如何防御SSp攻擊(圖)
首先回溯下SSp攻擊的特點,如下:
1. 需要在局域網環境中實施該攻擊,因為其前提是ARP欺騙,在廣域網的環境下,ARP欺騙沒有施展空間;
2. WEB交易頁面的特點是由HTTP頁面跳轉至HTTPS頁面,正是這一特點被攻擊者巧妙利用成功實施攻擊;
3. 上述的攻擊過程并沒有真正地攻破SSL加密通道本身,而是巧妙地利用了鏈接的跳轉;
下面就基于上述這些特點重點探討一下SSp的防御方法。
1. 加密后發送機密信息:
客戶端與攻擊者之間是HTTP明文通訊,導致攻擊者從客戶端提交過來的數據包中剝離出明文的帳號信息。但是如果此時客戶端發出的帳號信息本身就是加密后的信息,那么攻擊者想要從中截獲用戶輸入的密碼就絕非易事。因此如果交易客戶端能夠保證從客戶端送入HTTP/HTTPS通道的密碼是加密后的密文字符串,就能夠很好地防御SSp攻擊。
例如綠盟科技終端保護系統金融版就采用動態密鑰加密技術,將用戶輸入的帳號信息使用動態密鑰加密后傳入HTTP/HTTPS通道,在防止攻擊者截獲明文密碼的同時,很好地預防了攻擊者截獲固定密鑰加密后的密文字符串并進行重用的可能性,防御SSp攻擊的效果非常明顯,如圖1所示。
2. 防御ARP欺騙:
前面已經講到實施ARP欺騙是SSp攻擊成功的必要條件,因此如果局域網內有相應的ARP欺騙防御措施,那么也能夠很好地防御SSp。具體如何防御ARP欺騙,有很多免費工具,也有很多專業的企業級安全軟件如綠盟科技內網安全管理系統,都能夠起到良好的防御效果。
3. URL檢查:
在客戶端顯示頁面的同時檢查相關的URL是否已被篡改,如果發現異常則給出安全提示,提醒用戶當前鏈接的安全性問題,建議用戶停止交易,或者直接屏蔽后續頁面的顯示、主動終止交易。在我們進行相關研究和測試的時候,已經發現有個別WEB交易系統已經采用了這種方法來防范此類攻擊。
但攻防總是相對的,如果攻擊者很有針對性,就是要截獲某一特定WEB交易系統的帳號信息,則完全能夠在中間轉發數據包的同時過濾掉相關的檢查代碼,最終讓用戶在明文通訊的情況下完成交易,并成功截獲帳號信息。
4. EV SSL:
采用SSL擴展驗證機制可以使用戶比較醒目地了解到:當前網站是否真正的證券交易網站。SSL擴展驗證(EV SSL)證書,英文全名為:Extended Validation SSL Certificate,是全球領先的數字證書頒發機構和主流的瀏覽器開發商共同制定的一個新的SSL證書嚴格身份驗證標準,讓新一代安全瀏覽器(如:IE7)能識別出 EV SSL 而在地址欄顯示為綠色,讓普通消費者能確認正在訪問的網站,就是通過權威第三方嚴格身份驗證的真正服務器。
5. PKI數字證書體系:
PKI數字證書可以實現網上證券用戶登陸時的身份審核認證和交易中的防抵賴。在防止SSLstrip攻擊方面,PKI數字證書是增強的雙向認證,可以有效地驗證正在進行的通訊是否為加密鏈接,驗證對方是否為真正的證券交易服務器,從而可以在發現異常時采取控制措施,避免登錄密碼被盜;另一方面,采用數字證書后網上證券的身份認證就不僅僅是用賬戶/登錄密碼就可以的,還要持有正確的證書才能完成,所以攻擊者還要進一步取得用戶的數字證書,這也加大了攻擊的難度。
各種防御措施的簡單對比
其他方式的SSp攻擊
另一種SSp攻擊方式也是現在大家關注的熱點,但目前還沒有相關的成功實驗。
這種SSp攻擊方式是在局域網上使用了一個包含有效SSL證書的代理,使得瀏覽器會在地址欄顯示一個“https”。其次,它使用homographic 技術創建一個長的URL,在地址中包含了一系列偽造的斜杠。(為防止瀏覽器將這些字符轉換成Punycode,他必須獲得一個用于*.ijjk.cn 的通配 SSL 數字證書)。
結果是客戶端與攻擊者之間、攻擊者與服務器之間都是SSL加密通訊,但其中所有的數據都是通過攻擊者中繼轉發的,這也就意味著所有的信息對于攻擊者來說都是可見的。
再述SSp攻擊的危害
目前已知的SSp攻擊針對的主要目標是交易帳號的密碼信息,但因為客戶端發出的所有數據都是通過攻擊者來轉發,所以實際上攻擊者能夠截獲所有的信息,包含交易信息,進而能夠直接篡改交易信息。但前提是攻擊者有針對性地做了處理,對數據進行過濾,剝離出他想要的所有敏感信息。
結束語
在深入剖析了SSp攻擊之后,希望每一位讀者都能夠樹立這樣的信心:SSp攻擊并不可怕,只要采取得當的防御措施,完全可以將SSp攻擊拒之于門外。
【編輯推薦】
