网络攻击是公司的日常问题,但当您面临 SSL 威胁时,您就会遇到**烦。虽然大多数用户认为加密为黑客提供了坚不可摧的屏障,但安全专家非常清楚,黑客可以操纵 SSL 证书发送任何类型的恶意软件而不会被发现。请查看以下可能会影响您通过 Internet 进行通信的威胁列表。
什么是 SSL 威胁?
如今,大多数互联网通信使用安全套接字层 (SSL) 和传输层安全 (TSL) 来加密数据。这样,可以确保隐私和数据完整性。例如,当您发送电子邮件时,数据会被加密,直到到达目的地。
不幸的是,这些加密协议无法区分数据是否恶意。因此黑客利用了这一点,开始使用 SSL 协议来发送无法检测到的漏洞和漏洞利用,除非首先将包解密以进行检查。否则,攻击将通过感染受害者。所以基本上,我们可以说 SSL 威胁是一种加密攻击。
基于 SSL 的威胁源
使用 SSL 进行的网络钓鱼攻击显着增加。没什么奇怪的,因为接受 SSL 的合法网站每天都在增加。尽管许多公司已投资解决硬件级别的漏洞,但其中只有少数公司执行了全面的 SSL 检查。除非一个组织可以检查 100% 的所有 SSL 流量,但特别是豁免的 SSL 流量,否则它就有可能受到网络攻击的风险。
根据 Zcaler 进行的研究,目前使用 SSL 感染受害者的最具攻击性的恶意软件如下:
Vawtrack
Vawtrack 是一种木马,也称为银行恶意软件,因为它是攻击在线银行门户的主要威胁之一。在设备上安装 Vawtrack 后,它可以创建允许攻击者访问的 VNC 和 socks 服务器。尽管该恶意软件能够捕获屏幕截图和视频,但其主要目的是通过各种设备来源窃取登录凭据,例如 FTP 客户端、电子邮件客户端、Web 浏览器等。Vawtrack 还可以创建虚假模板和 Web 表单来诱导受害者透露他们的机密数据。该恶意软件允许下载和验证 SSL 证书以启动 HTTPS 连接。
广告软件
广告软件能够分发脚本来重定向漏洞。尽管可以通过 SSL 加密来控制这种威胁,但在某些情况下,恶意软件已经设法破坏安全屏障,在 HTTPS 流量中放置不需要的宣传。Superfish 和 PrivDog 等广告软件可以在受害者的设备上安装 CA(认证机构)证书,以捕获他们的网络流量并在上网时插入广告。该广告软件具有攻击性的一个例子是 PrivDog,它将用户重定向到使用虚假 SSL 证书的网站。InstallCore 是另一种广告软件,它会诱使用户安装 Flash 插件或 Java 更新,这些插件或 Java 更新只会插入恶意脚本来操纵用户设备中的主页和搜索引擎。
工具包
Gootkit 是一种专门用于感染 Windows 设备的木马。Gootkit 将受感染的设备变成僵尸,成为僵尸网络的一部分。它的主要目标是窃取银行信息。该恶意软件通过在 HTTPS 流量中放置恶意脚本来捕获用户数据。Goodkit 通过 SSL 执行,无需安装文件。
德里德克斯
Dridex 是另一种银行恶意软件,它加入了 TrickLoader、Dyre 和 Bugat 等危险木马的名单。从本质上讲,这种类型的恶意软件监视 Internet 浏览器(HTTP 和 HTTPS)对特定 URL 的活动,该 URL 由字符串列表的配置确定。当木马根据其参数检测到活动时,它开始窃取信息流。
打开可能导致 SSL 攻击的门
- 恶意软件感染和数据泄露:通常,当公司员工通过 HTTPS 执行 Web 浏览并且未检查此流量时,会发生此漏洞。
- 受感染主机的扩展:当员工从内部网络连接到服务器时未检查流量时发生。
- 缺乏分析传入流量的基本保护技术:当互联网用户使用加密协议连接到公司的公共服务器时,会发生这种流量检查失败。
防止基于 SSL 的攻击的具体操作
认证算法
不要信任自签名证书。一个可靠的证书最好使用 SHA-2 哈希算法。此外,扩展验证 (EV) 证书为网站提供了更高级别的信任。大多数浏览器将带有 EV 的网站标记为绿色
摆脱以前版本的 SSL
SSL 协议已经展示了几个漏洞,尤其是 SSL 2.0。另一方面,SSL 3.0 的强度在被成功违反后也受到质疑。今天最安全的协议是 TLS,尽管这并不意味着它没有漏洞。但是,它提供了比其前身更多的保证,并且被大多数浏览器所接受。根据 Ponemon Institute 的报告,51% 的公司计划安装某种形式的流量解密,而 62% 的公司表示他们不对解密的流量进行任何检查。
客户的密码和重新协商
由于加密的弱点,小于 128 位的密码不能提供足够的安全性。您最好更改为 ECDHE 加密。当你这样做时,不要忘记启用前向保密选项以避免被截获的通信。另一方面,通过禁用客户端的重新协商,您可以随时停止客户端和服务器之间通过 SSL 进行的信息交换。
避免犯罪攻击。
犯罪攻击以其通过 TLS 压缩过程破译安全连接的能力而闻名。为避免这种情况,步骤很明显:禁用 TLS 压缩。
启用 HSTS 并验证 cookie 的安全性
用户会话中涉及的所有 cookie 都必须使用特殊属性进行保护。这将防止它们被拦截。您还必须在 HTTP 上启用 HSTS(严格传输安全)以扩展您的安全性并避免与其他网站的未加密通信。