什麼是SSL?請查維基(傳輸層安全),或綠盟站(SSL/TLS/WTLS原理)。
這麼安全的保護策略也被黑客攻破了,是不是沒有什麼網絡安全了?
上周(Feb 19)在華盛頓舉行的黑帽子安全大會上,一黑客Moxie Marlinspike演示了SSLstrip在公共無線網絡、洋蔥路由系統以及任何其他可以發動中間人攻擊的地方的工作情況。它能夠將本應受到安全套接字層協議保護的頁面轉換成未加密的版本。該攻擊能夠同時“忽悠”網站和用戶,使他們以為他們一直都在使用加密保護。
繼2007年的side jacking攻擊(對比:Surf jacking攻擊,HTTPS也愛莫能助)和2008年的CA證書偽造(對比:利用200台PS3組成超級計算機攻破SSL加密 和 利用md5碰撞偽造CA證書的問題)之後,在此次大會上Moxie為人們演示了最新的SSL弱點,即網站用來防止密碼、信用卡號以及其它的敏感信息在傳輸過程中被竊聽的加密例程。這使得人們對安全套接字層的安全問題憂心忡忡。據觀看過此演示的與會研究人員稱,該攻擊非常新穎,並且很酷。更糟的是,在Moxie的演講中,許多問題是這些年來已被討論過的,這說明SSL的情況很不妙。
據Marlinspike稱,SSLstrip之所以能夠成功運行,是因為使用安全套接層協議層(ssl)的大多數網站通常首先為訪問者提供一個未加密的頁面,只有開始傳輸敏感信息部分時才開始提供加密保護。舉例來說,當一個用戶點擊一個登錄頁面時,該工具會修改網站未加密的響應,使“https” 變成“http”。然而,網站卻一直以為連接是受加密保護的。
為了讓用戶相信他正在使用一個加密的連接跟預期的站點通信,SSLstrip利用了一些現成的詭計:首先,此工具在局域網上使用了一個包含有效SSL證書的代理,使得瀏覽器會在地址欄顯示一個“https”。其次,它使用homographic技術創建一個長的URL,在地址中包含了一系列偽造的斜杠。(為防止瀏覽器將這些字符轉換成Punycode,他必須獲得一個用於*.ijjk.cn的通配 SSL 數字證書)。
“可怕的是它看來像https://gmail.com ,”Marlinspike說,“問題在於http和https之間的橋接,而這是SSL在web中部署方式的基礎部分”。 要想改變這些絕非易事。”
Marlinspike已經成功將該攻擊應用於使用Firefox和Safari瀏覽器的用戶身上,雖然他還沒有在IE上做實驗,但是估計也不會有什麼問題。 即使沒有,他說,也有足夠的理由相信即使安全謹慎的用戶也不會將時間花在確保他們他們的會話被加密這些事情上。
為了證明他的論點,他在托管於Tor網絡中的一個服務器上運行了SSLstrip,在一天時間內,他收集到了訪問Yahoo、Gmail、Ticketmaster、PayPal和LinkedIn等站點的 254個用戶密碼。雖然SSLstrip沒有使用代理功能欺騙他們使其以為他們正在訪問一個安全的站點,但是還是有許多用戶上當了。令人擔憂的是,即便地址欄中沒有顯示關鍵的“https”,這些Tor用戶還是毫不猶豫的輸入了他們的密碼。Marlinspike說,他馬上就擦除了所有這些個人身份信息。
此次演示的攻擊可能會引起諸如Mozilla、微軟和 VeriSign等公司的極大不安,盡管這些公司的工程師已經竭力使用各種方法來提高SSL的可靠性。對於用戶來說,最簡單的防禦措施就是在瀏覽器中輸入完整的https地址,或者將它們存為一個書簽,這樣即使SSLstrip這樣的工具也沒有機會來修改網站的未加密的鏈接了。
此外,盡管我們過去曾經懷疑過extended validation SSL的必要性,現在看來這是,它是保護用戶不受SSLstrip的代理詭計欺騙的一種有效手段。然而,即使EVSSL也無法保護那些每次登陸時都無暇顧及瀏覽器地址欄中的https的用戶。即使用戶這樣做了,但是還是有一些站點懶得在登錄頁面中使用https,所以對這些用戶來說,實在是太危險了。
曾在2002演示了一個單獨的https爆破工具SSLSniff的Marlinspike說,對於此漏洞還沒有行之有效的修補方法,並且將來還會看到更多新型的利用方法。根本的解決之道就是加密一切,他說。
文章來源:中國信息安全評測中心
~~~相關鏈接~~~
1)CnBeta:安全研究人員在黑帽安全大會上演示SSL攻擊
2)it168:新型SSL網站攻擊驚現 影響多家知名網站
3)Hexun:黑帽會議又爆SSL漏洞利用新工具SSL Strip
4)CCW:SSL認證加密被攻破 安全防范需加強
No comments:
Post a Comment