介绍
互联网使用量正在急剧增长,但绝大多数互联网用户没有任何安全背景。绝大多数公司也不关心信息安全,任何攻击的严重性都可能损害这些公司的宝贵资产。他们也不给员工提供安全意识培训。因此,人是信息安全链中最薄弱的环节。
在本文中,我们将讨论SSL协议和SSL证书,这将有助于网站管理员确保用户的信息以安全的方式安全地通过Internet。此外,我们还将讨论可能导致窃取用户凭据或窃取敏感信息的无效SSL证书,这些信息可能会用于进一步的攻击。
SSL协议在Web浏览、电子邮件、Internet传真、即时消息和VoIP等应用中有着广泛的应用。
信息安全原则
众所周知,信息安全的主要做法是保护信息不受未经授权的访问、披露、破坏、修改、记录或破坏。此外,信息安全工程师的主要职责是发现、跟踪和管理我们资产的风险,这些资产可能是服务器、网络或/和人员。这些风险的影响可能会影响这些资产的机密性、完整性或可用性,因此这三项(CIA triad)是信息安全的核心原则。
什么是SSL?
SSL是Secure Sockets层的缩写;它是一种加密协议,专门用于为Internet上的通信提供安全通道。使用SSL是为了确保客户机与谁交谈。换句话说,SSL用于验证远程服务器的身份。例如,如果您正在与https://www.example.com交谈,并且SSL证书example.com有效,则表示您正在与真正的服务器交谈。
为什么使用SSL?
如前所述,Web管理员、Web应用程序开发人员和管理员通常使用SSL协议来确保用户信息以安全的方式安全地通过Internet。这有助于防止恶意攻击者或脚本kiddy嗅探网络以窃取用户凭据等机密信息,攻击者稍后可以使用这些信息来访问同一应用程序,或使用用户名和密码组合来尝试找出任何其他应用程序上同一用户的凭据。绝大多数用户总是使用相同的用户名和密码组合作为登录其他应用程序的凭据,例如,用户用于登录Facebook的凭据将与用户用于登录其Gmail帐户的凭据相同,或者,他可以通过在密码上附加一些数字或特殊字符来稍微更改密码,这也是通过使用混合攻击(在字典单词上附加数字和特殊字符)来猜测密码的一项简单任务。
SSL是一种加密协议。SSL通过创建一个安全通道来提供数据机密性,以便在Internet上进行通信,从而以机密的方式传输数据。此外,SSL还提供了数据完整性,因为SSL证书必须由称为证书颁发机构的第三方签名,因此攻击者不能自己签名伪造的证书,如果攻击者使用另一个实体的证书来欺骗受害者,浏览器将警告用户网站使用了无效证书(其他人的证书),这清楚地表明有人试图攻击他。
SSL协议的工作原理
SSL在第5层(会话层)初始化,然后在第6层(表示层)工作,如下所示:
- 在握手过程中使用非对称密码协商密码设置并确定该会话的共享密钥的会话层。
- 表示层使用对称密码和共享密钥来加密通信的其余部分。
无效的SSL证书原因
SSL证书失效的原因有很多。其中一些原因可能是:
- 吊销的证书:证书或其签名被吊销。检查吊销状态失败。
吊销的证书:
- 证书或其签名被吊销。
- 无法检查吊销状态。
无法检查吊销状态。
- 假证书:该证书是非法订阅的。
假证件:
- 证书是非法订阅的。
证书是非法订阅的。
- 证书链已断开:该链由一个自签名证书组成。该链不以受信任的根证书结尾。该链包含不用于签名其他证书的证书。根证书或中间证书已过期或其时间尚未到来。该链未生成。
证书链已断开:
- 链由一个自签名证书组成。
- 链没有以受信任的根证书结尾。
- 链包含不打算签署其他证书的证书。
- 根证书或中间证书已过期或其时间尚未到来。
- 链子不是造的。
链子不是造的。
- 证书中指定的域与建立连接的网站不匹配。
证书中指定的域与建立连接的网站不匹配。
- 证书时间冲突:操作时间已过期。操作时间尚未到来。
证书时间冲突:
- 操作时间已过期。
- 行动时间还没到。
行动时间还没到。
- 证书结构已损坏:结构已损坏。
证书结构已损坏:
- 结构损坏。
结构损坏。
- 签名检查错误。
如果您正在浏览一个通常使用有效SSL证书的网站,并且浏览器显示该网站使用了无效的SSL证书,强烈建议不要继续使用该网站,因为这可能是有人攻击您的线索。
为什么使用无效的SSL证书是危险的?
现在一些网站管理员使用无效的SSL证书在服务器和应用程序用户之间创建一个安全的通信通道。他们认为它将提供与有效SSL证书相同的安全状态,但事实并非如此,因为使用无效SSL证书将给应用程序用户带来巨大的风险,这与通过清晰的通信通道发送用户凭据的风险相同,因为任何恶意攻击者都可以嗅到应用程序用户的凭据和会话ID。
利用无效SSL证书的演示
现在我们将演示攻击者如何利用此漏洞进行攻击。我们将使用该隐和亚伯工具来开发它。根据官方网站,Cain&Abel是微软操作系统的密码恢复工具。它允许通过嗅探网络、使用字典破解加密密码、暴力和密码分析攻击、记录VoIP会话、解码加密密码、恢复无线网络密钥、显示密码框、揭开缓存密码和分析路由协议,轻松恢复各种密码。
最新版本速度更快,包含了很多新功能,如APR(ARP Poison Routing),
它允许监听交换的局域网和中间人攻击。里面的嗅探器
版本还可以分析加密协议,如SSH-1和HTTPS,并包含过滤器
从各种身份验证机制捕获凭据。有关更多信息,请访问本文末尾参考资料部分提到的Cain&Abel官方网站。
攻击者将使用以下场景利用此漏洞进行攻击:
- 攻击者和受害者必须位于同一物理网段中。
- 攻击者将安装并运行Cain软件。
- 攻击者将执行ARP中毒来嗅探受害者和网关之间的网络通信量。
- 受害者试图访问使用无效SSL证书的web应用程序。
- Cain将向受害者发送一个属于Cain的无效SSL证书。
- 浏览器将通知受害者SSL证书无效。
- 一旦用户添加了接受此证书的异常,攻击者就可以将受害者凭据和会话标识符以及任何其他活动捕获为明文。
- 攻击者可以使用网络流量分析器工具(如Wireshark)筛选搜索受害者应用程序请求的流量,然后攻击者可以从请求中提取cookies和referer参数。此外,Cain本身将所有HTTPS流量存储为文本文件格式,该格式将客户端和服务器之间的整个对话保存在Cain文件夹中名为HTTPS的文件夹中,如下图所示。
攻击者可以使用网络流量分析器工具(如Wireshark)筛选搜索受害者应用程序请求的流量,然后攻击者可以从请求中提取cookies和referer参数。此外,Cain本身将所有HTTPS流量存储为文本文件格式,该格式将客户端和服务器之间的整个对话保存在Cain文件夹中名为HTTPS的文件夹中,如下图所示。
结论
大多数网站管理员使用的是无效的SSL证书,这是一个危险的问题,因为它可能会导致通过窃取用户的凭据和会话cookies信息来模拟应用程序用户。要解决此问题,SSL证书必须由来自受信任CA(如VeriSign)的有效证书签名。
工具书类
http://en.wikipedia.org/wiki/Information\u security#基本原则
http://en.wikipedia.org/wiki/Secure\u套接字层
http://www.oxid.it
http://support.kaspersky.com/us/8466