沒有哪次黑帽大會在結束前不向IT界扔出幾個重磅炸彈的���。黑帽大會的聽眾們經(jīng)常在現(xiàn)場目瞪口呆的發(fā)現(xiàn)他們以前認為鋼筋鐵骨一般的安全措施在一些黑帽研究員面前瞬間變成了撲克牌搭成的紙房子。
Moxie Marlinspike就是其中的一位研究員��,這次在拉斯維加斯���,他向人們展示的是SSL是怎樣變成一推就倒的紙房子。你認為SSL是安全的嗎���?再想想吧��。但是據(jù)Marlinspike說��,這不是SSL本身的問題��,這項用于保護Web(http)安全的協(xié)議本身是沒問題的���。而問題出在大多數(shù)的SSL執(zhí)行方法是完全不安全的���。這包括大多數(shù)的主要銀行、電子郵件系統(tǒng)���,還有社交網(wǎng)站等等��。甚至包括大多數(shù)軟件自動更新機制��。為了更多了解一些關于這個似乎會讓整個網(wǎng)絡崩潰的SSL問題���,我特意訪問了Marlinspike。
"基本的想法就像是對橋梁進行攻擊��,"Marlinspike告訴我��。"SSL部署在網(wǎng)頁的方式比較特別���。SSL本是一項安全協(xié)議��,但卻很少直接調用��,總是要經(jīng)過一些HTTP連接才起作用��。比方說你正在使用HTTP���,你的瀏覽器一般碰到了類似于"登錄"或"我的購物車"或"去結帳"之類的鏈接���,你按一下,然后才可以進入SSL的安全世界���。請你考慮一下���,SSL協(xié)議本身很安全,但它實際上要建立在HTTP的基礎上��,而HTTP是很不安全的��。所以就算再安全的東西如果搭建在不安全的基礎上也就喪失了它的安全性��。
雖然過去和現(xiàn)在我也一直在討論直接攻擊SSL的問題��。但是用另一種方式攻擊SSL卻方便的多��,那就是改為攻擊HTTP���。" 我們來更好的理解一下Marlinspike的話���,想想你自己上網(wǎng)的親身經(jīng)歷,你用過幾個網(wǎng)站是以HTTPS前綴開頭的呢(這時你發(fā)送的請求是經(jīng)過加密的���,好在Gmail是這樣做的)���。大多數(shù)用戶要么是輸入"www"(這樣默認為HTTP),或者點擊搜索結果��,或者各種鏈接��,還有收到的電子郵件等等��。讓人吃驚的地方是��,據(jù)統(tǒng)計有90%的購物網(wǎng)站直到讓你確認實際支付的時候才會向你發(fā)送HTTPS的網(wǎng)頁���。
當你看到瀏覽器下方出現(xiàn)安全鎖標志(請注意��,最近偽裝的安全鎖標志已經(jīng)到處都是了)���,你就會認為"好,點擊鏈接會是安全的。沒什么問題���。" 再想一遍吧��。所謂的中間人攻擊(MITM���,man in the middle)如今已經(jīng)非常常見而且簡單,黑帽大會早已經(jīng)不把它當成一個議題來討論��,它如今只能作為其它攻擊的探路兵���。有各種各樣的MITM攻擊���,比如你可以到一個公共的WiFi接入點發(fā)布相同的SSID,這樣你就可以獲取周圍用戶的連接信息���,這是一個簡單的MITM攻擊��。
有很多更復雜的。例如��,Marlinspike曾經(jīng)運行TOR出口節(jié)點將自己放到之間數(shù)百個用戶和他們正在訪問的網(wǎng)站之間���。作為一種安全防護措施���,很多人使用TOR來讓自己和他們的行為保持匿名��。他們經(jīng)過Marlinspike的TOR出口節(jié)點只有幾分鐘時間��,但是在24小時中���,Marlinspike共收集了114份Yahoo登錄信息、50份Gmail登錄信息���、42份Ticketmaster���、13份Hotmail、9份PayPal���、9份LinkedIn和3份Facebook的登錄信息���。
他是怎么做的呢?答案簡單得可笑��。使用自己編寫的SSLStrip工具���,他觀察所有的HTTP連接��,當他看到帶有HTTPS鏈接的網(wǎng)頁被送回最終用戶時���,就截住網(wǎng)頁把所有的HTTPS鏈接中的"S"去掉���。結果如何呢?那些原先帶有安全鏈接的頁面中現(xiàn)在全都是不安全的鏈接���,這意味著用戶點擊這些鏈接傳送回來的任何信息(密碼��,信用卡號碼等)都一目了然���。
Marlinspike說,"SSLStrip所做的就是HTTP連接的中間人��,觀察流量��,如果看到出現(xiàn)安全鏈接或重定向���,就簡單的把這些換成看上去相同但不安全的鏈接���。因此,用戶根本不會用到SSL���。這個辦法在絕大多數(shù)用戶身上都能成功���,他們不會引起注意。" 最后��,作為中間人��,Marlinspike并不會終止連接或偽造目標網(wǎng)站��。相反���,他會讓連接流量繼續(xù)通行��,這樣連接雙方誰都不會注意到這個問題��。那么后果會是什么呢��?
"后果是你的數(shù)據(jù)不再安全��?��;旧峡梢哉f今后我們可以擁有你所有的安全信息��。你的用戶名��、你的密碼��、信用卡���、銀行信息……所有的一切。因為現(xiàn)在的SSL實施狀況��,所有這些都不能得到保護���。另外的結果是���,我們還可以控制你的計算機,因為有很多自動更新機制也使用SSL���,我們可以劫持它們���,把我們自己的軟件安裝在計算機上。這樣��,我們有你的所有信息��,還可以控制你的機器里的軟件運行。所以��,這是致命的��。" 這的確是致命的��。黑帽大會的聽眾又是如何回應Marlinspike的報告的呢��?只要在Twitter上搜索"Marlinspike"就能得到答案���。你會看到無數(shù)"可怕"和"恐怖"這樣的字眼。
關鍵詞標簽:黑帽大會,SSL安全
火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法
網(wǎng)絡安全管理軟件-PCHunter使用教程