对于防御SSp攻击的一些心得

2010-01-21 00:43:48

这里我们先来看下SSp攻击的特点,分别是:
1. 需要在局域网环境中实施该攻击,因为其前提是ARP欺骗,在广域网的环境下,ARP欺骗没有施展空间;
2. WEB交易页面的特点是由HTTP页面跳转至HTTPS页面,正是这一特点被攻击者巧妙利用成功实施攻击;
3. 上述的攻击过程并没有真正地攻破SSL加密通道本身,而是巧妙地利用了链接的跳转;
下面就基于上述这些特点重点探讨一下SSp的防御方法。
1. 加密后发送机密信息:客户端与攻击者之间是HTTP明文通讯,导致攻击者从客户端提交过来的数据包中剥离出明文的帐号信息。但是如果此时客户端发出的帐号信息本身就是加密后的信息,那么攻击者想要从中截获用户输入的密码就绝非易事。因此如果交易客户端能够保证从客户端送入HTTP/HTTPS通道的密码是加密后的密文字符串,就能够很好地防御SSp攻击。例如绿盟科技终端保护系统金融版就采用动态密钥加密技术,将用户输入的帐号信息使用动态密钥加密后传入HTTP/HTTPS通道,在防止攻击者截获明文密码的同时,很好地预防了攻击者截获固定密钥加密后的密文字符串并进行重用的可能性,防御SSp攻击的效果非常明显.
2. 防御ARP欺骗:前面已经讲到实施ARP欺骗是SSp攻击成功的必要条件,因此如果局域网内有相应的ARP欺骗防御措施,那么也能够很好地防御SSp。具体如何防御ARP欺骗,有很多免费工具,也有很多专业的企业级安全软件如绿盟科技内网安全管理系统,都能够起到良好的防御效果。
3. URL检查:在客户端显示页面的同时检查相关的URL是否已被篡改,如果发现异常则给出安全提示,提醒用户当前链接的安全性问题,建议用户停止交易,或者直接屏蔽后续页面的显示、主动终止交易。在我们进行相关研究和测试的时候,已经发现有个别WEB交易系统已经采用了这种方法来防范此类攻击。但攻防总是相对的,如果攻击者很有针对性,就是要截获某一特定WEB交易系统的帐号信息,则完全能够在中间转发数据包的同时过滤掉相关的检查代码,最终让用户在明文通讯的情况下完成交易,并成功截获帐号信息。
4. EV SSL:采用SSL扩展验证机制可以使用户比较醒目地了解到:当前网站是否真正的证券交易网站。SSL扩展验证(EV SSL)证书,英文全名为:Extended Validation SSL Certificate,是全球领先的数字证书颁发机构和主流的浏览器开发商共同制定的一个新的SSL证书严格身份验证标准,让新一代安全浏览器(如:IE7)能识别出 EV SSL 而在地址栏显示为绿色,让普通消费者能确认正在访问的网站,就是通过权威第三方严格身份验证的真正服务器。
5. PKI数字证书体系:PKI数字证书可以实现网上证券用户登陆时的身份审核认证和交易中的防抵赖。在防止SSLstrip攻击方面,PKI数字证书是增强的双向认证,可以有效地验证正在进行的通讯是否为加密链接,验证对方是否为真正的证券交易服务器,从而可以在发现异常时采取控制措施,避免登录密码被盗;另一方面,采用数字证书后网上证券的身份认证就不仅仅是用账户/登录密码就可以的,还要持有正确的证书才能完成,所以攻击者还要进一步取得用户的数字证书,这也加大了攻击的难度。
其他方式的SSp攻击
另一种SSp攻击方式也是现在大家关注的热点,但目前还没有相关的成功实验。
这种SSp攻击方式是在局域网上使用了一个包含有效SSL证书的代理,使得浏览器会在地址栏显示一个“https”。其次,它使用homographic 技术创建一个长的URL,在地址中包含了一系列伪造的斜杠。(为防止浏览器将这些字符转换成Punycode,他必须获得一个用于*.ijjk.cn 的通配 SSL 数字证书)。
结果是客户端与攻击者之间、攻击者与服务器之间都是SSL加密通讯,但其中所有的数据都是通过攻击者中继转发的,这也就意味着所有的信息对于攻击者来说都是可见的。
再述SSp攻击的危害
目前已知的SSp攻击针对的主要目标是交易帐号的密码信息,但因为客户端发出的所有数据都是通过攻击者来转发,所以实际上攻击者能够截获所有的信息,包含交易信息,进而能够直接篡改交易信息。但前提是攻击者有针对性地做了处理,对数据进行过滤,剥离出他想要的所有敏感信息。
最后
在深入剖析了SSp攻击之后,希望每一位读者都能够树立这样的信心:SSp攻击并不可怕,只要采取得当的防御措施,完全可以将SSp攻击拒之于门外。