HTTPS并不總像它看起來那么可靠
責編:gltian |2019-04-08 14:40:06Web加密方法HTTPS的廣泛使用,使得很多網站能夠保護自己的數據,并都掛上了小綠鎖。
你每天訪問的所有熱門網站,都可能提供這種名為傳輸層安全(Transport Layer Security,簡稱TLS)的防御措施,TLS可以對瀏覽器和與其通信的web服務器之間的數據進行加密,以保護你的旅行計劃、密碼和令人尷尬的來自谷歌搜索的窺探。但意大利威尼斯Ca’ Foscari大學和奧地利Tu Wien大學的研究人員的新發現表明,有相當數量的加密網站仍然會暴露這些數據。
亞馬遜旗下的分析公司Alexa,對全球排名前10,000的HTTPS網站進行了分析,研究人員發現5.5%的網站存在潛在可利用的TLS漏洞。這些漏洞是由于站點在實現TLS加密方案時產生的問題,以及沒能對TLS及其前身安全套接字層(Secure Sockets Layer)中的已知漏洞(其中有很多)進行修補綜合導致的。但最糟糕的是,這些漏洞很難被察覺,所以網站仍然會掛上小綠鎖。
威尼斯Ca’ Foscari大學的網絡安全和密碼學研究員,同時也是Cryptosense審計公司的創始人之一的Riccardo Focardi表示:
我們在論文中的假設瀏覽器是最新的,但是我們發現的東西并沒有被瀏覽器發現,這些問題還沒有解決,甚至沒有人注意到它們。我們想通過網站的TLS,找出這些還沒有被用戶指出的問題。
研究人員將于5月在舊金山舉行的IEEE安全與隱私研討會上,發表他們的全部研究成果。他們開發了TLS分析技術,并利用現有密碼學文獻中的一些技術來抓取和審查全球排名前10,000個站點存在的TLS問題。他們將發現的漏洞分成了三種類型。
有些漏洞會造成風險,但攻擊者很難單獨依靠它們,因為利用它們需要多次發起相同的查詢,從小片段中緩慢推斷信息。這些會導致“部分泄漏”(partially leaky)的bug能夠幫助攻擊者解密會話cookie之類的東西,因為每次站點查詢都很有可能會同時發送cookie。但是如果想要獲取用戶在給定會話中通常只會發送一次的信息(比如密碼),效率就會降低。
另外兩種類型則更為危險。會導致“完全泄漏”(leaky)的漏洞,包括瀏覽器和web服務器之間存在嚴重缺陷的加密通道,攻擊者能夠解密經過這些通道的所有流量。最糟糕的是研究人員觀察到的“受污染”(tainted)通道,攻擊者利用這些通道不僅能夠解密通信,還可能修改或操縱它們。這些都屬于“中間人”攻擊,HTTPS加密正是為了抵御這些攻擊而創建的。
安全工程師兼開放密碼審計項目(Open Crypto Audit Project)負責人,Kenn White表示,在實踐中,研究人員發現的漏洞不一定是關鍵的漏洞。其中有很多是可利用漏洞,但它們可能對黑客沒有什么吸引力,因為與其他常見漏洞相比,利用這些漏洞需要耗費更多時間,而它們在攻擊中也更容易引起注意。但他強調了這些發現對清理互聯網計劃的重要性。
雖然 ‘不要像2005年那樣在web服務器上處理cookie’ 并且 ‘使用TLS’ 顯而易見,但這項研究發現,對于驚人數量的高流量網站來說,他們還在和這些基本的東西在作斗爭。web開發人員使用現代HTTP防篡改技術是至關重要的。
研究人員表示,除了具體評估有多少站點存在TLS漏洞之外,這個項目中的一個關鍵還涉及到web的基本互聯性,以及一個頁面上的TLS小漏洞如何對其他網站產生潛在影響。Example.com的主頁可能使用可靠的HTTPS,但是如果mail.example.com有問題,并且兩者進行交互,它們之間的加密連接將被破壞。
當你擁有相互關聯的域名時,他們之間可能會共享敏感數據和cookie之類的東西,這意味著當其中一個主機脆弱時,漏洞可能會傳播。在網絡上,URL和主機之間有很多聯系,這可能會放大一個TLS漏洞的影響。
研究人員確定了近91,000個相關站點,這些域名或是屬于排名前10,000個站點的子域名,或與這10,000個站點共享資源。這些相關站點存在的TLS漏洞可能會造成連鎖反應。所以排名前10,000的網站中,有5.5%的存在漏洞的網站實際上包括292個排名前10,000的網站中自身存在漏洞的站點,以及5282個相關站點,這些相關站點存在的TLS漏洞,為這10,000個網站帶來了潛在的風險。在所有漏洞中,4800多個漏洞屬于最嚴重的 “受污染” (tainted)漏洞,733個是能夠被解密但無法進行操控的 “泄漏” (leaky)漏洞,912個是威脅程度較低的 “部分泄漏” (partially leaky)漏洞。
在web安全研究中,相互關聯會產生漏洞是眾所周知的——本質上可以歸納為 “你的實力取決于你最薄弱的環節”。威尼斯Ca’ Foscari大學的研究結果從屬于如何發現和減輕這種類型的暴露的研究領域。Ca’ Foscari的研究人員表示,他們正在根據其發現開發一種工具,幫助開發人員識別經常被忽視的TLS漏洞。
鑒于網絡的核心在于大規模互連,因此能夠捕捉到可能對整體安全產生巨大影響的小問題變得越來越重要。