網(wǎng)絡(luò )攻擊是公司的日常問(wèn)題，但當您面臨 SSL 威脅時(shí)，您就會(huì )遇到大麻煩。雖然大多數用戶(hù)認為加密為黑客提供了堅不可摧的屏障，但安全專(zhuān)家非常清楚，黑客可以操縱 SSL 證書(shū)發(fā)送任何類(lèi)型的惡意軟件而不會(huì )被發(fā)現。請查看以下可能會(huì )影響您通過(guò) Internet 進(jìn)行通信的威脅列表。

什么是 SSL 威脅？

如今，大多數互聯(lián)網(wǎng)通信使用安全套接字層 (SSL) 和傳輸層安全 (TSL) 來(lái)加密數據。這樣，可以確保隱私和數據完整性。例如，當您發(fā)送電子郵件時(shí)，數據會(huì )被加密，直到到達目的地。

不幸的是，這些加密協(xié)議無(wú)法區分數據是否惡意。因此黑客利用了這一點(diǎn)，開(kāi)始使用 SSL 協(xié)議來(lái)發(fā)送無(wú)法檢測到的漏洞和漏洞利用，除非首先將包解密以進(jìn)行檢查。否則，攻擊將通過(guò)感染受害者。所以基本上，我們可以說(shuō) SSL 威脅是一種加密攻擊。

基于 SSL 的威脅源

使用 SSL 進(jìn)行的網(wǎng)絡(luò )釣魚(yú)攻擊顯著(zhù)增加。沒(méi)什么奇怪的，因為接受 SSL 的合法網(wǎng)站每天都在增加。盡管許多公司已投資解決硬件級別的漏洞，但其中只有少數公司執行了全面的 SSL 檢查。除非一個(gè)組織可以檢查 100% 的所有 SSL 流量，但特別是豁免的 SSL 流量，否則它就有可能受到網(wǎng)絡(luò )攻擊的風(fēng)險。

根據 Zcaler 進(jìn)行的研究，目前使用 SSL 感染受害者的最具攻擊性的惡意軟件如下：

Vawtrack

Vawtrack 是一種木馬，也稱(chēng)為銀行惡意軟件，因為它是攻擊在線(xiàn)銀行門(mén)戶(hù)的主要威脅之一。在設備上安裝 Vawtrack 后，它可以創(chuàng )建允許攻擊者訪(fǎng)問(wèn)的 VNC 和 socks 服務(wù)器。盡管該惡意軟件能夠捕獲屏幕截圖和視頻，但其主要目的是通過(guò)各種設備來(lái)源竊取登錄憑據，例如 FTP 客戶(hù)端、電子郵件客戶(hù)端、Web 瀏覽器等。Vawtrack 還可以創(chuàng )建虛假模板和 Web 表單來(lái)誘導受害者透露他們的機密數據。該惡意軟件允許下載和驗證 SSL 證書(shū)以啟動(dòng) HTTPS 連接。

廣告軟件

廣告軟件能夠分發(fā)腳本來(lái)重定向漏洞。盡管可以通過(guò) SSL 加密來(lái)控制這種威脅，但在某些情況下，惡意軟件已經(jīng)設法破壞安全屏障，在 HTTPS 流量中放置不需要的宣傳。Superfish 和 PrivDog 等廣告軟件可以在受害者的設備上安裝 CA（認證機構）證書(shū)，以捕獲他們的網(wǎng)絡(luò )流量并在上網(wǎng)時(shí)插入廣告。該廣告軟件具有攻擊性的一個(gè)例子是 PrivDog，它將用戶(hù)重定向到使用虛假 SSL 證書(shū)的網(wǎng)站。InstallCore 是另一種廣告軟件，它會(huì )誘使用戶(hù)安裝 Flash 插件或 Java 更新，這些插件或 Java 更新只會(huì )插入惡意腳本來(lái)操縱用戶(hù)設備中的主頁(yè)和搜索引擎。

工具包

Gootkit 是一種專(zhuān)門(mén)用于感染 Windows 設備的木馬。Gootkit 將受感染的設備變成僵尸，成為僵尸網(wǎng)絡(luò )的一部分。它的主要目標是竊取銀行信息。該惡意軟件通過(guò)在 HTTPS 流量中放置惡意腳本來(lái)捕獲用戶(hù)數據。Goodkit 通過(guò) SSL 執行，無(wú)需安裝文件。

德里德克斯

Dridex 是另一種銀行惡意軟件，它加入了 TrickLoader、Dyre 和 Bugat 等危險木馬的名單。從本質(zhì)上講，這種類(lèi)型的惡意軟件監視 Internet 瀏覽器（HTTP 和 HTTPS）對特定 URL 的活動(dòng)，該 URL 由字符串列表的配置確定。當木馬根據其參數檢測到活動(dòng)時(shí)，它開(kāi)始竊取信息流。

打開(kāi)可能導致 SSL 攻擊的門(mén)

• 惡意軟件感染和數據泄露：通常，當公司員工通過(guò) HTTPS 執行 Web 瀏覽并且未檢查此流量時(shí)，會(huì )發(fā)生此漏洞。
• 受感染主機的擴展：當員工從內部網(wǎng)絡(luò )連接到服務(wù)器時(shí)未檢查流量時(shí)發(fā)生。
• 缺乏分析傳入流量的基本保護技術(shù)：當互聯(lián)網(wǎng)用戶(hù)使用加密協(xié)議連接到公司的公共服務(wù)器時(shí)，會(huì )發(fā)生這種流量檢查失敗。

防止基于 SSL 的攻擊的具體操作

認證算法

不要信任自簽名證書(shū)。一個(gè)可靠的證書(shū)最好使用 SHA-2 哈希算法。此外，擴展驗證 (EV) 證書(shū)為網(wǎng)站提供了更高級別的信任。大多數瀏覽器將帶有 EV 的網(wǎng)站標記為綠色

擺脫以前版本的 SSL

SSL 協(xié)議已經(jīng)展示了幾個(gè)漏洞，尤其是 SSL 2.0。另一方面，SSL 3.0 的強度在被成功違反后也受到質(zhì)疑。今天最安全的協(xié)議是 TLS，盡管這并不意味著(zhù)它沒(méi)有漏洞。但是，它提供了比其前身更多的保證，并且被大多數瀏覽器所接受。根據 Ponemon Institute 的報告，51% 的公司計劃安裝某種形式的流量解密，而 62% 的公司表示他們不對解密的流量進(jìn)行任何檢查。

客戶(hù)的密碼和重新協(xié)商

由于加密的弱點(diǎn)，小于 128 位的密碼不能提供足夠的安全性。您最好更改為 ECDHE 加密。當你這樣做時(shí)，不要忘記啟用前向保密選項以避免被截獲的通信。另一方面，通過(guò)禁用客戶(hù)端的重新協(xié)商，您可以隨時(shí)停止客戶(hù)端和服務(wù)器之間通過(guò) SSL 進(jìn)行的信息交換。

避免犯罪攻擊。

犯罪攻擊以其通過(guò) TLS 壓縮過(guò)程破譯安全連接的能力而聞名。為避免這種情況，步驟很明顯：禁用 TLS 壓縮。

啟用 HSTS 并驗證 cookie 的安全性

用戶(hù)會(huì )話(huà)中涉及的所有 cookie 都必須使用特殊屬性進(jìn)行保護。這將防止它們被攔截。您還必須在 HTTP 上啟用 HSTS（嚴格傳輸安全）以擴展您的安全性并避免與其他網(wǎng)站的未加密通信。