揭秘HTTPS中 S 的另一面
就在我們剛剛弄清楚瀏覽器地址欄中「HTTPS」的重要性時,垃圾郵件發送者和惡意攻擊者早就已經知道應該怎麼將系統玩弄於股掌之間了。
Let』s Encrypt
Let』s Encrypt是一款自動化服務,它可以利用證書來幫助用戶將此前未加密的URL地址轉換成經過加密且安全係數更高的HTTPS地址。這就非常棒了,尤其是在這個證書價格貴過黃金的年代,很多永和根本負擔不起這樣的開銷。所以由此不難看出,Let』s Encrypt在提升網路安全性和用戶體驗度方面毫無疑問地做出了巨大的貢獻。
但是,Let』s Encrypt也給安全技術部門帶來了很大的麻煩。因為這是一個免費服務,而且任何小白都可以輕鬆地將HTTPS引入自己的網站中,而網路犯罪分子同樣可以利用Let』s Encrypt來欺騙廣大善良的互聯網用戶。
當一個網站使用的是HTTPS,那麼不僅用戶會認為自己可以信任這個網站(因為使用了加密鏈接),而且類似Google Chrome這樣的瀏覽器同樣會在地址欄前面顯示一個綠色的安全圖標以及「安全(Secure)」字樣。更加重要的是,很多隱私以及安全倡導者也在不停地敦促用戶當他們訪問一個網站時一定要確定這個網站地址欄擁有這樣的安全標誌,因為他們認為只要有這種綠色安全標誌的網站都是安全的。
安全隱患
可能各位同學看到這裡會覺得世界非常的美好,但事實並非如此。實際上,Let』s Encrypt現在已經成為了網路犯罪分子將釣魚網站「合法化」的利器,這對於我們來說絕對是一個噩耗,而對於那些僅僅只能通過地址欄的綠色標識來判斷網站安全性的用戶來說,他們的「後院」隨時都會起火。
根據證書經銷商
The SSL Store
提供的信息,在2016年1月1日之2017年3月6日這段時間裡,Let』s Encrypt總共頒發了15270份包含有「PayPal」字樣的SSL證書。
需要提醒大家的是,The SSL Store僅僅是這些證書的一家提供商,所以Let』s Encrypt的使命並不是他們所真正關心的東西。而且根據他們提供的信息,上述絕大部分證書頒發於去年11月份,當時Let』s Encrypt幾乎每天都會頒發將近一百個「PayPal」證書。根據隨機抽查的數據顯示,其中有96.7%的證書被用於偽裝釣魚網站等惡意活動。這家經銷商表示,在研究人員調查偽造「PayPal」網站的過程中,他們還發現了很多其他的SSL釣魚網站,受影響的服務商包括美國銀行、Apple以及Google等。
這個問題已經存在了很多年了,而且目前的情況也是每況日下。在去年一月份,來自安全公司趨勢科技(Trend Micro)的研究人員就發現了一個惡意廣告活動,而這個活動主要針對的是那些使用了免費Let』s Encrypt證書的網站。當用戶訪問了惡意廣告之後,便會被重定向至另一個託管了
Angler Exploit Kit
的站點。
當用戶訪問了一個惡意Web頁面之後,Angler將可以在用戶毫不知情的情況下讓目標主機感染惡意軟體,而且整個過程完全不需要任何的用戶交互。研究人員表示,超過50%的Angler所感染的都是勒索軟體,所以在這類活動中,絕大部分的攻擊者都是通過數據贖金來獲取非法受益的。
趨勢科技發現,這些惡意廣告背後的攻擊者在使用Let』s Encrypt申請HTTPS證書之前,還需要創建一個看起來真實性足夠高的子域名,並以此來欺騙大部分的網上用戶。這樣一來,用戶就可以看到釣魚網站是擁有Let』s Encrypt證書的,這樣就會讓用戶認為這是一個合法並且安全的網站了。
任何技術都存在兩面性
一項優秀的技術誕生之後,即便它的設計初衷是好的,但它同樣有可能被網路犯罪分子所利用,Let』s Encrypt也不例外。那麼,我們為什麼不能直接撤銷掉那些很明顯是偽造的PayPal證書呢?因為他們認為這並不是他們的問題。
Josh Aas是網路安全研究組織(ISRG,即Let』s Encrypt項目的管理方)的執行總裁,他在一月份接受InfoWorld的採訪時表示,Let』s Encrypt並不需要對現在的HTTPS信任問題承擔任何的責任,而且目前的證書頒發系統也無法完全幫助用戶去抵禦釣魚網站以及惡意軟體。Let』s Encrypt官方也將這個問題推給了Google、Firefox以及Safari等瀏覽器安全團隊。因為Aas認為,瀏覽器的反釣魚和反惡意軟體機制相比證書頒發商而言則更加成熟和有效。
但是,即使Google將某個域名標記為了惡意HTTPS釣魚網站,Let』s Encrypt也不會撤銷他們的證書。因此,我們現在已經不能再通過瀏覽器地址欄前面的綠色標誌以及「Secure」標記來判斷一個網站是否安全了,這也意味著我們之前所做的相關安全普及工作也都白費了。
總結
我們應該儘可能地使用HTTPS,這一點毋庸置疑,但是我們並不能僅僅通過「HTTPS」就去判斷一個網站是否安全。因為廣大用戶真的應該知道,HTTPS並不等於合法跟安全,而這也只適用於前幾年的網路環境。因此,我們應該在點擊某個鏈接之前,即使Chrome將這個鏈接標記為「安全」,我們也仍然要親自檢查鏈接的有效性以及地址中的單詞拼寫是否存在錯誤等因素,因為瀏覽器說它是安全的,它也並非真的安全,而這就是我們所處的網路安全世界,任何人都有可能犯錯。
* 參考來源:
engadget
, FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM
※Arduino+Avr libc製作Badusb原理及示例講解 | 長文含視頻
※驗證碼安全那些事
※最具同情心的勒索軟體套件Philadelphia
※【漏洞預警】Linux內核ipv4/udp.c 遠程任意代碼執行(CVE-2016-10229)
※【突發新聞】「血雨腥風」將至?方程式組織黑客工具包再曝光,大量針對Windows系統嚴重0day泄露
TAG:FreeBuf |
※全面了解HTTP和HTTPS
※HTTPS 與 SSL 證書概要
※圖解基於HTTPS的DNS
※HTTPS的缺點
※聊聊HTTPS SSL/TLS協議原理
※Chrome升級HTTP頁面「不安全」紅色警告,HTTPS頁面恢復為安全鎖
※小知識:HTTP與HTTPS 的區別
※小知識:HTTP 與 HTTPS 的區別
※從HTTP向HTTPS遷移,Chrome瀏覽器的UI變化
※HTTPS協議詳解(四):TLS/SSL握手過程
※HTTPS的原理
※RSS 之父炮轟 Google 強推 HTTPS
※DNS 教父怒噴 DNS-over-HTTPS!
※谷歌宣布 DNS Over HTTPS 服務普遍可用
※RSS 之父 Winer 炮轟 Google 反客為主強推 HTTPS
※深入淺出 HTTPS
※Chrome 將不再標記 HTTPS 頁面為安全站點
※首款利用DNS over HTTPS隱藏網路流量的惡意軟體Godlua已經現身
※如何在 Firefox 中啟用 DNS-over-HTTPS(DoH)
※Firefox 62將使用DNS over HTTPS技術終結DNS查找明碼風險