老周，有人找你，一大早，361 殺毒公司的老周就被吵醒。今天的陽光很明媚，老周伸了伸懶腰，這才踱步走向工作室。

[[315648]]

圖片來自 Pexels

1、廣告再臨

“是誰一大早的就來吵吵，壞了我的瞌睡”，聽得出來，老周有點(diǎn)不太高興。

“咚咚～”，老周微微抬頭一瞥，只見一甜美女子出現(xiàn)在工作室的門前。

[[315649]]

老周一下從座椅上彈了起來，三步并作兩步，走到女子面前，作出歡迎的手勢(shì)：“美女請(qǐng)進(jìn)”。

二人坐罷，老周扶了下鏡框，又整理了一下格子襯衣，一副溫文爾雅的作態(tài)，輕聲問到：“不知美女到訪，所為何事?”

女子倒是一副焦急的樣子，“您好，我是 Chrome 瀏覽器公司的小雪，最近我們?cè)L問千度網(wǎng)、淘貝網(wǎng)的網(wǎng)頁中時(shí)常出現(xiàn)不少奇怪的廣告，一直被投訴，聽領(lǐng)導(dǎo)說 361 殺毒公司的周老師是這方面的專家，想請(qǐng)您幫忙診斷一下，到底這些廣告是怎么來的”!

老周聽得有些不好意思，連連揮手，“原來是小雪姑娘，哪里哪里，勇斗病毒木馬，消滅流氓軟件本就是我 361 公司的分內(nèi)之事，在下也只是盡一些綿薄之力罷了”。

“周老師別謙虛了，您之前揪出 IE 公司的木馬入侵的事跡已經(jīng)傳遍整個(gè) Windows 帝國了，大家都知道您的厲害。這一次廣告的問題，就拜托了”，小雪看著老周，仿佛眼里閃著星星。[[315650]]

“別客氣，這事兒包在我身上了”，小雪起身，連說了幾句謝謝就離開了。

2、誰動(dòng)了 HTTPS 流量

此刻，負(fù)責(zé)網(wǎng)絡(luò)數(shù)據(jù)過濾的大白正在忙碌著，突然一只手搭在了他的肩膀上，大白回頭一看，正是老周。

“老周，什么風(fēng)把你吹到這里來了，你不在安全實(shí)驗(yàn)室分析惡意代碼，跑我們網(wǎng)絡(luò)部門來干嘛?”

老周拍了下大白的肩膀，說到：“大白啊，有點(diǎn)事想請(qǐng)你幫幫忙，你幫我瞅瞅，Chrome 瀏覽器的流量中是不是被插入廣告了?”

“就這事啊，前段時(shí)間發(fā)現(xiàn)路由器老給插入廣告，我就給做了特征屏蔽，原以為它們消停了，這才沒幾天又卷土重來了?”，大白說完調(diào)出了 Chrome 公司的流量，準(zhǔn)備一看究竟。

大白越看眉頭鎖的越緊，“應(yīng)該沒有吧，我看訪問千度網(wǎng)和淘貝網(wǎng)都是用的 HTTPS 協(xié)議，按理說路由器沒有可能插入廣告了啊!”

“HTTPS 協(xié)議?為什么用這個(gè)就沒法插入廣告?”，老周問到。

“這都不知道啊，你這 361 公司安全實(shí)驗(yàn)室領(lǐng)導(dǎo)怎么當(dāng)上去的啊”，大白一臉無語的表情。

[[315651]]

老周有點(diǎn)難為情，“唉，老弟你也別取笑我了，這個(gè)術(shù)業(yè)有專攻嘛，我擅長病毒木馬代碼的分析，對(duì)網(wǎng)絡(luò)協(xié)議這塊確實(shí)知之甚少，勞煩大白老弟給說道說道”。

大白似乎是感覺自己的話說的有些重了，也借坡下坎，“老周啊，剛才我跟你開玩笑的，你可別往心里去啊”。

“沒事沒事，你快給我說說這 HTTPS 協(xié)議，幫助我早點(diǎn)破案吧!”

