信息來源:安全牛
Web加密方法HTTPS的廣泛使用,使得很多網(wǎng)站能夠保護(hù)自己的數(shù)據(jù),并都掛上了小綠鎖。
你每天訪問的所有熱門網(wǎng)站,都可能提供這種名為傳輸層安全(Transport Layer Security,簡(jiǎn)稱TLS)的防御措施,TLS可以對(duì)瀏覽器和與其通信的web服務(wù)器之間的數(shù)據(jù)進(jìn)行加密,以保護(hù)你的旅行計(jì)劃、密碼和令人尷尬的來自谷歌搜索的窺探。但意大利威尼斯Ca’ Foscari大學(xué)和奧地利Tu Wien大學(xué)的研究人員的新發(fā)現(xiàn)表明,有相當(dāng)數(shù)量的加密網(wǎng)站仍然會(huì)暴露這些數(shù)據(jù)。
亞馬遜旗下的分析公司Alexa,對(duì)全球排名前10,000的HTTPS網(wǎng)站進(jìn)行了分析,研究人員發(fā)現(xiàn)5.5%的網(wǎng)站存在潛在可利用的TLS漏洞。這些漏洞是由于站點(diǎn)在實(shí)現(xiàn)TLS加密方案時(shí)產(chǎn)生的問題,以及沒能對(duì)TLS及其前身安全套接字層(Secure Sockets Layer)中的已知漏洞(其中有很多)進(jìn)行修補(bǔ)綜合導(dǎo)致的。但最糟糕的是,這些漏洞很難被察覺,所以網(wǎng)站仍然會(huì)掛上小綠鎖。
威尼斯Ca’ Foscari大學(xué)的網(wǎng)絡(luò)安全和密碼學(xué)研究員,同時(shí)也是Cryptosense審計(jì)公司的創(chuàng)始人之一的Riccardo Focardi表示:
我們?cè)谡撐闹械募僭O(shè)瀏覽器是最新的,但是我們發(fā)現(xiàn)的東西并沒有被瀏覽器發(fā)現(xiàn),這些問題還沒有解決,甚至沒有人注意到它們。我們想通過網(wǎng)站的TLS,找出這些還沒有被用戶指出的問題。
研究人員將于5月在舊金山舉行的IEEE安全與隱私研討會(huì)上,發(fā)表他們的全部研究成果。他們開發(fā)了TLS分析技術(shù),并利用現(xiàn)有密碼學(xué)文獻(xiàn)中的一些技術(shù)來抓取和審查全球排名前10,000個(gè)站點(diǎn)存在的TLS問題。他們將發(fā)現(xiàn)的漏洞分成了三種類型。
有些漏洞會(huì)造成風(fēng)險(xiǎn),但攻擊者很難單獨(dú)依靠它們,因?yàn)槔盟鼈冃枰啻伟l(fā)起相同的查詢,從小片段中緩慢推斷信息。這些會(huì)導(dǎo)致“部分泄漏”(partially leaky)的bug能夠幫助攻擊者解密會(huì)話cookie之類的東西,因?yàn)槊看握军c(diǎn)查詢都很有可能會(huì)同時(shí)發(fā)送cookie。但是如果想要獲取用戶在給定會(huì)話中通常只會(huì)發(fā)送一次的信息(比如密碼),效率就會(huì)降低。
另外兩種類型則更為危險(xiǎn)。會(huì)導(dǎo)致“完全泄漏”(leaky)的漏洞,包括瀏覽器和web服務(wù)器之間存在嚴(yán)重缺陷的加密通道,攻擊者能夠解密經(jīng)過這些通道的所有流量。最糟糕的是研究人員觀察到的“受污染”(tainted)通道,攻擊者利用這些通道不僅能夠解密通信,還可能修改或操縱它們。這些都屬于“中間人”攻擊,HTTPS加密正是為了抵御這些攻擊而創(chuàng)建的。
