北京時間2020年3月27日9點整,如往常一樣來到公司,帶開電腦,正準備打開Github網站看一會源代碼,再開始手頭的工作。喲吼,一直打不開,一直出現如下頁面:
我想很多網友也嚐到了甜頭,各大技術羣炸開了鍋,據網友反饋有攻擊者正在發起大規模的中間人挾持,京東和Github等網站等網站都受到了影響。
什麼是中間中間人挾持呢?
簡而言之,就是攻擊者在數據網絡傳輸的過程中,截獲傳輸過程中的數據並篡改其中的內容。對於Http來說,不需要太多的步驟就可以監聽和修改報文,Http是非常不安全的。
但是Https使用了SSL加密協議,能夠達到在網絡中安全傳輸,爲什麼呢?因爲Https中使用了對稱加密和非對稱加密的形式對數據和公鑰進行了加密,並且利用第三方權威機構頒發CA證書,讓僞造的過程變成非常困難。
從圖中可以看出ssl證書僞造主要有以下幾個步驟:
- 截獲用戶和服務器通信的通道
- 然後在用戶與服務器進行通信的時候,中間人對於用戶來說僞裝成了服務器,對於服務器來說僞裝成了客戶端。
- 並獲取到服務器真實有效的 CA 證書(非對稱加密的公鑰),獲取到客服端的之後通信的密鑰(對稱加密的密鑰)。
- 然後持續與客戶端和服務器進行通信,具體的詳細原理圖如下:
更加詳細的Http和Https的介紹請看着一篇文章[]。
印象中黑客都是神祕的,讓人感覺就是技術非常厲害的樣子,並且都帶有一種貶義的情感色彩在裏面,大部分人都覺得黑客就是攻擊別人網站的人。
其實黑客分爲白帽子黑客和黑帽子黑客,在我們看到的每一個官方的網站後面都有一個網絡安全部門,負責阻擋該網站被黑帽子黑客攻擊,黑帽子黑客也叫做駭客,因爲利益的誘惑走向了不歸路。
阿里巴巴的安全團隊的負責人吳瀚清。帶領他們的安全團隊,每天抵制網絡黑客的16億次攻擊,國內37%的網絡安全就是依靠吳瀚清和他的團隊。
對於黑客除了有強大的網絡知識以外,就是善於利用各種網絡工具,最常用的就是抓包工具。
抓包工具一般都是用戶主動將其設置成系統的網絡訪問代理服務器,使得所有的網絡訪問請求都通過它來完成,從而實現了網絡封包的截取和分析。
對於其它工具則是利用 DNS欺騙、ARP投毒、劫持網關等手段,將客戶端的請求重定向到攻擊者的機器,以便進行網絡抓包。
訪問Github時候,之所以會出現圖一,因爲我們在訪問Github的時候,經過了中間人,然後中間人返回了他自己的自制的簽名證書,是因爲中間人使用的自制的簽名證書,不被客戶端的瀏覽器信任,所以訪問網站的時候會出現安全警告。
什麼又是簽名證書呢?
簽名證書總的一句話概括就是,告訴你是誰,就好像,在客戶端與服務器之間進行通信的時候?客戶端咋知道來信的那個到底是不是我要訪問的那個服務器,就是通過簽名證書證實的。
其中CA就是證書頒發機構權威機構,該機構是被所有瀏覽器信任的,就好像你信任銀行,並把現金存入銀行,讓他幫你進行保管,CA的身份已經被操作系統信任了,並安裝在證書的倉庫裏。
並且CA證書已經嵌入到客戶端的瀏覽器,當拿到來訪者的CA簽名證書會與瀏覽器的簽名證書進行比較,發現證書不是CA機構頒發,就會發出警告該網站不被信任,存在訪問的安全隱患。
我們可以通過以下的方式進行查看本地瀏覽器的證書,打開設置->高級->管理證書,如下圖所示:
另外還可以自制簽名證書,可以安裝在自己的瀏覽器上,實際上不建議大家使用自己生成的SSL證書,因爲自己生成的SSL證書不安全。
自己生成SSL證書使用的是1024位 RSA 密鑰,它是不安全的,各大瀏覽器均要求停止使用不安全的1024位加密算法。
隨意安裝自簽名的證書的安全風險大,一個機構如果將自己的根證書(自簽名證書)潛伏在用戶證書倉庫裏,隨後頒發任何虛假證書,瀏覽器都會相信並與之建立安全加密通信,而用戶壓根覺察不到任何異常,這是很危險的!
據相關的報道該次的事件很有可能是初學者,只是可能在學習爲了測試,但是沒想到影響的規模這樣大,導致大量用戶無法正常訪問京東和GitHub。
根據藍點網站的信息爆出自簽名證書顯示證書的製作者暱稱爲心即山靈 (QQ 346608453),是否是該QQ的真是本人發起的攻擊還在進一步的調查中。
更加讓人難以置信的是爆出該中間人可能是個高中生。這下讓所有人都安定了,現在的高中生都那麼厲害的嗎?
對於沒技術的我默默的留下了沒技術的眼淚,反正我是沒這種技術,真的是編程從孩子抓起。
這件事情的最關鍵點就是可能是初學者進行測試,導致的。但是缺乏正確的測試方法,和正式的領導,導致這樣的後果,這個真的是讓人有點欲哭無淚了。
最後不管怎麼樣,技術是沒有罪的,社會的進步和發展需要技術的支撐。但是對於初學者來說,在學習技術的過程中,需要正確的學習方式,和有成熟的技術人的正確的領導方式。
對於技術來說,我們應該心存敬畏之心,敬畏技術,而不是濫用它,爲了謀取自己的私利,不擇手段的濫用技術。心術不正之人,遲早會嚐到惡果。