安全套接层(SSL)被用于保护无数的网络用户,但是它有什么弱点呢?最近几年出现了许多专门攻击SSL的攻击。虽然这个技术实际上还是比较安全的,但是攻击者一直在寻找漏洞绕过安全协议和标准。其中SSL是他们的主要目标。
安全套接层(SSL)被用于保护无数的网络用户,但是它有什么弱点呢?最近几年出现了许多专门攻击SSL的攻击。虽然这个技术实际上还是比较安全的,但是攻击者一直在寻找漏洞绕过安全协议和标准。其中SSL是他们的主要目标。SSL被用于保护敏感的超文本传输协议(HTTP)流量。有一些攻击者则 不这样想,他们一直在寻找访问敏感数据的新方法。下面我们一起探讨黑客试图攻破SSL的不同方法。
欺骗手段:欺骗用户接入一个错误的证书。这是一种攻击SSL用户的常用方法。其方法是让用户不顾看到的警告或错误,仍然坚持访问这个网站。虽然发起这种攻击很简单,但是它要求受攻击者接受一个明显有问题的证书。大多数用户都会发现这种欺骗行为;因此,这种威胁的级别较低。
虚假证书:虽然这种方法听起来有一些牵强,但是它曾经取得成功。有时攻击者能够获得一个有效的证书,然后用它们 执行恶意行为。例如,在2011年,有攻击者攻破了荷兰证书授权的安全机制,然后伪造了雅虎、谷歌、Wordpress等网站的证书。在获得有效的证书之 后,这些攻击者绕过了HTTPS保护。但是,这种攻击的整体级别仍然比较低。
移除SSL,直接通过明文发送数据:2009年出现了一种新的SSL攻击方法,它来自于SSLStrip。这个 工具不会让用户看到警告信息,而是充当一个代理服务器的作用,去掉了HTTPS的S(安全性),这样用户就只能通过HTTP直接访问。SSLStrip还允许攻击者给用户看到加锁网站图标,所以发现错误的唯一方法就是浏览器地址栏只显示HTTP,而不是HTTPS。如果用户没有注意到这个细微差别,那么攻击者就可以访问到受保护的数据。这种攻击的威胁级别属于中级。
破解密钥:目前大多数证书都使用1024位或2048位密钥。2048位密钥非常可靠,想要使用一台普通桌面电脑来暴力破解它,这几乎是不可能的。即使如此,已经有报告指出,National Security Agency已经成功获得了SSL流量的访问。虽然有人认为NSA可能发现了新的量子计算技术,但是这个机构完全有可能直接获得了加密密钥或者在软件和硬 件中植入了后门(入口)。NSA及其他访问安全数据的方法的威胁级别还不确定。
中间人攻击:这种攻击是一种主动窃听形式,攻击者将通过独立连接访问攻击目标,然后向服务器发送信息。其中一个 例子就是Lucky 13,它是用传输层安全媒体访问控制计算的13位头信息命名的。虽然这种密文攻击在理论上是可能实现的,但是它要求先控制环境,而且需要很长的时间;所 以,它的威胁级别非常低。
边信道攻击:过去几年出现了几次边信道攻击,它已经证明可用于恢复验证所使用的HTTP请求和Cookies。 通过适应性超文本压缩实现的浏览器侦测和泄漏(BREACH)就是一个例子。BREACH利用压缩和HTPP响应,它们一般都使用gzip等机制压缩。对于可能受到攻击的应用,它必须使用HTTP级压缩,在HTTP响应中加入用户输入,然后暴露HTTP响应体的跨站请求伪造令牌。虽然这在理论上是可行的, 但是有一些方法可以抑制这种攻击,因此它的威胁级别也较低。
事实上,许多此类攻击都只停留在理论上。即便如此,我们也一定要注意,这些攻击手段通常有可能慢慢进化。这也是1024位密钥逐步淘汰并更换为 2048位密钥的原因之一。为了保证信息的安全性,一定要正确设计和实现可靠的加密算法。此外,我们也需要用更健全的法律保护个人隐私及向公众开放的算 法。最后,只有坚持长期斗争,才能保证真正的安全。
网友评论