黑帽大会2010:SSL协议使用的最新测试细节

日期: 2010-07-18 作者:Robert Westervelt翻译:Sean 来源:TechTarget中国 英文

安全研究人员Ivan Ristic一直在默默地调查数百万个注册域名,以查明和测试SSL协议的实施情况。   Ristic是Qualys公司的工程部总监,负责SSL实验室的管理工作。该实验室从事非商业性的研究工作,于去年被Qualys公司收购。该实验室的网站利用SSL测试工具检查配置问题和协议错误,而这些缺陷有可能被中间人攻击(man-in-the-middle attacks)所利用,诱骗人们交出自己的敏感数据。

  “我们正试着在互联网上找到尽可能多的SSL服务器,并对它们一一进行评估”,Ristic说,“我们的目标是弄明白SSL真正的使用现状。我们需要知道我们是否安全,如果存在安全隐患,我……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

安全研究人员Ivan Ristic一直在默默地调查数百万个注册域名,以查明和测试SSL协议的实施情况。

  Ristic是Qualys公司的工程部总监,负责SSL实验室的管理工作。该实验室从事非商业性的研究工作,于去年被Qualys公司收购。该实验室的网站利用SSL测试工具检查配置问题和协议错误,而这些缺陷有可能被中间人攻击(man-in-the-middle attacks)所利用,诱骗人们交出自己的敏感数据。

  “我们正试着在互联网上找到尽可能多的SSL服务器,并对它们一一进行评估”,Ristic说,“我们的目标是弄明白SSL真正的使用现状。我们需要知道我们是否安全,如果存在安全隐患,我们还需要知道这些安全问题究竟是什么,可以采取哪些措施来解决这些问题。”

  Ristic计划于本月下旬在Las Vegas举办的Black Hat大会上详细陈诉SSL目前的研究细节。Ristic表示,在审查的约1.2亿个域名中,约72万个域名使用了SSL认证。在本次采访中,Ristic解释了研究人员需要对SSL进行重点关注的原因,尽管大家都认为它是一个近乎完美的安全协议。

  请介绍下SSL实验室,它是怎样成为Qualys公司一部分的呢?

  Ristic:SSL实验室是一个重点关注SSL和TLS协议的研究组织,是我在大约一年前创立的,这来源于我对SSL的狂热爱好。当我发现SSL是一个如此优秀的协议时,我对SSL便着了迷。SSL是最成功的协议之一,是网络安全的支柱,可我们在研究它的使用情况、帮助各地的用户配置SSL以及正确使用SSL等方面花的时间却很少。在我所创建的这个网站上,有大量可以帮助人们了解如何正确配置SSL的信息和工具。Qualys公司非常看重我所做的研究。在收购之前,我可以说是一边负责SSL实验室,一边做其他的事情。而Qualys公司给我提供了一次机会,使我能够把精力全部放在这项研究上。

  为什么缺乏对SSL的研究?

  Ristic:我认为其中的原因是,SSL在最初阶段就取得了许多令人激动的研究成果。该协议自创立以来大约有15年了。多年来,不知道什么原因,我们没有重视SSL,反而研究应用安全领域、甚至是网络安全领域等其他方面的问题去了。我觉得,人们过去对SSL有一种约定俗成的看法,那就是没有必要对它进行认真思考,这不得不说是一件令人惋惜的事。不过,几年下来,这种情况有了比较明显的改观。关于SSL,我们已经有了不少新的认识。有几个相互独立工作的研究人员发现,SSL不仅在实施过程中存在许多问题,其协议本身也存在一些需要解决的细小问题。现在,对SSL的研究又成了一个热点,越来越多的人开始不再沉默,并致力于解决SSL的问题。

  许多问题都是源于配置吗?

  Ristic:是的。实施工作中存在问题,协议本身也存在一些小问题。如果您是一名普通用户,您不必对协议问题关注太多。这是SSL厂商需要关心的问题,是研究人员改善该协议需要解决的问题。作为一个普通用户,您只需要保持系统更新。如果您保持了系统更新,那么您就可以应对这些问题了。至于配置问题,您可以马上对其进行了解,并且在半小时或几个小时内就能把问题解决。然而,大多数人根本没有意识到他们的配置存在问题。

  配置是在线SSL评估工具的基础吗?所有这些问题都需要检查一遍吗?

