網(wǎng)絡(luò)攻擊是公司的日常問題，但當(dāng)您面臨 SSL 威脅時(shí)，您就會(huì)遇到大麻煩。雖然大多數(shù)用戶認(rèn)為加密為黑客提供了堅(jiān)不可摧的屏障，但安全專家非常清楚，黑客可以操縱 SSL 證書發(fā)送任何類型的惡意軟件而不會(huì)被發(fā)現(xiàn)。請(qǐng)查看以下可能會(huì)影響您通過 Internet 進(jìn)行通信的威脅列表。

什么是 SSL 威脅？

如今，大多數(shù)互聯(lián)網(wǎng)通信使用安全套接字層 (SSL) 和傳輸層安全 (TSL) 來加密數(shù)據(jù)。這樣，可以確保隱私和數(shù)據(jù)完整性。例如，當(dāng)您發(fā)送電子郵件時(shí)，數(shù)據(jù)會(huì)被加密，直到到達(dá)目的地。

不幸的是，這些加密協(xié)議無法區(qū)分?jǐn)?shù)據(jù)是否惡意。因此黑客利用了這一點(diǎn)，開始使用 SSL 協(xié)議來發(fā)送無法檢測到的漏洞和漏洞利用，除非首先將包解密以進(jìn)行檢查。否則，攻擊將通過感染受害者。所以基本上，我們可以說 SSL 威脅是一種加密攻擊。

基于 SSL 的威脅源

使用 SSL 進(jìn)行的網(wǎng)絡(luò)釣魚攻擊顯著增加。沒什么奇怪的，因?yàn)榻邮?SSL 的合法網(wǎng)站每天都在增加。盡管許多公司已投資解決硬件級(jí)別的漏洞，但其中只有少數(shù)公司執(zhí)行了全面的 SSL 檢查。除非一個(gè)組織可以檢查 100% 的所有 SSL 流量，但特別是豁免的 SSL 流量，否則它就有可能受到網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

根據(jù) Zcaler 進(jìn)行的研究，目前使用 SSL 感染受害者的最具攻擊性的惡意軟件如下：

Vawtrack

Vawtrack 是一種木馬，也稱為銀行惡意軟件，因?yàn)樗枪粼诰€銀行門戶的主要威脅之一。在設(shè)備上安裝 Vawtrack 后，它可以創(chuàng)建允許攻擊者訪問的 VNC 和 socks 服務(wù)器。盡管該惡意軟件能夠捕獲屏幕截圖和視頻，但其主要目的是通過各種設(shè)備來源竊取登錄憑據(jù)，例如 FTP 客戶端、電子郵件客戶端、Web 瀏覽器等。Vawtrack 還可以創(chuàng)建虛假模板和 Web 表單來誘導(dǎo)受害者透露他們的機(jī)密數(shù)據(jù)。該惡意軟件允許下載和驗(yàn)證 SSL 證書以啟動(dòng) HTTPS 連接。

廣告軟件

廣告軟件能夠分發(fā)腳本來重定向漏洞。盡管可以通過 SSL 加密來控制這種威脅，但在某些情況下，惡意軟件已經(jīng)設(shè)法破壞安全屏障，在 HTTPS 流量中放置不需要的宣傳。Superfish 和 PrivDog 等廣告軟件可以在受害者的設(shè)備上安裝 CA（認(rèn)證機(jī)構(gòu)）證書，以捕獲他們的網(wǎng)絡(luò)流量并在上網(wǎng)時(shí)插入廣告。該廣告軟件具有攻擊性的一個(gè)例子是 PrivDog，它將用戶重定向到使用虛假 SSL 證書的網(wǎng)站。InstallCore 是另一種廣告軟件，它會(huì)誘使用戶安裝 Flash 插件或 Java 更新，這些插件或 Java 更新只會(huì)插入惡意腳本來操縱用戶設(shè)備中的主頁和搜索引擎。

