【51CTO.com快譯自7月31日外電頭條】沒有哪次黑帽大會在結束前不向IT界扔出幾個重磅炸彈的。黑帽大會的聽眾們經常在現場目瞪口呆的發現他們以前認為鋼筋鐵骨一般的安全措施在一些黑帽研究員面前瞬間變成了撲克牌搭成的紙房子。

Moxie Marlinspike就是其中的一位研究員，這次在拉斯維加斯，他向人們展示的是SSL是怎樣變成一推就倒的紙房子。你認為SSL是安全的嗎？再想想吧。但是據Marlinspike說，這不是SSL本身的問題，這項用于保護Web（http）安全的協議本身是沒問題的。而問題出在大多數的SSL執行方法是完全不安全的。這包括大多數的主要銀行、電子郵件系統，還有社交網站等等。甚至包括大多數軟件自動更新機制。為了更多了解一些關于這個似乎會讓整個網絡崩潰的SSL問題，我特意訪問了Marlinspike。

51CTO編者按：有關什么是SSL，SSL的相關技術，可以訪問我站的SSL專題。

“基本的想法就像是對橋梁進行攻擊，”Marlinspike告訴我。“SSL部署在網頁的方式比較特別。SSL本是一項安全協議，但卻很少直接調用，總是要經過一些HTTP連接才起作用。比方說你正在使用HTTP，你的瀏覽器一般碰到了類似于“登錄”或“我的購物車”或“去結帳”之類的鏈接，你按一下，然后才可以進入SSL的安全世界。請你考慮一下，SSL協議本身很安全，但它實際上要建立在HTTP的基礎上，而HTTP是很不安全的。所以就算再安全的東西如果搭建在不安全的基礎上也就喪失了它的安全性。

雖然過去和現在我也一直在討論直接攻擊SSL的問題。但是用另一種方式攻擊SSL卻方便的多，那就是改為攻擊HTTP。” 我們來更好的理解一下Marlinspike的話，想想你自己上網的親身經歷，你用過幾個網站是以HTTPS前綴開頭的呢（這時你發送的請求是經過加密的，好在Gmail是這樣做的）。大多數用戶要么是輸入“www”（這樣默認為HTTP），或者點擊搜索結果，或者各種鏈接，還有收到的電子郵件等等。讓人吃驚的地方是，據統計有90%的購物網站直到讓你確認實際支付的時候才會向你發送HTTPS的網頁。

當你看到瀏覽器下方出現安全鎖標志（請注意，最近偽裝的安全鎖標志已經到處都是了），你就會認為“好，點擊鏈接會是安全的。沒什么問題。” 再想一遍吧。所謂的中間人攻擊（MITM，man in the middle）如今已經非常常見而且簡單，黑帽大會早已經不把它當成一個議題來討論，它如今只能作為其它攻擊的探路兵。有各種各樣的MITM攻擊，比如你可以到一個公共的WiFi接入點發布相同的SSID，這樣你就可以獲取周圍用戶的連接信息，這是一個簡單的MITM攻擊。

有很多更復雜的。例如，Marlinspike曾經運行TOR出口節點將自己放到之間數百個用戶和他們正在訪問的網站之間。作為一種安全防護措施，很多人使用TOR來讓自己和他們的行為保持匿名。他們經過Marlinspike的TOR出口節點只有幾分鐘時間，但是在24小時中，Marlinspike共收集了114份Yahoo登錄信息、50份Gmail登錄信息、42份Ticketmaster、13份Hotmail、9份PayPal、9份LinkedIn和3份Facebook的登錄信息。

他是怎么做的呢？答案簡單得可笑。使用自己編寫的SSLStrip工具，他觀察所有的HTTP連接，當他看到帶有HTTPS鏈接的網頁被送回最終用戶時，就截住網頁把所有的HTTPS鏈接中的“S”去掉。結果如何呢？那些原先帶有安全鏈接的頁面中現在全都是不安全的鏈接，這意味著用戶點擊這些鏈接傳送回來的任何信息（密碼，信用卡號碼等）都一目了然。

Marlinspike說，“SSLStrip所做的就是HTTP連接的中間人，觀察流量，如果看到出現安全鏈接或重定向，就簡單的把這些換成看上去相同但不安全的鏈接。因此，用戶根本不會用到SSL。這個辦法在絕大多數用戶身上都能成功，他們不會引起注意。” 最后，作為中間人，Marlinspike并不會終止連接或偽造目標網站。相反，他會讓連接流量繼續通行，這樣連接雙方誰都不會注意到這個問題。我問Marlinspike后果是什么。

“后果是你的數據不再安全。基本上可以說今后我們可以擁有你所有的安全信息。你的用戶名、你的密碼、信用卡、銀行信息……所有的一切。因為現在的SSL實施狀況，所有這些都不能得到保護。另外的結果是，我們還可以控制你的計算機，因為有很多自動更新機制也使用SSL，我們可以劫持它們，把我們自己的軟件安裝在計算機上。這樣，我們有你的所有信息，還可以控制你的機器里的軟件運行。所以，這是致命的。” 這的確是致命的。黑帽大會的聽眾又是如何回應Marlinspike的報告的呢？只要在Twitter上搜索“Marlinspike”就能得到答案。你會看到無數“可怕”和“恐怖”這樣的字眼。

【51CTO.com譯稿，非經授權請勿轉載。合作站點轉載請注明原文譯者和出處為51CTO.com，且不得修改原文內容。】

原文：Bombshell From Black Hat: Almost All Implementations Of SSL Are Configured To Give Up Everything     作者：David Berlind

【編輯推薦】

1. 黑帽大會：牽系著互聯網安全的神經
2. 黑帽大會：黑客怎樣打開美國五角大樓的安全鎖
3. 全球黑客盛會：2008年黑帽大會要聞摘要