信息來源:安全牛
Web加密方法HTTPS的廣泛使用,使得很多網(wǎng)站能夠保護(hù)自己的數(shù)據(jù)���,并都掛上了小綠鎖。
你每天訪問的所有熱門網(wǎng)站�����,都可能提供這種名為傳輸層安全(Transport Layer Security�,簡(jiǎn)稱TLS)的防御措施����,TLS可以對(duì)瀏覽器和與其通信的web服務(wù)器之間的數(shù)據(jù)進(jìn)行加密�����,以保護(hù)你的旅行計(jì)劃�����、密碼和令人尷尬的來自谷歌搜索的窺探�����。但意大利威尼斯Ca’ Foscari大學(xué)和奧地利Tu Wien大學(xué)的研究人員的新發(fā)現(xiàn)表明�����,有相當(dāng)數(shù)量的加密網(wǎng)站仍然會(huì)暴露這些數(shù)據(jù)�����。
亞馬遜旗下的分析公司Alexa�,對(duì)全球排名前10,000的HTTPS網(wǎng)站進(jìn)行了分析��,研究人員發(fā)現(xiàn)5.5%的網(wǎng)站存在潛在可利用的TLS漏洞。這些漏洞是由于站點(diǎn)在實(shí)現(xiàn)TLS加密方案時(shí)產(chǎn)生的問題�,以及沒能對(duì)TLS及其前身安全套接字層(Secure Sockets Layer)中的已知漏洞(其中有很多)進(jìn)行修補(bǔ)綜合導(dǎo)致的。但最糟糕的是��,這些漏洞很難被察覺�,所以網(wǎng)站仍然會(huì)掛上小綠鎖�。
威尼斯Ca’ Foscari大學(xué)的網(wǎng)絡(luò)安全和密碼學(xué)研究員,同時(shí)也是Cryptosense審計(jì)公司的創(chuàng)始人之一的Riccardo Focardi表示:
我們?cè)谡撐闹械募僭O(shè)瀏覽器是最新的����,但是我們發(fā)現(xiàn)的東西并沒有被瀏覽器發(fā)現(xiàn)���,這些問題還沒有解決�����,甚至沒有人注意到它們�����。我們想通過網(wǎng)站的TLS���,找出這些還沒有被用戶指出的問題。
研究人員將于5月在舊金山舉行的IEEE安全與隱私研討會(huì)上�,發(fā)表他們的全部研究成果。他們開發(fā)了TLS分析技術(shù)��,并利用現(xiàn)有密碼學(xué)文獻(xiàn)中的一些技術(shù)來抓取和審查全球排名前10,000個(gè)站點(diǎn)存在的TLS問題���。他們將發(fā)現(xiàn)的漏洞分成了三種類型。
有些漏洞會(huì)造成風(fēng)險(xiǎn)��,但攻擊者很難單獨(dú)依靠它們����,因?yàn)槔盟鼈冃枰啻伟l(fā)起相同的查詢,從小片段中緩慢推斷信息�����。這些會(huì)導(dǎo)致“部分泄漏”(partially leaky)的bug能夠幫助攻擊者解密會(huì)話cookie之類的東西�,因?yàn)槊看握军c(diǎn)查詢都很有可能會(huì)同時(shí)發(fā)送cookie�����。但是如果想要獲取用戶在給定會(huì)話中通常只會(huì)發(fā)送一次的信息(比如密碼)�����,效率就會(huì)降低���。
另外兩種類型則更為危險(xiǎn)。會(huì)導(dǎo)致“完全泄漏”(leaky)的漏洞��,包括瀏覽器和web服務(wù)器之間存在嚴(yán)重缺陷的加密通道���,攻擊者能夠解密經(jīng)過這些通道的所有流量����。最糟糕的是研究人員觀察到的“受污染”(tainted)通道��,攻擊者利用這些通道不僅能夠解密通信���,還可能修改或操縱它們����。這些都屬于“中間人”攻擊���,HTTPS加密正是為了抵御這些攻擊而創(chuàng)建的�����。