工具包

Gootkit 是一種專門用于感染 Windows 設(shè)備的木馬。Gootkit 將受感染的設(shè)備變成僵尸，成為僵尸網(wǎng)絡(luò)的一部分。它的主要目標(biāo)是竊取銀行信息。該惡意軟件通過在 HTTPS 流量中放置惡意腳本來捕獲用戶數(shù)據(jù)。Goodkit 通過 SSL 執(zhí)行，無需安裝文件。

德里德克斯

Dridex 是另一種銀行惡意軟件，它加入了 TrickLoader、Dyre 和 Bugat 等危險(xiǎn)木馬的名單。從本質(zhì)上講，這種類型的惡意軟件監(jiān)視 Internet 瀏覽器（HTTP 和 HTTPS）對(duì)特定 URL 的活動(dòng)，該 URL 由字符串列表的配置確定。當(dāng)木馬根據(jù)其參數(shù)檢測到活動(dòng)時(shí)，它開始竊取信息流。

打開可能導(dǎo)致 SSL 攻擊的門

• 惡意軟件感染和數(shù)據(jù)泄露：通常，當(dāng)公司員工通過 HTTPS 執(zhí)行 Web 瀏覽并且未檢查此流量時(shí)，會(huì)發(fā)生此漏洞。
• 受感染主機(jī)的擴(kuò)展：當(dāng)員工從內(nèi)部網(wǎng)絡(luò)連接到服務(wù)器時(shí)未檢查流量時(shí)發(fā)生。
• 缺乏分析傳入流量的基本保護(hù)技術(shù)：當(dāng)互聯(lián)網(wǎng)用戶使用加密協(xié)議連接到公司的公共服務(wù)器時(shí)，會(huì)發(fā)生這種流量檢查失敗。

防止基于 SSL 的攻擊的具體操作

認(rèn)證算法

不要信任自簽名證書。一個(gè)可靠的證書最好使用 SHA-2 哈希算法。此外，擴(kuò)展驗(yàn)證 (EV) 證書為網(wǎng)站提供了更高級(jí)別的信任。大多數(shù)瀏覽器將帶有 EV 的網(wǎng)站標(biāo)記為綠色

擺脫以前版本的 SSL

SSL 協(xié)議已經(jīng)展示了幾個(gè)漏洞，尤其是 SSL 2.0。另一方面，SSL 3.0 的強(qiáng)度在被成功違反后也受到質(zhì)疑。今天最安全的協(xié)議是 TLS，盡管這并不意味著它沒有漏洞。但是，它提供了比其前身更多的保證，并且被大多數(shù)瀏覽器所接受。根據(jù) Ponemon Institute 的報(bào)告，51% 的公司計(jì)劃安裝某種形式的流量解密，而 62% 的公司表示他們不對(duì)解密的流量進(jìn)行任何檢查。

客戶的密碼和重新協(xié)商

由于加密的弱點(diǎn)，小于 128 位的密碼不能提供足夠的安全性。您最好更改為 ECDHE 加密。當(dāng)你這樣做時(shí)，不要忘記啟用前向保密選項(xiàng)以避免被截獲的通信。另一方面，通過禁用客戶端的重新協(xié)商，您可以隨時(shí)停止客戶端和服務(wù)器之間通過 SSL 進(jìn)行的信息交換。

避免犯罪攻擊。

犯罪攻擊以其通過 TLS 壓縮過程破譯安全連接的能力而聞名。為避免這種情況，步驟很明顯：禁用 TLS 壓縮。

啟用 HSTS 并驗(yàn)證 cookie 的安全性

用戶會(huì)話中涉及的所有 cookie 都必須使用特殊屬性進(jìn)行保護(hù)。這將防止它們被攔截。您還必須在 HTTP 上啟用 HSTS（嚴(yán)格傳輸安全）以擴(kuò)展您的安全性并避免與其他網(wǎng)站的未加密通信。