简单八一八这两天发生的事儿,看看那些跟我们是有关系的。
一、SSLv3 —— Poodle(贵宾犬)攻击
今天这个SSLv3版本的漏洞差点被传成“心脏出血”,各大企业和用户受惊了。乌云白帽子通过对漏洞的分析,发现攻击流程与利用成本较高,不如“心脏出血”那样简单、暴力、直接了当!先简单了解下SSL协议。
“SSLv3” VS “TLS”
简单来讲,这两个协议都是为了保证我们访问网站数据加密传输与信息完整性的(内置于浏览器与网站服务器),但这两种协议有啥不同?出问题的是最新版本SSL3.0么?
SSLv3已经过期用了15年了。
在通俗一些,TLS1.0 = SSL 3.1,TLS的主要目标是使SSL更安全,并使协议的规范更完善。TLS 在SSLv3 的基础上,提供了更多的增强内容,目前大多网站都在采用TLS协议了,比如
SSLv3已是暮年,TLS正是青年时期更加出色。这次的漏洞出在SSLv3上,他的攻击原理非常复杂,效果就是能获取到你在HTTPS站点通信中的明文信息。
PS:并不是说采用了TLS协议就安全了,因为黑客攻击可以通过降级攻击(有点像三体里的降维攻击)。为了保持兼容性,当浏览器进行HTTPS连接失败的时候,将会尝试旧的协议版本,包括SSL 3.0,继续进行攻击,还是讲个小故事解释下
HTTPS通信前网站与用户进行握手,相互告诉自己支持的协议然后双方都选个相互支持最高版本的协议
但此时坏人(中间人)出现了,他拦截了用户到服务器的通信(这个一般人做不到)替用户告诉服务器:俺的浏览器是IE6太旧了,只支持SSLv3
服务器说:好吧,你个土鳖,那咱就用SSLv3加密通信吧
中间人:HOHOHO我好萌~
细节请看乌云白帽分析:CVE-2014-3566 SSLv3 POODLE原理分析
提供两个在线测试地址,感兴趣的玩玩:
Qualys SSL Labs —— 测试服务器端SSL
SSLv3 Poodle Attack Check —— 测试浏览器SSL
漏洞的利用
黑客要先控制你的浏览器,向你存在敏感信息的的SSL站点发送特殊请求(如Gmail、网银等)然后根据服务器返回逐个猜解身份认证信息中的内容(每解密一个字节平均需要256次网络请求)。但是一个站点的认证信息可能有多少字节呢?就拿乌云君的微博做演示吧(注:这种计算不是很严谨,参考即可)
解出这个cookie可能需要 830*256 大概 210,000 次HTTP请求,而且前提是目标网站被注入了恶意代码,并且浏览器标签不能被关闭,攻击收获大概是这个样子:
心脏出血:一个HTTP请求就可能窃取到一个用户帐号(返回64K内存)
“贵宾犬”:数万次HTTP请求可能窃取到一个用户帐号(1字节1字节的猜)
嗯,贵宾犬这个漏洞大概就是这么个情况。虽然是个漏洞,但对普通用户的攻击成本太高了。。。
