【51CTO.com快譯自7月31日外電頭條】沒(méi)有哪次黑帽大會(huì)在結(jié)束前不向IT界扔出幾個(gè)重磅炸彈的。黑帽大會(huì)的聽眾們經(jīng)常在現(xiàn)場(chǎng)目瞪口呆的發(fā)現(xiàn)他們以前認(rèn)為鋼筋鐵骨一般的安全措施在一些黑帽研究員面前瞬間變成了撲克牌搭成的紙房子。

Moxie Marlinspike就是其中的一位研究員，這次在拉斯維加斯，他向人們展示的是SSL是怎樣變成一推就倒的紙房子。你認(rèn)為SSL是安全的嗎？再想想吧。但是據(jù)Marlinspike說(shuō)，這不是SSL本身的問(wèn)題，這項(xiàng)用于保護(hù)Web（http）安全的協(xié)議本身是沒(méi)問(wèn)題的。而問(wèn)題出在大多數(shù)的SSL執(zhí)行方法是完全不安全的。這包括大多數(shù)的主要銀行、電子郵件系統(tǒng)，還有社交網(wǎng)站等等。甚至包括大多數(shù)軟件自動(dòng)更新機(jī)制。為了更多了解一些關(guān)于這個(gè)似乎會(huì)讓整個(gè)網(wǎng)絡(luò)崩潰的SSL問(wèn)題，我特意訪問(wèn)了Marlinspike。

51CTO編者按：有關(guān)什么是SSL，SSL的相關(guān)技術(shù)，可以訪問(wèn)我站的SSL專題。

“基本的想法就像是對(duì)橋梁進(jìn)行攻擊，”Marlinspike告訴我?！癝SL部署在網(wǎng)頁(yè)的方式比較特別。SSL本是一項(xiàng)安全協(xié)議，但卻很少直接調(diào)用，總是要經(jīng)過(guò)一些HTTP連接才起作用。比方說(shuō)你正在使用HTTP，你的瀏覽器一般碰到了類似于“登錄”或“我的購(gòu)物車”或“去結(jié)帳”之類的鏈接，你按一下，然后才可以進(jìn)入SSL的安全世界。請(qǐng)你考慮一下，SSL協(xié)議本身很安全，但它實(shí)際上要建立在HTTP的基礎(chǔ)上，而HTTP是很不安全的。所以就算再安全的東西如果搭建在不安全的基礎(chǔ)上也就喪失了它的安全性。

雖然過(guò)去和現(xiàn)在我也一直在討論直接攻擊SSL的問(wèn)題。但是用另一種方式攻擊SSL卻方便的多，那就是改為攻擊HTTP。” 我們來(lái)更好的理解一下Marlinspike的話，想想你自己上網(wǎng)的親身經(jīng)歷，你用過(guò)幾個(gè)網(wǎng)站是以HTTPS前綴開頭的呢（這時(shí)你發(fā)送的請(qǐng)求是經(jīng)過(guò)加密的，好在Gmail是這樣做的）。大多數(shù)用戶要么是輸入“www”（這樣默認(rèn)為HTTP），或者點(diǎn)擊搜索結(jié)果，或者各種鏈接，還有收到的電子郵件等等。讓人吃驚的地方是，據(jù)統(tǒng)計(jì)有90%的購(gòu)物網(wǎng)站直到讓你確認(rèn)實(shí)際支付的時(shí)候才會(huì)向你發(fā)送HTTPS的網(wǎng)頁(yè)。

當(dāng)你看到瀏覽器下方出現(xiàn)安全鎖標(biāo)志（請(qǐng)注意，最近偽裝的安全鎖標(biāo)志已經(jīng)到處都是了），你就會(huì)認(rèn)為“好，點(diǎn)擊鏈接會(huì)是安全的。沒(méi)什么問(wèn)題?！?再想一遍吧。所謂的中間人攻擊（MITM，man in the middle）如今已經(jīng)非常常見而且簡(jiǎn)單，黑帽大會(huì)早已經(jīng)不把它當(dāng)成一個(gè)議題來(lái)討論，它如今只能作為其它攻擊的探路兵。有各種各樣的MITM攻擊，比如你可以到一個(gè)公共的WiFi接入點(diǎn)發(fā)布相同的SSID，這樣你就可以獲取周圍用戶的連接信息，這是一個(gè)簡(jiǎn)單的MITM攻擊。

