解决SSL攻击的方法
SSL的窃听和安全最近颇受关注,吴洪声提出了一种SSL窃听攻击的思路,主要是利用了CA签发证书的一个重大缺陷:只验证目标网站的域名信箱即可签发该网站的证书,因此,只要搞到目标网站的一个信箱,就可以窃取到这个域名的SSL证书。
因此,大多数免费邮箱或公司邮箱的SSL证书都存在网站SSL证书被窃取的可能性,Gmail由于使用mail.google.com而不是www.gmail.com,因此得以幸免于难。然而,有权使用google.com的Google公司的员工依然有可能获取google.com的SSL证书,一旦该证书被用于大规模的域名劫持,后果不堪设想。
如果想要避免这种SSL证书窃取,CA需要修改目前的签发流程,即在签发前需要验证申请者对于该网站具有管理权限,例如,在网站的首页增加一小段隐藏代码,或者在网站上传一个指定的HTML文件,这样,只有真正的网站拥有者才能做这样的操作,非法窃取者即使有了该域名的邮件,也无法获取该域名的证书。
当然,从根本上讲,这个攻击并非对SSL安全协议本身的攻击,只是对其发行机构的攻击,SSL协议目前来说还是安全可靠的。
名词注释:SSL
安全套接字层 (Secure Sockets Layer,SSL) 是一套提供身份验证、保密性和数据完整性的加密技术。SSL 最常用来在 Web 浏览器和 Web 服务器之间建立安全通信通道,用以保障在 Internet 上数据传输之安全,SSL 利用数据加密技术,确保数据在网络上之传输过程中不会被截取及窃听,它也可以在客户端应用程序和 Web 服务之间使用。
看到一个前Netscreen出来的创业公司的产品的介绍,其中谈到它能够截获SSL通讯并进行“审计”,相当恐怖:
对 外发信息进行审计,防止机密外泄及不必要的法律纠纷,是UTM Plus中上网行为管理模块的另一大作用。该模块对HTTP、FTP、SMTP和主流即时通信类应用提供了由信令到内容层面的审计能力,莫说论坛发帖,就 连163、Hotmail、Gmail、QQ邮箱等国内应用比较广泛的Webmail发信都被囊括在内。妄想使用Gmail等采用HTTPS登录的Webmail逃避检查也是徒劳的,UTM Plus内置的SSL代理可以截断所有单向验证的SSL请求,对解密后的内容进行控制、审计。也就是说,利用这个代理,一切基于SSL隧道的应用协议都被纳入控管范围,不会再有漏网之鱼。不过,我们也注意到内容审计功能开启时,客户端并不会得到任何提示,山石网科称会在产品正式发布时以告警提示和法律免责申明的方式加以完善。
Sent to you by 参考消息 via Google Reader:
via GFW BLOG by noreply@blogger.com (GFW Blog) on 9/25/09
作者:老冒 来源:http://robertmao.com/2009/09/25/gfwssl/据说GFW发飙了,大部分翻墙措施,包括Tor都被攻陷了。via @iGFW
# GFW今天发飙了,各路翻墙楼梯将被锯掉,#GFW
# PUFF 倒下 #GFW
# UltraVPN、AlwaysVPN、AlonwebVPN、YourFreedom倒下 #GFW
# Hotspot、Itshidden、CybeyghostVPN倒下 #GFW
# 大量PHproxy、GlypeProxy、Appspot.com上的Proxy、Psiphon倒下
# Freedur、Skydur倒下
# Gladder、Phzilla倒下
# Skydur倒下 #gfw
# Tor、JAP正慢慢倒下
# Phproxy类Web代理被群奸,建议嵌套一次用。用一个Web代理套另一Web代理再操 #GFW
# JAP也就是现在的Jondo,和Tor是共用节点和桥的
# glype已经和phproxy一起废了
# 用Mirrorrr在GAE上搭建的众多Proxy倒得差不多了
# Tor已完全倒下,套都破了
# Tor死的很惨,目录服务器、桥服务、国外第一条节点等均被破解,就算将Tor套上代理成功启动(洋葱变绿)都是徒劳。
# Puff 惨遭 #gfw 追杀,最新0.03b2版本倒下无独有偶,看到一个前Netscreen出来的创业公司的产品的介绍,其中谈到它能够截获SSL通讯并进行“审计”,相当恐怖:
对 外发信息进行审计,防止机密外泄及不必要的法律纠纷,是UTM Plus中上网行为管理模块的另一大作用。该模块对HTTP、FTP、SMTP和主流即时通信类应用提供了由信令到内容层面的审计能力,莫说论坛发帖,就 连163、Hotmail、Gmail、QQ邮箱等国内应用比较广泛的Webmail发信都被囊括在内。妄想使用Gmail等采用HTTPS登录的Webmail逃避检查也是徒劳的,UTM Plus内置的SSL代理可以截断所有单向验证的SSL请求,对解密后的内容进行控制、审计。也就是说,利用这个代理,一切基于SSL隧道的应用协议都被纳入控管范围,不会再有漏网之鱼。不过,我们也注意到内容审计功能开启时,客户端并不会得到任何提示,山石网科称会在产品正式发布时以告警提示和法律免责申明的方式加以完善。
不知道其技术实现具体细节如何,貌似是通过一个“SSL代理”来做到的,但是这个代理是对用户透明的吗? 如果是代理如何欺骗用户端的证书认证的呢?
如果这个技术是真实有效而且透明的,一旦被GFW利用后果不堪设想啊。
敬请订阅我们:http://feeds2.feedburner.com/chinagfwblog,在twitter跟随我们:http://twitter.com/cdt。翻墙工具介绍和下载:http://www.sesawe.org/和http://www.sesawwe.net/。
Things you can do from here:
- Subscribe to GFW BLOG using Google Reader
- Get started using Google Reader to easily keep up with all your favorite sites
--
鹅是一个兵,来自老百姓
鹅不是老大,天才是老大
您无所不谈,鹅也不例外
鹅是参考消息@无所不坛
janadabc.blogspot.com
墙内请用谷歌阅读器订阅
--~--~---------~--~----~------------~-------~--~----~
您收到此信息是由于您订阅了 Google 论坛"参考消息(G4G)"论坛。
要在此论坛发帖,请发电子邮件到 go2group@googlegroups.com
要退订此论坛,请发邮件至 go2group+unsubscribe@googlegroups.com
更多选项,请通过 http://groups.google.com/group/go2group?hl=zh-CN 访问该论坛
-~----------~----~----~----~------~----~------~--~---
没有评论:
发表评论