当前已经越来越多的网站和流量使用加密的HTTPS进行连接,采用HTTPS加密连接可以防止攻击者采用中间人的方式窃取用户浏览器与网站服务器之间的通讯数据。相对于HTTP来说更多的用户会相信浏览器标记绿色的HTTPS连接,而绿色的标识有时候也有可能暗藏杀机。
此前普遍的HTTP时代部分安全软件会检查连接内容确保安全性,这些安全软件把该功能也带来到了 HTTPS 。
那么这些安全软件是如何监听 HTTPS流量的呢?那就是直接向本地导入自定义的证书来替代网站原本的证书。把数字证书导入到系统受信任的区域后安全软件即可替换掉网站证书,这种情况下浏览器是不会发出报警的。
美国DHS警告:用安全软件监听HTTPS流量可能会造成MIT攻击-E安全
这种方法就类似于中间人攻击(MIT)的手法先拦截流量再检查流量内容,若内容没有问题则放行重新连接。除了部分安全软件外某些广告拦截软件也会使用类似手法来识别页面内容,这种手法实际上已经带来了隐患。
这种操作手法的安全性会完全依赖对应的软件,如果软件没有正确的对原内容进行验证那么即可中间人攻击。这仅仅相当于你与使用的软件之间产生了HTTPS连接,而这些软件能否识别与网站之间的连接就是未知的了。
研究人员在名为《HTTPS拦截产生的安全影响》论文中指出,对最常见的TLS拦截中间设备和客户端拦截软件进行测试后发现它们多数都会引入安全漏洞。
研究人员指出,“虽然对于某些老旧客户端来说,代理增强了连接的安全性,但对于所引入的漏洞来说这些改进不足为道:97%的火狐连接、32%的电商连接和54%的Cloudflare连接被拦截后安全性会变弱”,而且“这些被严重损坏的多数连接是由基于网络的中间设备而非客户端安全软件引发的:62%的中间设备连接安全性变弱,而58%的中间设备连接存在严重漏洞从而启动后续拦截”。
在研究人员所测试的12款中间设备中(包括Checkpoint、Juniper、Sophos产品),只有一款达到A级。5款设备被评为F级即不合格也就是说它们会引发严重漏洞;其余4款产品是C级即合格水平。换句话说,如果网络上存在中间设备但不是Blue Coat ProxySG 6642,那么趁早删除吧。
同样,在来自12家公司的20款客户端软件产品中,只有两款获得A级水平:Avast的 AV 11 Windows版本而非Mac版本,以及Bullguard的Internet Security 16。10款产品是F级,余下的8款是C级。
因此美国国土安全部旗下的电脑应急响应小组在上周发出警告,这类软件会削弱加密通信的 TLS 协议安全性。
为什么说一些错误工具会削弱网络安全呢?客户端和服务器在互联网上的TLS和SSL加密通信是通过使用数字证书来创建身份链来完成。证书由受信任的第三方提供并且它会验证你的连接是否跟受信任服务器连接。
因此为了运行,一台拦截设备需要将自己受信任的证书发布给客户端设备或者用户需要不断看到告警信息提示连接不安全。
浏览器和其它应用程序使用这个证书来验证加密连接,但这就产生两个问题。首先,验证网络服务器的证书是不可能实现的,其次也是更重要的一点是,监督产品跟网络服务器通信的方式对于用户来讲是不可见的。换句话说,用户只能确保自己跟拦截产品的连接是合法的,但无法知道其余的通信也就是跟网络服务器的通信是否安全或者是否被攻陷。
结果,很多这种中间设备和拦截软件组件本身的安全性很差,它们很多都没有在重新加密并发送客户端数据时没有验证服务器证书链。其中很多中间设备和拦截软件组件在发送证书链验证错误时不力,导致用户对于可能存在的攻击不明就里。
换句话说,检查安全系统的工作削弱了它本应该去检查的安全性。就像有人把你家门敞开而在检查钥匙合不合适。那么解决方案是什么?CERT指出可以到badssl.com网站上验证你的监督产品的验证工作是否有效。当然,也可以查看SSL论文并确保不再使用被标记为安全性差的产品。
本文转自d1net(转载)