  Ristic:是的。在线工具分为两部分:第一部分是系统方法,它详细阐明了如何进行SSL评估;第二部分是工具。如果您键入了网站域名,该工具将转到该域名,并找到后台所有的SSL服务器,甚至是相同域名下的多个SSL服务器,然后对服务器逐一进行评估。评估的结果很容易看懂,因为我们对每种网站的配置方式都进行了总结,分成A至F级并用0到100进行编号。所以,即使您没有深入研究SSL,也会很容易明白。而如果您是技术用户,我们还会提供更多的技术信息。这两类用户对此都感到满意。

  您曾经谈到过SSL renegotiation漏洞。这是一个什么问题?

  Ristic:renegotiation漏洞是去年年底发现的。基本上,这个问题来自SSL的某一特殊层面,这是SSL的优势也是劣势。SSL被设计成协议无关的,所以它位于一个独立的网络层。这使得它适用于任何底层的网络协议。您可以使用SSL保护HTTP、电子邮件的SMTP协议、IMAP、LDAP以及其他协议。而要想让这些不同的协议都与SSL一起使用,几乎不需要做什么工作。但是,我们现在明白了,当您部署一个没有直接连接到SSL的协议时,威胁就会被引入。最终,我们将被迫面对不匹配问题,以及其他一些您可能无法处理的SSL问题,因为您对其完全不了解。其本质是允许攻击者打开两个连接,并诱使用户把这两个连接当成一个来使用,由此攻击者便可以向有漏洞的网站引入任意内容。这一点修复起来相对快速,但实际上现在的问题是,所有的SSL服务器都需要打补丁。在对正在打补丁的无数服务器进行调查时,该漏洞便是我要检查的重点之一,以便了解当系统问题出现时管理员的反应速度有多快。

  您的测试是用2000个数据包对单个服务器进行快速测试吗?

  Ristic:这项评估的设计在构想之初是打算包含大量评估测试的,但在没有一个完整的SSL连接的情况下,只能在一个非常低的层次进行实施,不过这也使得速度非常快。一次测试需要进行约200次连接,数据交换的速度为250 kbts。我们不希望所测试的服务器超负荷运转,不过测试本身并不会损害任何服务器。我们正试着尽可能多的找到互联网上的SSL服务器,并对它们一一进行评估。我们的目标是弄明白SSL真正的使用现状。我们需要知道我们是否安全,如果存在安全隐患,我们还需要知道这些安全问题究竟是什么,可以采取哪些措施来解决这些问题。”

  网站有数百万个,但只有相对较少的网站使用了SSL认证。这是否属实?

  Ristic:是的。总共约有2亿个注册域名,在测试中我调查了其中的60%(1.2亿个)。弄明白所调查的1.2亿个网站都支持哪些服务,只是我工作的开始。我还想了解每个域名所代表的网站是否都真实存在,所运行的网站又是否安全。最终我们发现,约1/4的域名都无法访问。在所测试的域名中,约77%有一个服务器。大约2200万个域名有Web服务器,约3%的域名可能具备有效的SSL认证。我还发现,大约有72万个网站是安全的,在测试的第二阶段我还将对其进行更深入的评估。目前,我们在SSL领域面临着一个重大的问题:如果托管一百万个网站,您可以把它们全放在一个IP地址上;可对于每一个安全的网站来讲,您只能拥有一个独立的专用IP地址。这一问题很难解决,阻碍了SSL在世界范围内的普及。

  您已经参与了开源Web应用程序防火墙ModSecurity项目。对于Trustwave收购Breach Security以及ModSecurity项目,您作何反应?

  Ristic:收购可能会影响ModSecurity项目,但我们并不知道他们以后对ModSecurity有什么打算。说实话,ModSecurity项目在Breach Security下并没有良好发展,所以我认为收购可能会让情况变得更好一些。虽然他们在维护ModSecurity项目上做得的确很好,但在过去几年里我们没有看到ModSecurity取得过什么进展。我仍然会以贡献者的身份参与此项目,如果有时间还将继续作出自己的努力。

  为什么ModSecurity项目的进展不大?

  Ristic:我认为是因为ModSecurity与Breach Security的利益不一致造成的,因为Breach Security除了ModSecurity还有他们自己的产品。不幸的是,在ModSecurity被收购后,Breach Security并没有将其融入到自己的产品线中。如果当初他们做到了这一点,ModSecurity会因此而受益,因为ModSecurity也会成为Breach Security利益的一部分。

翻译

Sean
Sean

相关推荐