SSL之父称SSL不会因被攻击而失去生命力
SSL创建者之一,Axway CTO Taher Elgamal称,虽然发现了SSL/TLS (BEAST)在浏览器中的漏洞,且其证书验证失效,但是如果对其进行适当升级,该协议还是可用的。问题其实无关乎SSL/TLS本身,而是其周边的信任架构,以及修补协议漏洞时产生的问问题。Network World高级编辑Tim Greene最近就此问题采访了Elgamal。以下是双方的对话内容。
BEAST利用的漏洞早在2004年就已经出现,问题症结在哪里?
问题有些复杂,安全协议确实存在缺陷,我们应该意识到必须对协议进行升级和修补。全球所有浏览器都是使用TLS,这一协议就存在此漏洞。所以又必要了解这一攻击到底是怎么一回事。
BEAST的部署方式是在浏览器上安放恶意软件,这样就可以迫使浏览器产生cookies,然后这些cookies会被发送出去,然后再使用中间人攻击的方式获取加密数据。这一用户就遭受了所谓选定的纯文本攻击——用户选择纯文本,读取密文然后尝试进行匹配找出密钥。这种手法相当聪明。
从实践角度来看,真正的问题是用户不得不在机器上安装恶意软件。其实,如果可以在用户机器上安放恶意软件,就不需要使用SSL,因为攻击者可以在数据加密前看到所有数据。
这一威胁之所以传播得如此快,是因为全球有二十亿浏览器用户,而且所有浏览器都是用SSL,而且所有电子商务网站使用的都是该协议,因此我们必须谨慎对待。况且,Windows其实是不太理想的操作系统,它很容易被恶意软件利用。
采取什么方法比较实际?使用TLS 1.1?
遗憾的是这并非解决之道。很多浏览器目前仍不支持TLS 1.1。这才是问题所在,尽管TLS 1.1已经有两年多的历史。企业用户可以为此做些什么呢?企业用户应该留意恶意软件。确保自己的机器运行状态良好,使用的是a/v和反恶意软件定位工具。
TLS 1.1有什么负面影响吗?谁都希望一劳永逸,渴望可以获得永久的安全性。在过去十年时间里,电脑技术飞速发展,因此现在安全的东西不代表将来会安全。这倒是跟特定的安装,协议或是操作系统没有关系。必须对有缺陷的地方加以监控,及时更新,而这些都不会是一劳永逸。其实这与SSL没有什么关系,只是因为SSL被广泛使用到电子商务中,才成了替罪羊。作为一种协议,用其本身来做替换并不能解决什么问题。
事实上,带有内置root密钥的浏览器并非好事,但这种情况却很难改变。我们应该已经把受信任的的对象隔离开。如果不能隔离受信任的root,那么最好是创建一个每个人都要咨询的边缘声誉系统。当浏览器从未知CA处获取证书后,它会对其信誉进行询问。如果这一CA做了不恰当的事情,其信誉会下降,浏览器也会拒绝与其建立连接。比起保护消费者,我们更希望他们对网页的访问更方便。因此,我们才允许访客实施随机信任。在有人信任了某个事物后,很难在当前安装中再对其表示不信任。所以浏览器要放弃一些东西。虽然有些遗憾,但是这仅仅与PKI被部署到浏览器当中的方式有关系,而与特定的协议无关。你可以移除SSL,改用IPSec,相同的问题仍然会存在,因为二者都是使用PKI。
可以采取什么措施?
如果有什么办法可以把受信任对象从浏览器供应商中区分开,那自然最好。而受信任的root应该是具备内置信誉生态系统的互联网。所有CA都将内置声誉,因为这就是互联网的运作方式,这样你也拥有更优的信任模式。
如果发生这种情况,而且人们已经注意到当特定的CA正在发布不良证书的时候,其声誉系统会立刻将其剔除。不需要发布什么补丁,也不需要等别人提醒我们升级,该生态系统会自动完成操作。
工作机制
我们必须创建一种机制执行自动更新。如果我们打算使用更新协议完成自动更新,那么出现新版本的时候,它自己会找到更新地址而不需要等待Windows更新。
作者:粟薇/译 来源:it168网站 原文标题:SSL之父称SSL不会因被攻击而失去生命力一安全研究人员演示了通过劫持安全套接字协议层(SSL)会话来截获注册数据的方法。 Moxie Marlinspike在周三的黑帽安全大会上解释了如何通过中间人攻击来破坏SSL层会话。该研究员通过Youtube视频解释该攻击使用了名为SSLstrip的工具,可以利用http和https会话之间的接口。
据国外媒体报道,安全专家研究发现日前300多个网站被受Pushdo僵尸网络控制的肉鸡电脑纠缠攻击,发送伪SSL ping,它们看起来像是在试图启动一个SSL握手,但这是畸形的,握手后服务器将收不到任何的下一步请求。
相关文章
- 如何缓解DDOS攻击
- Windows现漏洞 可绕过AppLocker白名单实施攻击
- 于bugku中游荡意外得到关于CBC翻转攻击思路
- 带你走进二进制-一次APT攻击分析
- 多管齐下,防御拒绝服务攻击
- 同样是路过式,登录与下载攻击区别何在?
- 评估OPM攻击后指纹识别技术
- 跨域post 及 使用token防止csrf 攻击
- 那些造成物理破坏的关键基础设施攻击
- 钓鱼攻击之猖獗程度已达历史新高的十项理由
- 如何通过SSH隧道实现 Windows Pass the Ticket攻击?
- “大声bb”–攻击Linux和FreeBSD的恶意软件
- 赛可达推病毒攻击检测和情报分享服务
- 网络安全:XSS跨站脚本攻击
- 制作横版游戏KillBear第7课:攻击判定 伤害飘血
- Arbor 基于应用层识别防护DDoS攻击
- unityRPG游戏攻击的判定
- [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(二)