GQQQy
2
風險管理(專業級)RM/PL
高級信息系統項目管理師
GQQQy2
風險管理(專業級)RM/PL
高級信息系統項目管理師
SSL常見的安全問題有下面四種:
攻擊證書:類似Verisign之類的公共CA機構并不總是可靠的,系統管理員經常犯的錯誤就是過于信任Verisign等公共CA機構。例如,如果Verisign發放一個證書“某某某”,系統管理員很可能就會相信“某某某”。但是,對于用戶的證書,公共CA機構可能不像對網站數字證書那樣重視和關心其準確性。例如,Verisign發放了一個“keyman”組織的證書,其中一員“JACK”在一個網站要求認證用戶身份時,提交了“JACK”的證書,他可能會對其返回的結果大吃一驚。如果黑客不能利用非法的證書突破服務器,他們可能嘗試暴力攻擊(Brute-ForceAttack)。雖然暴力攻擊證書比暴力攻擊口令更為困難,但仍然是一種攻擊方法。要暴力攻擊客戶端認證,黑客編輯一個可能的用戶名字列表,然后為每一個名字向CA機構申請證書。每一個證書都用于嘗試獲取訪問權限。用戶名的選擇越多越好,其中一個證書被認可的可能性就越高。暴力攻擊證書的方便之處在于它僅需要猜測一個有效的用戶名,而不用猜測用戶名和口令。
竊取證書:除上面的方法外,黑客還可能竊取有效的證書及相應的私有密鑰。最簡單的方法是利用特洛伊木馬。這種攻擊幾乎可使客戶端證書形同虛設。它攻擊的是證書的一個根本性弱點:私有密鑰——整個安全系統的核心——經常保存在不安全的地方。對付這些攻擊的唯一有效方法或許是將證書保存到智能卡或令牌之類的設備中。
安全盲點:系統管理員沒辦法使用現有的安全漏洞掃描(Vulnerability Scanners)或網絡入侵偵測系統(Intrusion Detection Systems,IDS),來審查或監控網絡上的SSL交易。網絡入侵偵測系統是通過監測網絡傳輸來尋找沒有經過認證的活動。任何符合已知的攻擊模式或者并未經過政策上授權的網絡活動,都被標識以供系統管理者監視。而要讓IDS能夠發生作用,IDS必須能夠監視所有的網絡流量信息,但是SSL的加密技術卻使得通過HTTP傳輸的信息無法讓IDS辨認。雖然我們可以用最新的安全掃描軟件審查一般的網頁服務器來尋找已知的安全盲點,這種掃描軟件并不會檢查經過SSL保護的服務器。受到SSL保護的網頁服務器的確擁有與一般服務器同樣的安全盲點,可是也許是因為建立SSL連接所需要的時間及困難度,安全漏洞掃描軟件并不會審查受到SSL保護的網頁服務器。沒有網絡入侵偵測系統再加上沒有安全掃描軟件審查,使得最重要的服務器反而成為受到最少防護的服務器。
安全漏洞:負責維護軟件確保通信暢通的開源軟件組織OpenSSL Project在2003年9月30日發布了一個補丁,修復英國政府在安全測試中發現的三個安全漏洞。這些安全漏洞存在于OpenSSL Project版本的安全套接層(SSL)軟件中。網站和瀏覽器使用這種軟件為數據加密,在這些安全漏洞中,其中兩個安全漏洞可以導致拒絕服務攻擊,第三個安全漏洞能夠讓黑客從互聯網上突破計算機系統。OpenSSL安全小組的開發人員Mark Cox表示,英國政府在對這種軟件進行嚴格測試的過程中發現了這些安全漏洞。
推薦文章