有很多更復(fù)雜的。例如，Marlinspike曾經(jīng)運(yùn)行TOR出口節(jié)點(diǎn)將自己放到之間數(shù)百個(gè)用戶和他們正在訪問(wèn)的網(wǎng)站之間。作為一種安全防護(hù)措施，很多人使用TOR來(lái)讓自己和他們的行為保持匿名。他們經(jīng)過(guò)Marlinspike的TOR出口節(jié)點(diǎn)只有幾分鐘時(shí)間，但是在24小時(shí)中，Marlinspike共收集了114份Yahoo登錄信息、50份Gmail登錄信息、42份Ticketmaster、13份Hotmail、9份PayPal、9份LinkedIn和3份Facebook的登錄信息。

他是怎么做的呢？答案簡(jiǎn)單得可笑。使用自己編寫的SSLStrip工具，他觀察所有的HTTP連接，當(dāng)他看到帶有HTTPS鏈接的網(wǎng)頁(yè)被送回最終用戶時(shí)，就截住網(wǎng)頁(yè)把所有的HTTPS鏈接中的“S”去掉。結(jié)果如何呢？那些原先帶有安全鏈接的頁(yè)面中現(xiàn)在全都是不安全的鏈接，這意味著用戶點(diǎn)擊這些鏈接傳送回來(lái)的任何信息（密碼，信用卡號(hào)碼等）都一目了然。

Marlinspike說(shuō)，“SSLStrip所做的就是HTTP連接的中間人，觀察流量，如果看到出現(xiàn)安全鏈接或重定向，就簡(jiǎn)單的把這些換成看上去相同但不安全的鏈接。因此，用戶根本不會(huì)用到SSL。這個(gè)辦法在絕大多數(shù)用戶身上都能成功，他們不會(huì)引起注意。” 最后，作為中間人，Marlinspike并不會(huì)終止連接或偽造目標(biāo)網(wǎng)站。相反，他會(huì)讓連接流量繼續(xù)通行，這樣連接雙方誰(shuí)都不會(huì)注意到這個(gè)問(wèn)題。我問(wèn)Marlinspike后果是什么。

“后果是你的數(shù)據(jù)不再安全?；旧峡梢哉f(shuō)今后我們可以擁有你所有的安全信息。你的用戶名、你的密碼、信用卡、銀行信息……所有的一切。因?yàn)楝F(xiàn)在的SSL實(shí)施狀況，所有這些都不能得到保護(hù)。另外的結(jié)果是，我們還可以控制你的計(jì)算機(jī)，因?yàn)橛泻芏嘧詣?dòng)更新機(jī)制也使用SSL，我們可以劫持它們，把我們自己的軟件安裝在計(jì)算機(jī)上。這樣，我們有你的所有信息，還可以控制你的機(jī)器里的軟件運(yùn)行。所以，這是致命的?！?這的確是致命的。黑帽大會(huì)的聽眾又是如何回應(yīng)Marlinspike的報(bào)告的呢？只要在Twitter上搜索“Marlinspike”就能得到答案。你會(huì)看到無(wú)數(shù)“可怕”和“恐怖”這樣的字眼。

【51CTO.com譯稿，非經(jīng)授權(quán)請(qǐng)勿轉(zhuǎn)載。合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com，且不得修改原文內(nèi)容。】

原文：Bombshell From Black Hat: Almost All Implementations Of SSL Are Configured To Give Up Everything     作者：David Berlind

【編輯推薦】

1. 黑帽大會(huì)：牽系著互聯(lián)網(wǎng)安全的神經(jīng)
2. 黑帽大會(huì)：黑客怎樣打開美國(guó)五角大樓的安全鎖
3. 全球黑客盛會(huì)：2008年黑帽大會(huì)要聞?wù)?/A>