信息來源:安全牛
Web加密方法HTTPS的廣泛使用����,使得很多網(wǎng)站能夠保護自己的數(shù)據(jù)��,并都掛上了小綠鎖���。
你每天訪問的所有熱門網(wǎng)站,都可能提供這種名為傳輸層安全(Transport Layer Security�,簡稱TLS)的防御措施,TLS可以對瀏覽器和與其通信的web服務器之間的數(shù)據(jù)進行加密���,以保護你的旅行計劃�����、密碼和令人尷尬的來自谷歌搜索的窺探�����。但意大利威尼斯Ca’ Foscari大學和奧地利Tu Wien大學的研究人員的新發(fā)現(xiàn)表明����,有相當數(shù)量的加密網(wǎng)站仍然會暴露這些數(shù)據(jù)。
亞馬遜旗下的分析公司Alexa�,對全球排名前10,000的HTTPS網(wǎng)站進行了分析,研究人員發(fā)現(xiàn)5.5%的網(wǎng)站存在潛在可利用的TLS漏洞����。這些漏洞是由于站點在實現(xiàn)TLS加密方案時產(chǎn)生的問題,以及沒能對TLS及其前身安全套接字層(Secure Sockets Layer)中的已知漏洞(其中有很多)進行修補綜合導致的��。但最糟糕的是��,這些漏洞很難被察覺��,所以網(wǎng)站仍然會掛上小綠鎖����。
威尼斯Ca’ Foscari大學的網(wǎng)絡安全和密碼學研究員,同時也是Cryptosense審計公司的創(chuàng)始人之一的Riccardo Focardi表示:
我們在論文中的假設瀏覽器是最新的,但是我們發(fā)現(xiàn)的東西并沒有被瀏覽器發(fā)現(xiàn)���,這些問題還沒有解決�,甚至沒有人注意到它們��。我們想通過網(wǎng)站的TLS�,找出這些還沒有被用戶指出的問題。
研究人員將于5月在舊金山舉行的IEEE安全與隱私研討會上����,發(fā)表他們的全部研究成果。他們開發(fā)了TLS分析技術��,并利用現(xiàn)有密碼學文獻中的一些技術來抓取和審查全球排名前10,000個站點存在的TLS問題�����。他們將發(fā)現(xiàn)的漏洞分成了三種類型����。
有些漏洞會造成風險��,但攻擊者很難單獨依靠它們����,因為利用它們需要多次發(fā)起相同的查詢�,從小片段中緩慢推斷信息�。這些會導致“部分泄漏”(partially leaky)的bug能夠幫助攻擊者解密會話cookie之類的東西,因為每次站點查詢都很有可能會同時發(fā)送cookie���。但是如果想要獲取用戶在給定會話中通常只會發(fā)送一次的信息(比如密碼)�����,效率就會降低�。
另外兩種類型則更為危險����。會導致“完全泄漏”(leaky)的漏洞,包括瀏覽器和web服務器之間存在嚴重缺陷的加密通道�����,攻擊者能夠解密經(jīng)過這些通道的所有流量��。最糟糕的是研究人員觀察到的“受污染”(tainted)通道��,攻擊者利用這些通道不僅能夠解密通信��,還可能修改或操縱它們。這些都屬于“中間人”攻擊��,HTTPS加密正是為了抵御這些攻擊而創(chuàng)建的�。
安全工程師兼開放密碼審計項目(Open Crypto Audit Project)負責人,Kenn White表示��,在實踐中����,研究人員發(fā)現(xiàn)的漏洞不一定是關鍵的漏洞。其中有很多是可利用漏洞�����,但它們可能對黑客沒有什么吸引力�,因為與其他常見漏洞相比,利用這些漏洞需要耗費更多時間����,而它們在攻擊中也更容易引起注意。但他強調(diào)了這些發(fā)現(xiàn)對清理互聯(lián)網(wǎng)計劃的重要性��。
雖然 ‘不要像2005年那樣在web服務器上處理cookie’ 并且 ‘使用TLS’ 顯而易見��,但這項研究發(fā)現(xiàn)�,對于驚人數(shù)量的高流量網(wǎng)站來說,他們還在和這些基本的東西在作斗爭����。web開發(fā)人員使用現(xiàn)代HTTP防篡改技術是至關重要的。
研究人員表示�,除了具體評估有多少站點存在TLS漏洞之外,這個項目中的一個關鍵還涉及到web的基本互聯(lián)性���,以及一個頁面上的TLS小漏洞如何對其他網(wǎng)站產(chǎn)生潛在影響�����。Example.com的主頁可能使用可靠的HTTPS��,但是如果mail.example.com有問題���,并且兩者進行交互,它們之間的加密連接將被破壞�����。
當你擁有相互關聯(lián)的域名時���,他們之間可能會共享敏感數(shù)據(jù)和cookie之類的東西����,這意味著當其中一個主機脆弱時,漏洞可能會傳播�����。在網(wǎng)絡上��,URL和主機之間有很多聯(lián)系���,這可能會放大一個TLS漏洞的影響��。
研究人員確定了近91,000個相關站點��,這些域名或是屬于排名前10,000個站點的子域名����,或與這10,000個站點共享資源���。這些相關站點存在的TLS漏洞可能會造成連鎖反應����。所以排名前10,000的網(wǎng)站中�,有5.5%的存在漏洞的網(wǎng)站實際上包括292個排名前10,000的網(wǎng)站中自身存在漏洞的站點����,以及5282個相關站點���,這些相關站點存在的TLS漏洞,為這10,000個網(wǎng)站帶來了潛在的風險����。在所有漏洞中,4800多個漏洞屬于最嚴重的 “受污染” (tainted)漏洞��,733個是能夠被解密但無法進行操控的 “泄漏” (leaky)漏洞��,912個是威脅程度較低的 “部分泄漏” (partially leaky)漏洞����。
在web安全研究中,相互關聯(lián)會產(chǎn)生漏洞是眾所周知的——本質(zhì)上可以歸納為 “你的實力取決于你最薄弱的環(huán)節(jié)”���。威尼斯Ca’ Foscari大學的研究結果從屬于如何發(fā)現(xiàn)和減輕這種類型的暴露的研究領域�。Ca’ Foscari的研究人員表示�,他們正在根據(jù)其發(fā)現(xiàn)開發(fā)一種工具,幫助開發(fā)人員識別經(jīng)常被忽視的TLS漏洞����。
鑒于網(wǎng)絡的核心在于大規(guī)?���;ミB�����,因此能夠捕捉到可能對整體安全產(chǎn)生巨大影響的小問題變得越來越重要�。
