华盛顿黑帽会议又爆SSL漏洞利用的新工具 SSL Strip

　　据 The Register 今日消息,华盛顿黑帽会议又爆SSL漏洞利用的新工具 SSL Strip,让人们再次为 WiFi 和 洋葱代理网络的安全而担忧.SSL Strip (下称 SSp) 可以通过中介攻击方式(Man-in-the-middle)在不改变SSL加密状态的情况下,欺骗用户盗取他们私人密码.尽管中介攻击方式已经是老生常谈,但本次的 SSp 貌似伪装技巧非同一般.

　　起因

　　报道中据 Marlinspike 说,大部分使用SSL 的网站并非全站加密,仅对部分重要的网页使用SSL,这就给攻击者以可乘之机.

　　原理

　　SSp 可以篡改站点的未加密响应,劫持 HTTPS 链接,同时给原站链接已加密的假象.在用户方面,SSp 使用了多种手段欺骗用户.首先,其使用的本地代理含有合法的 SSL 证书使浏览器将页面报告已加密(但证书提供商不同).其次SSp 还使用单应方式(homographic )创建包含虚假斜线的超长链接,并通过为*.ijjk.cn获取合法的 SSL 通配符证书,阻止浏览器将链接字符转换为PunyCode* ."它最邪恶的问题是(它篡改的链接)看起来很像 Https://gmail.com","http与https间的桥接问题也是 SSL 部署中的一个最基础的部分,改善这一点会很难."

　　危害

　　Marlinspike 已经用 SSp 成功的骗过了 FF 和Safari 用户,尽管他还没有对IE 进行测试,但他估计同样的策略对IE将仍旧有效.

　　为了证实自己的观点,Marlinspike 在 Tor 匿名网络中(以出口节点身份)运行 SSp 24 小时共截获254个密码,这些密码来自包括 Yahoo, Gmail, Ticketmaster, PayPal, 和 LinkedIn 等大网站.