網(wǎng)絡(luò)安全課堂:何謂“中間人攻擊”(MITM)
你拿著剛買的咖啡,連上了咖啡店的WiFi,然后開(kāi)始工作,這樣的動(dòng)作在之前已經(jīng)重復(fù)了無(wú)數(shù)遍,一切都和諧無(wú)比。但你不知道的是有人正在監(jiān)視你,他們監(jiān)視著你的各種網(wǎng)絡(luò)活動(dòng),盜取你的銀行憑證,家庭住址,個(gè)人電子郵件和聯(lián)系人,當(dāng)你發(fā)現(xiàn)的時(shí)候,已經(jīng)晚了。
現(xiàn)在的小偷已經(jīng)不僅僅是簡(jiǎn)單的在地鐵上偷你的錢(qián)包,更高級(jí)的是使用網(wǎng)絡(luò)攻擊獲取你的各種信息,當(dāng)你在咖啡館上網(wǎng)檢查你的賬戶信息的時(shí)候,也許黑客就攔截了你電腦和WiFi之間的通信,監(jiān)視著你的一舉一動(dòng)。這種方法就是“中間人攻擊”(MITM),而這種攻擊還僅僅是黑客用于攻擊你的眾多方法之一。
許多黑客都是利用網(wǎng)絡(luò)漏洞使得自己能夠很清晰的看見(jiàn)用戶的各種數(shù)據(jù)。即使普遍受大眾信賴的公司網(wǎng)絡(luò)也會(huì)存在漏洞。去年三月,有公司就被曝光黑客獲取了客戶的信用卡資料,社保號(hào)碼,家庭住址,電話號(hào)碼等個(gè)人信息。蘋(píng)果公司最近的gotofail漏洞以及安卓VPN缺陷都在提醒著我們:即使是主流的操作系統(tǒng)也有可能把你置于危險(xiǎn)的情況中。
前段時(shí)間的https爆出“心臟出血”事件可能是目前討論最熱烈的OpenSSL漏洞。消息曝光稱攻擊者可以追蹤OpenSSL所分配的64KB緩存,將超出必要范圍的字節(jié)信息復(fù)制到緩存當(dāng)中再返回緩存內(nèi)容,這樣一來(lái)受害者的內(nèi)存內(nèi)容如密碼,信用卡信息和服務(wù)器的私鑰等就會(huì)以每次64KB的速度進(jìn)行泄露。“心臟出血”漏洞影響了百分之66的互聯(lián)網(wǎng)用戶,包括一些主流網(wǎng)站如雅虎,F(xiàn)lickr, Pinterest等等。這個(gè)漏洞使得MITM更加危險(xiǎn)。即使HTTPS已經(jīng)開(kāi)啟,但是攻擊者可以用盜來(lái)的證書(shū)獲取有價(jià)值的數(shù)據(jù),基本使你處于毫無(wú)防備的狀態(tài)。
雖然像OpenSSL的“心臟出血”漏洞以及蘋(píng)果gotofail漏洞使得攻擊者很輕易能夠獲得各種數(shù)據(jù),但是大多數(shù)情況下,高級(jí)黑客還是會(huì)使用其他的手段。例如,一些攻擊者會(huì)通過(guò)SSL剝離刪除你的數(shù)據(jù)加密,用不安全的HTTP取代所有安全的HTTPS。其他方法如制造用戶方的漏洞,通過(guò)瀏覽器來(lái)滲入用戶的設(shè)備。在這兩種情況下,一旦攻擊者利用這個(gè)漏洞,他就能看到你的設(shè)備和接受者之間發(fā)送的所有數(shù)據(jù),包括用戶名和密碼。
即使像“心臟出血”之類的漏洞已經(jīng)被修補(bǔ),由于操作系統(tǒng)工作的基本性質(zhì),MITM的威脅仍然存在。這是因?yàn)楣艏夹g(shù)模擬了正常的網(wǎng)絡(luò)協(xié)議,所以如果操作系統(tǒng)廠商試圖阻止MITM攻擊,他們需要打破設(shè)備連接到合法網(wǎng)絡(luò)的方式,而這樣做就使得問(wèn)題變得更加糟糕。我很遺憾的告訴你,所有基于Ip的設(shè)備都存在MITM能夠找得到的漏洞。