“好嘞，你稍等啊”，說完，大白開始在白板上畫了起來。

3、什么是 HTTPS

“HTTPS=HTTP+SSL/TLS，這門技術(shù)，說簡(jiǎn)單也簡(jiǎn)單，說復(fù)雜也復(fù)雜。簡(jiǎn)單來說，就是為了網(wǎng)絡(luò)數(shù)據(jù)的安全性，通過加密傳輸?shù)姆绞絹韺?duì)傳統(tǒng)上網(wǎng)的 HTTP 流量進(jìn)行保護(hù)”，大白一邊畫著圖一邊給老周講述。

[[315652]]

“明白，那么問題來了，用什么加解密算法呢?對(duì)方如何知道用什么算法以及用什么密鑰解密呢?”，老周一下抓到了關(guān)鍵點(diǎn)。

“唉，問到點(diǎn)子上了。在正式傳輸數(shù)據(jù)之前，雙方會(huì)有一個(gè)協(xié)商過程，為后面所選擇的加密算法，以及要使用的密鑰達(dá)成一致。”

“那么問題又來了，這個(gè)協(xié)商的內(nèi)容要是被別人知道了，他不就可以按圖索驥，解密傳輸?shù)膬?nèi)容了嗎?”，老周的反應(yīng)很快。

“老周果然是老周!加密算法被知道是無所謂了，畢竟算法都是公開的，關(guān)鍵在于這個(gè)用于后續(xù)加密的密鑰，這個(gè)才是需要保護(hù)的關(guān)鍵，這個(gè)不能讓別人知道”，說罷，大白又繼續(xù)畫起來。

[[315653]]

“so?怎么保護(hù)這個(gè)密鑰呢?你倒是說啊”，老周有點(diǎn)著急了。

“注意哦，高能來了，雙方使用一個(gè)叫非對(duì)稱加密的方式來傳輸...”

"等一下"，老周打斷了大白，“非對(duì)稱加密，這是個(gè)什么意思?”

大白默默嘆了一口氣，“常見的加密方式叫對(duì)稱加密算法，所謂對(duì)稱，就是加密和解密使用同一個(gè)密鑰。那與此相對(duì)的，非對(duì)稱加密，就是說加密和解密使用的是不同的密鑰，明白了吧”!

老周略微思索，點(diǎn)了點(diǎn)頭，“我知道了，你繼續(xù)剛才說的，怎么用這個(gè)非對(duì)稱加密算法來傳輸后面需要的密鑰呢!”

大白繼續(xù)說到：“客戶端產(chǎn)生一個(gè)隨機(jī)數(shù)，使用公鑰加密，發(fā)給服務(wù)端，服務(wù)端使用私鑰解密取得這個(gè)隨機(jī)數(shù)，再根據(jù)這個(gè)隨機(jī)數(shù)和其他信息計(jì)算出一個(gè) key，就作為后續(xù)加密內(nèi)容使用的密鑰了!”

“等等，客戶端的公鑰是哪里來的?”

“最開始的時(shí)候，客戶端發(fā)來請(qǐng)求，服務(wù)端在響應(yīng)中，會(huì)把公鑰告訴客戶端。好了，我畫完了，整個(gè)過程就是這樣的。”

大白放下畫筆，一副完整的 HTTPS 協(xié)議握手過程圖浮現(xiàn)了出來：

老周反復(fù)端詳，許久總算開口：“過程我倒是看懂了，不過我總感覺這不多此一舉嗎，直接使用非對(duì)稱加密算法不就得了，這么折騰!”

大白連連揮手，“你想的倒是簡(jiǎn)單，非對(duì)稱加解密算法執(zhí)行起來麻煩的多，耗費(fèi)的時(shí)間會(huì)多很多倍，如果全程使用非對(duì)稱加密算法，那將會(huì)嚴(yán)重影響上網(wǎng)體驗(yàn)。算法是個(gè)好算法，但用的代價(jià)也很大，所以權(quán)衡之下，好鋼用在刀刃上，就只用來傳輸密鑰，后面的正式數(shù)據(jù)傳輸，還是用常規(guī)的對(duì)稱加密算法，來的經(jīng)濟(jì)劃算。”

老周點(diǎn)了點(diǎn)頭，一會(huì)兒低頭思考，一會(huì)兒又抬頭看著流程圖。

又過了許久，老周指著流程圖，再次提問：“我說大白，如果我在客戶端和服務(wù)端之間插入一個(gè)角色，對(duì)客戶端冒充服務(wù)端，對(duì)服務(wù)端又冒充客戶端，就能從中作梗，修改數(shù)據(jù)包，插入廣告了是吧?”

正在喝水的大白聽后嗆得連連咳嗽，“你說的就是中間人攻擊嘛!你當(dāng) HTTPS 是玩具嘛，這么容易就被劫持，笑話!注意看圖，那里有個(gè)認(rèn)證環(huán)節(jié)，不是誰都能冒充的!”

老周又看了看圖，“怎么認(rèn)證法，我倒是聽聽!”

