您的位置: 网界网 > 周报全文 > 正文

[周报全文]黑帽戏法—Black Hat USA 2009侧记

2009年08月12日 13:09:27 | 作者:网界网 鲁媛媛 蒙克 | 来源:网界网 | 查看本文手机版

摘要:相比“奇装异服”的江湖派Defcon,Black Hat 更像是一场温文尔雅的学院派交流。这里的嘉宾可以像魔术师一样尽情在舞台上表演自己神奇的“戏法”,而无须担心来自台下FBI的暗中监视。

标签
黑帽大会
Black Hat

Black Hat大会主会场

【CNW.com.cn 专稿】这年头,花费 2095美元去参加一场会议该算是件奢侈的事情了。相比Defcon(全球两大公开黑客集会之一,另一个是Black Hat) 只要 120美元的注册费用,Black Hat被称为目前世界上最贵的黑客大会并不夸张。虽说经济危机的阴霾还未散去,但是Black Hat USA 2009(黑帽安全大会)还是如期于725~30日在美国拉斯维加斯举行了。

SSL黑影

本次大会分为培训(Training725~28日)和简报(Briefing729~30日)两部分。思科、RSA、微软、QualysIOActive众多领导厂商,以及独立安全研究人员都在会上发表了自己最新的研究成果。而今年,最为引人瞩目的当属SSL(安全套接层协议层)所面临的威胁。

2007年的Side Jacking攻击和2008年的CA证书伪造之后,今年大会上一位叫Moxie Marlinspike的安全研究人员演示了最新的SSL弱点,即网站用来防止密码、信用卡号,以及其他敏感信息在传输过程中被窃听的加密历程。这使得人们对SSL的安全问题大为惊呼。据观看过此演示的Black HatDefcon大会创始人,现任美国国土安全部顾问的Jeff Moss称,该攻击非常新颖,并且很酷。

Marlinspike表示, 为了让用户相信自己正在使用一个加密的连接跟预期的站点通信,SSLStrip利用了一些现成的诡计:首先,此工具在局域网上使用了一个包含有效SSL证书的代理,使得浏览器会在地址栏显示一个“Https”。其次,它使用homographic技术创建一个长的URL,在地址中包含了一系列伪造的斜杠。(为防止浏览器将这些字符转换成Punycode,他必须获得一个用于*.ijjk.cn的通配 SSL 数字证书)。

国内一个网名叫hurricane_81的黑客技术圈人士表示,SSLStrip的这个攻击策略确实很巧妙,主要是利用了用户的疏忽。“因为大部分网站提供的SSL服务页面都是由一个未加密的页面跳转过去的,而一般的用户并不会去观察标题栏的细微变化。”

“可怕的是伪装之后的网站看来非常像https://gmail.com 。”Marlinspike举例说,“问题在于HttpHttps之间的桥接,而这是SSLWeb中部署方式的基础部分。但很显然,要想改变这些绝非易事。”

目前,Marlinspike已经成功将该攻击应用于使用FirefoxSafari浏览器的用户身上,虽然他还没有在IE上做实验,但Marlinspike有足够的理由相信,即使小心谨慎的用户也不会将时间花在确保他们的会话被加密等这些小事情上。为了证明他的论点,他在托管于Tor网络中的一个服务器上运行了SSLStrip。在一天时间内,他收集到了访问YahooGmailTicketmasterPayPalLinkedIn等站点的254个用户密码。而最为令人担忧的是,即便地址栏中没有显示关键的“Https”,这些用户还是毫不犹豫地输入了他们的密码。

此次演示的攻击可能会引起诸如Mozilla、微软和VeriSign等公司的极大不安,尽管这些公司的工程师已经竭力去使用各种方法来提高SSL的可靠性。如微软就表示正在调查这个漏洞,而生产FirefoxMozilla公司则称最新版本的浏览器已将漏洞修补,其他版本浏览器的防漏洞补丁将在几日内发布。

而作为最大SSL安全证书生产商之一的美国VeriSign公司声称自己的安全证书不易受黑客攻击。该公司产品市场经理Tim Karen表示,黑客无法攻击增强型SSLEVSSL)安全证书,它采用更为严格的验证方式,当然价钱也会更贵。但有些专家却不赞同这一观点,他们称EVSSL也无法保护那些每次登录时都无暇顾及浏览器地址栏的用户。即使用户这样做了,但是还是有一些站点懒得在登录页面中使用Https。所以在这样的情况下,危险依然存在。

美国一些安全专家称,对于用户来说,最简单的防御措施就是在浏览器中输入完整的Https地址,或者将它们存为一个书签。这样,即使SSLStrip这样的工具也没有机会来修改网站的未加密的链接了。而中国的一些专家则认为,比较可行的办法,就是通过使用数字证书或DKEY认证,这样就能保证即使SSLStrip在建立起了明文连接后,也无法进行透明代理。此时SSLStrip不能获取数字证书,无法进行正常的身份认证,因此就能避免SSLStrip的攻击。目前国内各大银行提供的网上银行均采用这类认证方式。

123
[责任编辑:程永来 cheng_yonglai@cnw.com.cn]