华盛顿黑帽会议又爆SSL漏洞利用的新工具SSL Strip,让人们再次为WiFi和洋葱代理网络的安全而担忧。SSL Strip(下称 SSp)可以通过中介攻击方式(Man-in-the-middle),在不改变SSL加密状态的情况下,欺骗用户盗取他们私人密码。尽管中介攻击方式已经是老生常谈,但本次的SSp貌似伪装技巧非同一般。
起因
报道中据Marlinspike说,大部分使用SSL的网站并非全站加密,仅对部分重要的网页使用SSL,这就给攻击者以可乘之机。
原理
SSp可以篡改站点的未加密响应,劫持HTTPS链接,同时给原站链接已加密的假象。在用户方面,SSp使用了多种手段欺骗用户,首先,其使用的本地代理含有合法的SSL 证书使浏览器将页面报告已加密(但证书提供商不同),其次,SSp还使用单应方式(homographic )创建包含虚假斜线的超长链接,并通过为*.ijjk.cn获取合法的SSL通配符证书,阻止浏览器将链接字符转换为PunyCode* 。"它最邪恶的问题是(它篡改的链接)看起来很像Https://gmail.com","http与https间的桥接问题也是SSL部署中的一个最基础的部分,改善这一点会很难。"
危害
Marlinspike已经用SSp成功的骗过了FF和Safari用户,尽管他还没有对IE进行测试,但他估计同样的策略对IE将仍旧有效。
为了证实自己的观点,Marlinspike在Tor匿名网络中(以出口节点身份)运行SSp 24小时共截获254个密码,这些密码来自包括Yahoo、Gmail、Ticketmaster、PayPal和LinkedIn等大网站。