安全工程師兼開放密碼審計(jì)項(xiàng)目(Open Crypto Audit Project)負(fù)責(zé)人,Kenn White表示,在實(shí)踐中,研究人員發(fā)現(xiàn)的漏洞不一定是關(guān)鍵的漏洞。其中有很多是可利用漏洞,但它們可能對(duì)黑客沒有什么吸引力,因?yàn)榕c其他常見漏洞相比,利用這些漏洞需要耗費(fèi)更多時(shí)間,而它們?cè)诠糁幸哺菀滓鹱⒁?。但他?qiáng)調(diào)了這些發(fā)現(xiàn)對(duì)清理互聯(lián)網(wǎng)計(jì)劃的重要性。
雖然 ‘不要像2005年那樣在web服務(wù)器上處理cookie’ 并且 ‘使用TLS’ 顯而易見,但這項(xiàng)研究發(fā)現(xiàn),對(duì)于驚人數(shù)量的高流量網(wǎng)站來說,他們還在和這些基本的東西在作斗爭(zhēng)。web開發(fā)人員使用現(xiàn)代HTTP防篡改技術(shù)是至關(guān)重要的。
研究人員表示,除了具體評(píng)估有多少站點(diǎn)存在TLS漏洞之外,這個(gè)項(xiàng)目中的一個(gè)關(guān)鍵還涉及到web的基本互聯(lián)性,以及一個(gè)頁面上的TLS小漏洞如何對(duì)其他網(wǎng)站產(chǎn)生潛在影響。Example.com的主頁可能使用可靠的HTTPS,但是如果mail.example.com有問題,并且兩者進(jìn)行交互,它們之間的加密連接將被破壞。
當(dāng)你擁有相互關(guān)聯(lián)的域名時(shí),他們之間可能會(huì)共享敏感數(shù)據(jù)和cookie之類的東西,這意味著當(dāng)其中一個(gè)主機(jī)脆弱時(shí),漏洞可能會(huì)傳播。在網(wǎng)絡(luò)上,URL和主機(jī)之間有很多聯(lián)系,這可能會(huì)放大一個(gè)TLS漏洞的影響。
研究人員確定了近91,000個(gè)相關(guān)站點(diǎn),這些域名或是屬于排名前10,000個(gè)站點(diǎn)的子域名,或與這10,000個(gè)站點(diǎn)共享資源。這些相關(guān)站點(diǎn)存在的TLS漏洞可能會(huì)造成連鎖反應(yīng)。所以排名前10,000的網(wǎng)站中,有5.5%的存在漏洞的網(wǎng)站實(shí)際上包括292個(gè)排名前10,000的網(wǎng)站中自身存在漏洞的站點(diǎn),以及5282個(gè)相關(guān)站點(diǎn),這些相關(guān)站點(diǎn)存在的TLS漏洞,為這10,000個(gè)網(wǎng)站帶來了潛在的風(fēng)險(xiǎn)。在所有漏洞中,4800多個(gè)漏洞屬于最嚴(yán)重的 “受污染” (tainted)漏洞,733個(gè)是能夠被解密但無法進(jìn)行操控的 “泄漏” (leaky)漏洞,912個(gè)是威脅程度較低的 “部分泄漏” (partially leaky)漏洞。
在web安全研究中,相互關(guān)聯(lián)會(huì)產(chǎn)生漏洞是眾所周知的——本質(zhì)上可以歸納為 “你的實(shí)力取決于你最薄弱的環(huán)節(jié)”。威尼斯Ca’ Foscari大學(xué)的研究結(jié)果從屬于如何發(fā)現(xiàn)和減輕這種類型的暴露的研究領(lǐng)域。Ca’ Foscari的研究人員表示,他們正在根據(jù)其發(fā)現(xiàn)開發(fā)一種工具,幫助開發(fā)人員識(shí)別經(jīng)常被忽視的TLS漏洞。
鑒于網(wǎng)絡(luò)的核心在于大規(guī)?;ミB,因此能夠捕捉到可能對(duì)整體安全產(chǎn)生巨大影響的小問題變得越來越重要。