安全套接層(SSL)被用於保護無數的網絡用戶,但是它有什麼弱點呢?最近幾年出現了許多專門攻擊SSL的攻擊。雖然這個技術實際上還是比較安全的,但是攻擊者一直在尋找漏洞繞過安全協議和標準。其中SSL是他們的主要目標。SSL被用於保護敏感的超文本傳輸協議(HTTP)流量。有一些攻擊者則不這樣想,他們一直在尋找訪問敏感數據的新方法。下面我們一起探討黑客試圖攻破SSL的不同方法。
欺騙手段:欺騙用戶接入一個錯誤的證書。這是一種攻擊SSL用戶的常用方法。其方法是讓用戶不顧看到的警告或錯誤,仍然堅持訪問這個網站。雖然發起這種攻擊很簡單,但是它要求受攻擊者接受一個明顯有問題的證書。大多數用戶都會發現這種欺騙行爲;因此,這種威脅的級別較低。
虛假證書:雖然這種方法聽起來有一些牽強,但是它曾經取得成功。有時攻擊者能夠獲得一個有效的證書,然後用它們執行惡意行爲。例如,在2011年,有攻擊者攻破了荷蘭證書授權的安全機制,然後僞造了雅虎、谷歌、Wordpress等網站的證書。在獲得有效的證書之後,這些攻擊者繞過了HTTPS保護。但是,這種攻擊的整體級別仍然比較低。
移除SSL,直接通過明文發送數據:2009年出現了一種新的SSL攻擊方法,它來自於SSLStrip。這個工具不會讓用戶看到警告信息,而是充當一個代理服務器的作用,去掉了HTTPS的S(安全性),這樣用戶就只能通過HTTP直接訪問。SSLStrip還允許攻擊者給用戶看到加鎖網站圖標,所以發現錯誤的唯一方法就是瀏覽器地址欄只顯示HTTP,而不是HTTPS。如果用戶沒有注意到這個細微差別,那麼攻擊者就可以訪問到受保護的數據。這種攻擊的威脅級別屬於中級。
破解密鑰:目前大多數證書都使用1024位或2048位密鑰。2048位密鑰非常可靠,想要使用一臺普通桌面電腦來暴力破解它,這幾乎是不可能的。即使如此,已經有報告指出,National Security Agency已經成功獲得了SSL流量的訪問。雖然有人認爲NSA可能發現了新的量子計算技術,但是這個機構完全有可能直接獲得了加密密鑰或者在軟件和硬件中植入了後門(入口)。NSA及其他訪問安全數據的方法的威脅級別還不確定。
中間人攻擊:這種攻擊是一種主動竊聽形式,攻擊者將通過獨立連接訪問攻擊目標,然後向服務器發送信息。其中一個例子就是Lucky 13,它是用傳輸層安全媒體訪問控制計算的13位頭信息命名的。雖然這種密文攻擊在理論上是可能實現的,但是它要求先控制環境,而且需要很長的時間;所以,它的威脅級別非常低。
邊信道攻擊:過去幾年出現了幾次邊信道攻擊,它已經證明可用於恢復驗證所使用的HTTP請求和Cookies。 通過適應性超文本壓縮實現的瀏覽器偵測和泄漏(BREACH)就是一個例子。BREACH利用壓縮和HTPP響應,它們一般都使用gzip等機制壓縮。對於可能受到攻擊的應用,它必須使用HTTP級壓縮,在HTTP響應中加入用戶輸入,然後暴露HTTP響應體的跨站請求僞造令牌。雖然這在理論上是可行的,但是有一些方法可以抑制這種攻擊,因此它的威脅級別也較低。
事實上,許多此類攻擊都只停留在理論上。即便如此,我們也一定要注意,這些攻擊手段通常有可能慢慢進化。這也是1024位密鑰逐步淘汰並更換爲2048位密鑰的原因之一。爲了保證信息的安全性,一定要正確設計和實現可靠的加密算法。此外,我們也需要用更健全的法律保護個人隱私及向公衆開放的算法。最後,只有堅持長期鬥爭,才能保證真正的安全。