黑帽会议又爆SSL漏洞 利用新工具SSL Strip

华盛顿黑帽会议又爆SSL漏洞利用的新工具SSL Strip，让人们再次为WiFi和洋葱代理网络的安全而担忧。SSL Strip(下称 SSp)可以通过中介攻击方式(Man-in-the-middle)，在不改变SSL加密状态的情况下，欺骗用户盗取他们私人密码。尽管中介攻击方式已经是老生常谈，但本次的SSp貌似伪装技巧非同一般。

起因

报道中据Marlinspike说，大部分使用SSL的网站并非全站加密，仅对部分重要的网页使用SSL，这就给攻击者以可乘之机。

原理

SSp可以篡改站点的未加密响应，劫持HTTPS链接，同时给原站链接已加密的假象。在用户方面，SSp使用了多种手段欺骗用户，首先，其使用的本地代理含有合法的SSL 证书使浏览器将页面报告已加密(但证书提供商不同)，其次，SSp还使用单应方式(homographic )创建包含虚假斜线的超长链接，并通过为*.ijjk.cn获取合法的SSL通配符证书，阻止浏览器将链接字符转换为PunyCode* 。“它最邪恶的问题是(它篡改的链接)看起来很像Https://gmail.com”，“http与https间的桥接问题也是SSL部署中的一个最基础的部分，改善这一点会很难。”

危害

Marlinspike已经用SSp成功的骗过了FF和Safari用户，尽管他还没有对IE进行测试，但他估计同样的策略对IE将仍旧有效。

为了证实自己的观点，Marlinspike在Tor匿名网络中(以出口节点身份)运行SSp 24小时共截获254个密码，这些密码来自包括Yahoo、Gmail、Ticketmaster、PayPal和LinkedIn等大网站。