网络安全 频道

有补丁也不打?四分之一SSL网站有风险

  【IT168专稿】在互联网工程任务组(Internet Engineering Task Force ,IETF)发布修复SSL协议中存在的漏洞(主要影响服务器、浏览器、智能卡和VPN产品,以及很多低端设备,如摄像头等)的安全补丁的一年多后,仍然有四分之一的SSL网站没有安装这个补丁,这让这些网站很容易收到中间人攻击。

  Qualys公司的工程主管Ivan Ristic近日对120万个启用SSL网站服务器进行了调查,其中发现超过25%的网站没有运行所谓的安全的renegotiation。Ristic还发现,在Alexa排名前100万的网站中的30万个网站中,有35%容易受到这种类型的攻击,这种攻击主要是利用了SSL认证过程中存在的问题,可以让攻击者发动中间人攻击,并将攻击者自己的文本注入到已加密的SSL会话中。这个问题主要存在于renegotiation过程中,有些应用程序要求对加密过程进行更新。

  为了解决这个问题,互联网工程任务组联手促进互联网安全企业论坛以及一些供应商,例如谷歌、微软和PhoneFactor,发布SSL的修复补丁,也就是互联网工程任务组标准中的传输层安全(TLS)。这个修复补丁(传输层安全TLS Renegotiation Indication Extension)于2010年一月发布。

  “令人感到意外的是,优异网站的安全状况比一般网站的还要差,”Ristic对调查结果表示。

  Ristic表示,这些容易受到攻击的网站基本上没有修复这个漏洞。“在修复补丁后,才能够确保安全进行renegotiation,”他表示,“这些漏洞系统也可以部署其他解决方法,通过禁用客户端发起的renegotiation,但是他们也没有这样做。”

  发现这个漏洞的PhoneFactor公司的Marsh Ray表示,这些数据说明了修复漏洞方面的场景安全状况,“有一定数量的网站会立即修复漏洞,然后修复后就没有采取任何行动了。”

  Ray表示,“我们已经尽了全力,我们让供应商及时地提供修复补丁。你可以把马带到湖边,但是你不能命令它喝水。”

  SSL安全问题一直受到广泛关注,首先是研究人员Moxie Marlinspike制造的中间人攻击,诱骗用户认为他正处于一个HTTPS会话中,而实际上他已经被攻击者重定向到其他位置。随之而来的是研究人员Dan Kaminsky的研究,他发现了SSL中使用的X.509数字证书技术存在的关键漏洞。

  “我认为没有办法让个人用户大幅度改善SSL部署情况。存在太多问题,而且根本没有人在乎。我觉得我们应该将侧重于库开发人员(举例来说)OpenSSL,让他们移除过时的功能,并且让软件供应商确保默认情况下开启了必要的安全功能,”Ristic表示。

  他表示,从长远来看,将需要其他方法来帮助确保SSL部署的安全。“从长远来看,谷歌使用的方法肯定会变得非常流行,他们正在通过改善性能来实现安全的改进。例如,他们的SPDY协议在默认情况下是100%加密的。所以,所有转移到SPDY获取更好性能的用户还将获得更好的安全,”Ristic指出,“总体来说,我们的共同努力,SPDY、DNSSEC、HSTS以及类似的较小的协议改进都将帮助我们实现更好的安全。”

0
相关文章