“在服務(wù)端的響應(yīng)中，我前面說的公鑰是在一個(gè)叫證書的東西里面，這個(gè)證書就是用來標(biāo)識(shí)服務(wù)端的身份的，是由權(quán)威機(jī)構(gòu)頒發(fā)的，客戶端收到證書后，會(huì)檢查是否是可信任的，如果不受信任就會(huì)及時(shí)中止后面的流程。”

“那如何判斷一個(gè)證書是可信任的呢?”

“帝國早已把受信任的證書安裝好了，屆時(shí)只需調(diào)用 API 查一下即可!”

老周思來想去，總覺得哪里有問題，卻又說不上來。

4、真相只有一個(gè)

一連過了幾天，老周依舊毫無頭緒，這事兒就這樣擱置了。

福無雙至，禍不單行。這案子還沒弄明白，F(xiàn)irefox 公司又出事了。

原來，361 殺毒公司檢測(cè)到 Firefox 秘密啟動(dòng)了有木馬特征的進(jìn)程，老周再一次帶隊(duì)前往勘查，F(xiàn)irefox 公司的小狐負(fù)責(zé)對(duì)接此事。

老周來到了 Firefox 磁盤存儲(chǔ)目錄，打算先排查一下木馬文件是什么來頭。

[[315656]]

“這是一堆什么數(shù)據(jù)?”，老周指著一堆文件問到。

“周老師，這是網(wǎng)頁緩存數(shù)據(jù)”，一旁的小狐回答。

“打開看看，能否找到一些攻擊痕跡?”

老周環(huán)顧四周，指著另一堆文件問到：“這又是一堆什么數(shù)據(jù)?”

“周老師，這是一堆證書信息，HTTPS 握手時(shí)認(rèn)證服務(wù)器所用的，跟這次攻擊事件應(yīng)該沒關(guān)系的”，小狐繼續(xù)解釋到。

“認(rèn)證用?帝國不是存儲(chǔ)了受信認(rèn)的證書嗎，你們還保存證書信息做什么?”，老周有些不解。

“帝國存儲(chǔ)的受信任證書我們可不認(rèn)，誰知道那里面都是些什么證書，太不可靠了，我們 Firefox 瀏覽器公司自己做認(rèn)證，不用那一套”，小狐言語之間流露著些許得意。

聽完小狐的回答，老周突然愣住了，短暫的幾 ms 之后反應(yīng)了過來，掏出了從 Chrome 公司拿來的千度網(wǎng)證書，打算請(qǐng)小狐看一下。

小狐接過證書，仔細(xì)察看，片刻之后一口咬定的說：“這證書有問題!”

老周眼前閃過一道亮光，追問到：“哪里有問題?”

“這證書頒發(fā)機(jī)構(gòu)叫 ABSafe，不在我們受信任的列表中!再說了，我這里有緩存千度網(wǎng)的證書，根本不是這樣的，這肯定是假的，你看!”

老周拿著兩個(gè)證書反復(fù)查看，不時(shí)點(diǎn)點(diǎn)頭，之前困擾多時(shí)的問題終于有了答案。

“我明白了，真相只有一個(gè)!一定是有人把這個(gè) ABSafe 頒發(fā)機(jī)構(gòu)安裝到了帝國受信任列表，以此騙過了 Chrome 公司!進(jìn)行了 HTTPS 中間人劫持!YES!”，老周說完用力揮了揮拳頭。

“周老師，您在說什么啊，我怎么聽不懂?”，看著老周自言自語，小狐滿臉的問號(hào)。

老周叮囑同行的老齊繼續(xù)勘察，匆忙拜別小狐就離開了。

[[315657]]

這天夜里，兩個(gè)黑影出現(xiàn)在了帝國受信任根證書倉庫。

“原來是有人把我們安裝的根證書給刪掉了，難怪剛才 Chrome 瀏覽器訪問千度網(wǎng)報(bào)了警告”，其中一個(gè)胖的黑影說到。

瘦的黑影捂住了胖子的嘴巴，“噓，你給我把著點(diǎn)風(fēng)，我去重新裝上!”

瘦的黑影躡手躡腳走了過去，從懷里掏出了一個(gè)東西。

[[315658]]

“別動(dòng)!安全檢查!”，突然一束光線射了過來，原來老周帶著隊(duì)伍在此潛伏多時(shí)了。

“竟然是你們，禁廣大師!千度網(wǎng)和淘貝網(wǎng)的廣告也是你們加的是吧?”，老周大聲質(zhì)問。

胖瘦黑影面面相覷，老實(shí)交代了一切。

彩蛋：“老齊，F(xiàn)irefox 公司的案子有什么發(fā)現(xiàn)嗎”，“老周，你還是再來一趟吧，情況有點(diǎn)復(fù)雜”。欲知后事如何，請(qǐng)關(guān)注后續(xù)精彩......