安全工程師兼開放密碼審計(jì)項(xiàng)目(Open Crypto Audit Project)負(fù)責(zé)人�,Kenn White表示����,在實(shí)踐中,研究人員發(fā)現(xiàn)的漏洞不一定是關(guān)鍵的漏洞�����。其中有很多是可利用漏洞�,但它們可能對(duì)黑客沒有什么吸引力����,因?yàn)榕c其他常見漏洞相比,利用這些漏洞需要耗費(fèi)更多時(shí)間����,而它們?cè)诠糁幸哺菀滓鹱⒁?�。但他?qiáng)調(diào)了這些發(fā)現(xiàn)對(duì)清理互聯(lián)網(wǎng)計(jì)劃的重要性����。
雖然 ‘不要像2005年那樣在web服務(wù)器上處理cookie’ 并且 ‘使用TLS’ 顯而易見,但這項(xiàng)研究發(fā)現(xiàn)�,對(duì)于驚人數(shù)量的高流量網(wǎng)站來說,他們還在和這些基本的東西在作斗爭(zhēng)�����。web開發(fā)人員使用現(xiàn)代HTTP防篡改技術(shù)是至關(guān)重要的�����。
研究人員表示�,除了具體評(píng)估有多少站點(diǎn)存在TLS漏洞之外���,這個(gè)項(xiàng)目中的一個(gè)關(guān)鍵還涉及到web的基本互聯(lián)性,以及一個(gè)頁面上的TLS小漏洞如何對(duì)其他網(wǎng)站產(chǎn)生潛在影響�����。Example.com的主頁可能使用可靠的HTTPS,但是如果mail.example.com有問題�,并且兩者進(jìn)行交互��,它們之間的加密連接將被破壞���。
當(dāng)你擁有相互關(guān)聯(lián)的域名時(shí)����,他們之間可能會(huì)共享敏感數(shù)據(jù)和cookie之類的東西��,這意味著當(dāng)其中一個(gè)主機(jī)脆弱時(shí)�,漏洞可能會(huì)傳播�����。在網(wǎng)絡(luò)上����,URL和主機(jī)之間有很多聯(lián)系,這可能會(huì)放大一個(gè)TLS漏洞的影響�����。
研究人員確定了近91,000個(gè)相關(guān)站點(diǎn),這些域名或是屬于排名前10,000個(gè)站點(diǎn)的子域名�,或與這10,000個(gè)站點(diǎn)共享資源����。這些相關(guān)站點(diǎn)存在的TLS漏洞可能會(huì)造成連鎖反應(yīng)�����。所以排名前10,000的網(wǎng)站中���,有5.5%的存在漏洞的網(wǎng)站實(shí)際上包括292個(gè)排名前10,000的網(wǎng)站中自身存在漏洞的站點(diǎn),以及5282個(gè)相關(guān)站點(diǎn)�����,這些相關(guān)站點(diǎn)存在的TLS漏洞�,為這10,000個(gè)網(wǎng)站帶來了潛在的風(fēng)險(xiǎn)。在所有漏洞中���,4800多個(gè)漏洞屬于最嚴(yán)重的 “受污染” (tainted)漏洞,733個(gè)是能夠被解密但無法進(jìn)行操控的 “泄漏” (leaky)漏洞�,912個(gè)是威脅程度較低的 “部分泄漏” (partially leaky)漏洞��。
在web安全研究中���,相互關(guān)聯(lián)會(huì)產(chǎn)生漏洞是眾所周知的——本質(zhì)上可以歸納為 “你的實(shí)力取決于你最薄弱的環(huán)節(jié)”�����。威尼斯Ca’ Foscari大學(xué)的研究結(jié)果從屬于如何發(fā)現(xiàn)和減輕這種類型的暴露的研究領(lǐng)域����。Ca’ Foscari的研究人員表示,他們正在根據(jù)其發(fā)現(xiàn)開發(fā)一種工具���,幫助開發(fā)人員識(shí)別經(jīng)常被忽視的TLS漏洞。
鑒于網(wǎng)絡(luò)的核心在于大規(guī)?����;ミB�,因此能夠捕捉到可能對(duì)整體安全產(chǎn)生巨大影響的小問題變得越來越重要。