隨著今年年底之前手機(jī)數(shù)量即將超過(guò)地球人口數(shù)量,毫無(wú)疑問(wèn)手機(jī)將成為下一波黑客攻擊的前沿地帶。除了設(shè)備的數(shù)量,員工在企業(yè)私人安全網(wǎng)絡(luò)之外的消費(fèi)預(yù)計(jì)在2017年形成爆炸形勢(shì),據(jù)估計(jì)所有移動(dòng)數(shù)據(jù)流量的60%將轉(zhuǎn)移到公共網(wǎng)絡(luò),這種不安全的公共網(wǎng)絡(luò)的轉(zhuǎn)變將導(dǎo)致MITM數(shù)量的明顯增加。因此,很多人轉(zhuǎn)向通過(guò)安裝殺毒軟件來(lái)保護(hù)自己的移動(dòng)設(shè)備。但是殺毒軟件并不適合移動(dòng)架構(gòu),這種解決方案如果沒(méi)有root權(quán)限訪問(wèn)設(shè)備的操作系統(tǒng)的話,也是不能夠監(jiān)控設(shè)備的活動(dòng)情況。而且傳統(tǒng)個(gè)人電腦的安全方法將對(duì)移動(dòng)設(shè)備產(chǎn)生不必要的影響:操作系統(tǒng)變慢,電池消耗更快,且占用更多的內(nèi)存空間等。此外,殺毒軟件沒(méi)有能力發(fā)現(xiàn)網(wǎng)絡(luò)檢測(cè)以及類似于MITM之類的行為,而是去尋找已知的惡意簽名。
個(gè)人和組織都可以使用各種方法來(lái)保護(hù)自己的設(shè)備和網(wǎng)絡(luò)安全,讓人驚訝的是,許多主流網(wǎng)站最近在才開(kāi)始對(duì)他們的服務(wù)進(jìn)行加密。假設(shè)網(wǎng)站的URL讀取的是“HTTP”而不是“HTTPS”,黑客就可以隨時(shí)監(jiān)視你的賬戶信息,所以如果網(wǎng)站沒(méi)有加密的話,自己動(dòng)手完整整個(gè)協(xié)議,輸入包括“HTTPS”在內(nèi)的完整的網(wǎng)址,尤其是在填寫(xiě)表格的時(shí)候。這一招雖然不能保護(hù)你免受高級(jí)黑客的攻擊,但是對(duì)于一些比較菜的黑客還是有用的。在默認(rèn)情況下,一些常用的服務(wù)不會(huì)執(zhí)行SSL,這使得黑客有機(jī)可乘,完全接管了這些賬戶。
啟用虛擬專用網(wǎng)(VPN)是另一種解決方案,在某些情況下也可以起到保護(hù)的作用,VPN是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)之上的邏輯網(wǎng)絡(luò),用戶數(shù)據(jù)在邏輯鏈路中傳輸可以起到信息安全保護(hù)的作用。但是這種方法有一些限制。鑒于VPN是通過(guò)建立“安全通道”來(lái)實(shí)現(xiàn),這種方法無(wú)法保護(hù)在公共WiFi下使用網(wǎng)絡(luò)的移動(dòng)設(shè)備為了給一些敏感數(shù)據(jù)提供最佳保護(hù),個(gè)人和組織需要發(fā)展一種全面地移動(dòng)安全解決方案。雖然目前在合法網(wǎng)絡(luò)情況下傳統(tǒng)個(gè)人電腦的安全已經(jīng)得到暴漲,但是這些組織應(yīng)該在不影響用戶體驗(yàn)感的基礎(chǔ)上,為移動(dòng)設(shè)備提供終端保護(hù),保護(hù)這些設(shè)備可能遇到的各種不可控網(wǎng)絡(luò)。但是要注意,移動(dòng)安全空間非常的吵雜。雖然很多公司都聲稱可以保護(hù)你的手機(jī),但是很少能夠真正的做到保護(hù)你的銀行帳號(hào)和個(gè)人信息免受網(wǎng)絡(luò)的攻擊。當(dāng)前最流行的殺毒軟件甚至不能保護(hù)你免于最業(yè)余的攻擊。所以除非我們工作的地方,愛(ài)去的網(wǎng)站轉(zhuǎn)變他們移動(dòng)安全的方法,采取必要的措施來(lái)保護(hù)他們的網(wǎng)絡(luò),否則自我保護(hù)免于黑客攻擊的責(zé)任就落在了我們自己的身上,也許咖啡館里坐你隔壁喝著卡布奇諾的那個(gè)家伙就正在盜取你的信息。
