SSL漏洞利用的新工具 SSL Strip,讓人們再次爲 WiFi 和 洋蔥代理網絡的安全而擔.SSL Strip (下稱 SSp) 可以通過中間人攻擊方式(Man-in-the-middle)在不改變SSL加密狀態的情況下,欺騙用戶盜取他們私人密碼.儘管中間人攻擊方式已經是老生常談,但本次的 SSp 貌似僞裝技巧非同一般.
但是即使修補了漏洞, SSLsniff仍然是一款功能強大的工具。比如SSLsniff 可以用來在密碼破解者組織(如MD5破解組織)中進行MitM攻擊演示。
起因
報道中據 Marlinspike 說,大部分使用SSL 的網站並非全站加密,僅對部分重要的網頁使用SSL,這就給攻擊者以可乘之機.
原理
SSp 可以篡改站點的未加密響應,劫持 HTTPS 鏈接,同時給原站鏈接已加密的假象.在用戶方面,SSp 使用了多種手段欺騙用戶.首先,其使用的本地代理含有合法的 SSL 證書使瀏覽器將頁面報告已加密(但證書提供商不同).其次SSp 還使用單應方式(homographic )創建包含虛假斜線的超長鏈接,並通過爲*.ijjk.cn獲取合法的 SSL 通配符證書,阻止瀏覽器將鏈接字符轉換爲PunyCode* ."它最邪惡的問題是(它篡改的鏈接)
看起來很像 Https://gmail.com","http與https間的橋接問題也是 SSL 部署中的一個最基礎的部分,改善這一點會很難."
該攻擊主要依賴於用戶在瀏覽器中輸入URL卻沒有直接激活SSL會話,而大部分用戶激活(SSL)會話都是通過點擊提示的按鈕。這些按鈕一般出現在未加密的Http頁面上,一旦點擊他們將把用戶帶入加密的Https頁面進行登錄。
“這爲截獲信息的方式提供了多種途徑”,Moxie Marlinspike在黑帽大會上如是說,他還聲稱自己在24小時內已經截獲了117個email帳戶,7個Paypal註冊資料,16張信用卡號碼的詳細信息。
SSLstrip通過監視Http傳輸進行工作,當用戶試圖進入加密的https會話時它充當代理作用。當用戶認爲安全的會話已經開始事,SSLstrip也通過https連接到安全服務器,所有用戶到SSLstrip的連接是http,這就意味着瀏覽器上“毀滅性的警告”提示已經被阻止,瀏覽器看起來正常工作,在此期間所有的註冊信息都可以輕易被截獲。
Marlinspike稱,它還可以在瀏覽器地址欄中顯示https的安全鎖logo,使得用戶更加相信自己訪問的安全性。
SSL一直被普遍認爲足夠安全,但部分安全研究人員曾經聲稱SSL通信可以被攔截。在去年8月,研究員Mike Perry稱,他正在和Google就一個自己即將公佈的攻擊漏洞進行討論,該漏洞將允許黑客通過WiFi網絡,來截獲安全站點的用戶通信。
危害
Marlinspike 已經用 SSp 成功的騙過了 FF 和Safari 用戶,儘管他還沒有對IE 進行測試,但他估計同樣的策略對IE將仍舊有效.
示例
1. 首先,用戶在瀏覽器中輸入http://www.usbank.com進入銀行網站首頁
2. 輸入用戶名並點擊回車
3. SSLstrip 抓取了銀行網站URL和用戶名
4. SSLstrip 連接到銀行網站服務器,並提交了用戶名
5. SSLstrip 接着向瀏覽器返回銀行Web服務器所返回的新頁面
6. 用戶在新頁面中輸入自己的密碼。
7. SSLstrip再次獲取用戶的密碼,並將密碼提交給銀行網站服務器。此時銀行網站服務器就認爲用戶已經登錄了。
8. SSLstrip再次將銀行網站返回的新頁面提交到瀏覽器上,在我看來,我已經正常登錄並可以進行下一步操作了。
也許你會問,爲什麼HTTP後面沒有加“s”,銀行網站的鏈接不都是HTTPS形式的嗎?在這個例子裏是沒有“s”的,因爲SSL連接是建立在被攻擊的電腦和銀行網站服務器間的。用戶只是將所有正確的頁面通過SSLstrip返回給了瀏覽器,但是這個過程並沒有安全隧道。那麼誰獲得了用戶的密碼也就可想而知了吧?
有一些警惕性很強同時觀察力很好的用戶,會發現這種花招,但是對於大部分用戶來說,很可能會毫無察覺。要了解更多有關這個漏洞的細節,可以參考 Moxie Marlinspike在Black Hat上的演講幻燈片New Tricks for Defeating SSL in Practice (PDF格式)。整個過程都解釋的很詳細。
New Tricks For Defeating SSL In Practice BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf