安全研究人員在黑帽安全大會上演示SSL攻擊

Moxie Marlinspike在周三的黑帽安全大會上解釋了如何通過中間人攻擊來破壞SSL層會話。該研究員通過Youtube視頻解釋該攻擊使用了名爲 SSLstrip的工具，可以利用http和https會話之間的接口，並演示了通過劫持安全套接字協議層(SSL)會話來截獲注冊數據的方法。 　　

Marlinspike在視頻中解釋道：“SSLstrip可以通過中間人(man-in-the-middles )的方式攻擊網絡裏所有的潛在SSL連接，特別是http和https之間的接口。” 　　

SSL和它的繼任者Transport Layer Security(傳輸層安全)是用於TCP/IP網絡加密通信上的加密協議，SSL和TLS通常被銀行和其他組織用於安全頁面傳輸。 　　

該攻擊主要依賴於用戶在浏覽器中輸入URL卻沒有直接激活SSL會話，而大部分用戶激活(SSL)會話都是通過點擊提示的按鈕。這些按鈕一般出現在未加密的Http頁面上，一旦點擊他們將把用戶帶入加密的Https頁面進行登錄。 　　

“這爲截獲信息的方式提供了多種途徑”，他在黑帽大會上如是說，他還聲稱自己在24小時內已經截獲了117個email帳戶，7個Paypal注冊資料，16張信用卡號碼的詳細信息。 　　

SSLstrip通過監視Http傳輸進行工作，當用戶試圖進入加密的https會話時它充當代理作用。當用戶認爲安全的會話已經開始事，SSLstrip也通過https連接到安全服務器，所有用戶到SSLstrip的連接是http，這就意味著浏覽器上“毀滅性的警告”提示已經被阻止，浏覽器看起來正常工作，在此期間所有的注冊信息都可以輕易被截獲。 　　

Marlinspike稱，它還可以在浏覽器地址欄中顯示https的安全鎖logo，使得用戶更加相信自己訪問的安全性。 　　

SSL一直被普遍認爲足夠安全，但部分安全研究人員曾經聲稱SSL通信可以被攔截。在去年8月，研究員Mike Perry稱，他正在和Google就一個自己即將公布的攻擊漏洞進行討論，該漏洞將允許黑客通過WiFi網絡，來截獲安全站點的用戶通信。