全的吗?再想想吧。但是据Marlinspike说,这不是SSL本身的问题,这项用于保护Web(http)安全的协议本身是没问题的。
没有哪次黑帽大会在结束前不向IT界扔出几个重磅炸弹的。黑帽大会的听众们经常在现场目瞪口呆的发现他们以前认为钢筋铁骨一般的安全措施在一些黑帽研究员面前瞬间变成了扑克牌搭成的纸房子。
Moxie Marlinspike就是其中的一位研究员,这次在拉斯维加斯,他向人们展示的是SSL是怎样变成一推就倒的纸房子。你认为SSL是安全的吗?再想想吧。但是据Marlinspike说,这不是SSL本身的问题,这项用于保护Web(http)安全的协议本身是没问题的。而问题出在大多数的SSL执行方法是完全不安全的。这包括大多数的主要银行、电子邮件系统,还有社交网站等等。甚至包括大多数软件自动更新机制。为了更多了解一些关于这个似乎会让整个网络崩溃的SSL问题,我特意访问了Marlinspike。
“基本的想法就像是对桥梁进行攻击,”Marlinspike告诉我。“SSL部署在网页的方式比较特别。SSL本是一项安全协议,但却很少直接调用,总是要经过一些HTTP连接才起作用。比方说你正在使用HTTP,你的浏览器一般碰到了类似于“登录”或“我的购物车”或“去结帐”之类的链接,你按一下,然后才可以进入SSL的安全世界。请你考虑一下,SSL协议本身很安全,但它实际上要建立在HTTP的基础上,而HTTP是很不安全的。所以就算再安全的东西如果搭建在不安全的基础上也就丧失了它的安全性。
虽然过去和现在我也一直在讨论直接攻击SSL的问题。但是用另一种方式攻击SSL却方便的多,那就是改为攻击HTTP。” 我们来更好的理解一下Marlinspike的话,想想你自己上网的亲身经历,你用过几个网站是以HTTPS前缀开头的呢(这时你发送的请求是经过加密的,好在Gmail是这样做的)。大多数用户要么是输入“www”(这样默认为HTTP),或者点击搜索结果,或者各种链接,还有收到的电子邮件等等。让人吃惊的地方是,据统计有90%的购物网站直到让你确认实际支付的时候才会向你发送HTTPS的网页。
当你看到浏览器下方出现安全锁标志(请注意,最近伪装的安全锁标志已经到处都是了),你就会认为“好,点击链接会是安全的。没什么问题。” 再想一遍吧。所谓的中间人攻击(MITM,man in the middle)如今已经非常常见而且简单,黑帽大会早已经不把它当成一个议题来讨论,它如今只能作为其它攻击的探路兵。有各种各样的MITM攻击,比如你可以到一个公共的WiFi接入点发布相同的SSID,这样你就可以获取周围用户的连接信息,这是一个简单的MITM攻击。
有很多更复杂的。例如,Marlinspike曾经运行TOR出口节点将自己放到之间数百个用户和他们正在访问的网站之间。作为一种安全防护措施,很多人使用TOR来让自己和他们的行为保持匿名。他们经过Marlinspike的TOR出口节点只有几分钟时间,但是在24小时中,Marlinspike共收集了114份Yahoo登录信息、50份Gmail登录信息、42份Ticketmaster、13份Hotmail、9份PayPal、9份LinkedIn和3份Facebook的登录信息。
他是怎么做的呢?答案简单得可笑。使用自己编写的SSLStrip工具,他观察所有的HTTP连接,当他看到带有HTTPS链接的网页被送回最终用户时,就截住网页把所有的HTTPS链接中的“S”去掉。结果如何呢?那些原先带有安全链接的页面中现在全都是不安全的链接,这意味着用户点击这些链接传送回来的任何信息(密码,信用卡号码等)都一目了然。
Marlinspike说,“SSLStrip所做的就是HTTP连接的中间人,观察流量,如果看到出现安全链接或重定向,就简单的把这些换成看上去相同但不安全的链接。因此,用户根本不会用到SSL。这个办法在绝大多数用户身上都能成功,他们不会引起注意。” 最后,作为中间人,Marlinspike并不会终止连接或伪造目标网站。相反,他会让连接流量继续通行,这样连接双方谁都不会注意到这个问题。我问Marlinspike后果是什么。
“后果是你的数据不再安全。基本上可以说今后我们可以拥有你所有的安全信息。你的用户名、你的密码、信用卡、银行信息……所有的一切。因为现在的SSL实施状况,所有这些都不能得到保护。另外的结果是,我们还可以控制你的计算机,因为有很多自动更新机制也使用SSL,我们可以劫持它们,把我们自己的软件安装在计算机上。这样,我们有你的所有信息,还可以控制你的机器里的软件运行。所以,这是致命的。” 这的确是致命的。黑帽大会的听众又是如何回应Marlinspike的报告的呢?只要在Twitter上搜索“Marlinspike”就能得到答案。你会看到无数“可怕”和“恐怖”这样的字眼。黑客找到新漏洞 SSL安全网站不安全
网络安全问题已成为信息时代人们面临的一个重要挑战.网上犯罪和黑客活动日益猖獗,目前认为较安全的SSL安全证书也在黑客攻击下出现严重漏洞,那些人们认为安全的网站不再安全.这种新式的可怕黑客攻击发生在用户电脑和网站之间.美联社8月1日形容它“如同电话窃听”.
7月30日在美国拉斯韦加斯举行的年度“黑帽”大会上,黑客技术研究人员莫克西·马林斯派克、丹·卡明斯基和伦·萨萨曼演示了网络浏览器在对可疑网站进行拦截方面的弱点.
三名研究人员得出一致结论:网络浏览器与SSL安全证书合作存在严重漏洞.SSL安全证书使用密钥对传送数据加密,目前广泛应用于银行、电子商务和其他一些涉及个人机密的网站中.
美国国土安全部顾问杰夫·莫斯说,黑客必须进入受侵计算机网络才能实施这种新式的黑客攻击,这种攻击方式减缓了攻击有效性.
但他同时警告说,一旦攻击成功,后果不堪设想.“这种攻击可谓致命.你可以获取计算机中所有信息,对整个产业而言,这是一个巨大的警钟”.
运作原理
如果这种新式黑客攻击成功渗透到联网计算机中,就能利用计算机和用户认为可靠的网站建立一个窃取系统,并获得信用卡账号、密码等关键数据.
更可怕的是,黑客可以控制侵入计算机的自动更新系统,然后令计算机自动安装来自黑客网站的恶意代码,而计算机会默认这是生产商提供的软件进行自动更新.
SSL安全证书在用户访问网站时会进行验证,如果没有通过验证浏览器会阻止打开网站.但黑客行为可以使浏览器误认为进入安全站点,使安全证书失去意义.
这种新式黑客攻击属于“中间人攻击”的一种.中间人攻击指黑客将自己植入受侵入计算机和合法网站之间,通过计算机与网站的联系窃取数据.
广泛使用的安全证书使人们确信那些涉及个人机密的
0 条评论 发表评论