在拉斯维加斯举办的2010年黑帽安全大会和Defcon黑客大会上,有几份报告是关于SSL(安全套接层)现状和SSL漏洞及攻击的。
许多用户和一些企业过分得依赖SSL,认为SSL是网络安全的万能药。然而,在网站上使用SSL时并不能使企业免受所有网络安全漏洞的影响,即使在最佳的情况下SSL也只是在客户和服务器之间提供了加密的链接。在这篇文章中,我们将讲述为何企业应该仔细评估SSL最新漏洞对计算环境可能造成的风险,以及应该采用哪些措施来降低这些风险。
SSL现状:SSL漏洞和攻击
SSL是在1994年由Netscape(美国网景公司)研发的,目的是为新兴通讯媒介(即因特网)上的电子商务建立起安全的连接。自那时起,人们又对SSL进行了几次改进,例如传输层安全协议(TLS),但是SSL仍存在许多漏洞和攻击。Defcon 2010上的EFF SSL考察计划(SSL Observatory Project),以及在2010黑帽安全大会上Qualys公司的SSL实验室报告,都向人们展示了当前SSL所存在的不足。
作为研究的一部分,EFF项目收集了在互联网上使用的SSL证书,并记录了SSL客户和服务器之间的一些有趣行为。其中一个最大的发现是:有大量使用SSL的服务器和认证中心(CA)存在安全隐患,极易受到透明的中间人(man-in-the-middle)攻击。而这些服务器和认证中心中的大部分仍然被他们的企业用户所信赖。
来自Qualys公司SSL实验室的报告专注于密码选择、SSL协议以及目前SSL在互联网上应用时存在的不足。报告中很重要的一点是:网络浏览器只需安装10到20个根(root)证书授予机构就可以在大多数网站上使用SSL功能,而不是像IE和Firefox一样将所有的认证中心设为默认。那些狡猾、有野心的攻击者会选择攻击这十多个CA,而每个CA都可以为DNS(域名服务器)进行认证,所以攻击能在网络上造成巨大的危害,这确实是一件值得关注的事。
该报告记录描述了使用认证度低的证书会造成的攻击,这些证书是在DebianLinux操作系统中生成的,它们在OpenSSL补丁发布之前生成,该补丁可以移除证书中存在的一项问题。这些证书的危害在于,它们能够导致中间人攻击、碰撞攻击(collision attacks),还有黑客暴力破解认证中心根密钥以伪造任何类型的证书进而导致的攻击。SSL renegotiation漏洞也可以被黑客利用,进而控制SSL的链接。
知晓何种配置易受攻击,确定一个企业的特定风险,这些工作都比较困难,尤其是现在SSL的设置越来越复杂。目前许多SSL设置都包括负载均衡、通配型证书等。所以说,企业目前所面临的威胁不是微不足道的,但确定哪些系统易受攻击这一点还是可以做到的。
利用上述研究小组的新成果,黑客不仅能够确定一家企业的SSL服务器,还可以获知SSL在这些服务器上的使用情况。一旦黑客发现某台SSL服务器的安全性较低,他就可以利用这一点发起攻击(如中间人攻击),从而对SSL上的网络流量进行查看和操控。这些攻击还能危及其他的协议,所以为了安全起见,用户还可以使用与EFF和Qualys研究人员同样的方法,扩大对这些危害的了解深度,去研究其他一些使用了SSL的非HTTP协议,例如IMAP、SMTP等。这样能够更深入认识服务器上SSL的使用情况,这样才能帮助你了解在加密过程中哪些地方使用了安全性低的证书和协议,以及黑客可能会在系统的哪些地方发起攻击。
要确定客户是否容易受到上述攻击的威胁,可以检测目前所使用的浏览器版本,有两种方法:被动流量分析或检查客户端。这项检测有助于确定SSL服务器所默认的可信赖认证中心,以及这些认证中心能否被用来攻击系统,或攻击由该认证中心所建立的连接。这项检测对非HTTP协议也有效,但因为非HTTP协议所支持和使用的加密选项或许不同,所以检测的工程会更复杂些。
