2012黑帽大会:SSL协议处理缺陷导致远程擦除攻击

日期: 2012-08-02 作者:Michael S. Mimoso翻译:杨帆 来源:TechTarget中国 英文

拉斯维加斯——曾经的锦囊妙计,却为日后的攻击埋下了苦果。Peter Hannay是澳大利亚珀斯市Edith Cowen大学的一名研究人员,他回忆了同某个客户关于一些黑客的谈话。客户对于攻击者入侵Exchange服务器后能做什么感到好奇。Hannay耐心地解释到可能发生的糟糕事情,许多事情可能被打破。攻击者将能够推送策略更新以及许多其它事情。

  “推送一个远程擦除命令给连接到Exchange服务器上的每个移动设备?”客户问。在那一刻,Hannay恍然大悟。能够直接访问Exchange服务器的攻击者当然可以通过策略变更发布任何他们想要的命令。但是既然Exchange是一种网络服务,Hannay想或许有方法来复制该服务模式并且发布命令。

  得到一些志愿学生和教职员的帮助后,Hannay得知上面所有问题的答案为“是的”。周四在2012黑帽大会上Hannay描述了他和他的支持者们开发的技术,可以利用苹果的iOS系统和安卓系统设备这两个平台上SSL协议握手的缺陷,发布远程的擦除命令。但具有讽刺意味的是,基于Windows系统的手机可以免于攻击。

  “这个可能会造成很多麻烦。”Hannay表示。Hannay曾经认为SSL协议将会干预,所以该攻击方法永远不会奏效。“至少,我们不会从与我们服务器的任何随机连接中得到被信任的证书。设备上的SSL协议当然也会防止我们接收到某个连接”,Hannay谈到。“我也弄明白一些Exchange的安全机制,我知道了Exchange服务器之间的共享密钥以及将会涉及的设备。”

  但不是这样的。Hannay的攻击没有利用Exchange服务器的漏洞。相反,他利用的是安卓和iOS设备处理SSL证书方式的缺陷。Hannay能够使用流行的Wi-Fi Pineapple工具以及一个自签名的SSL证书来发起中间人攻击,两种设备都会接受该连接,而在iOS系统上会有轻微的干扰。但Windows手机不会连接到该冒牌的服务器上。一旦用户从设备上检查邮件,将会执行由Hannay编写的短小Python脚本。该脚本发送远程擦除命令到手机上,然后该手机会将自身恢复到出厂设置。

  Hannay表示要缓解该缺陷,苹果和谷歌公司必须发布他们各自平台上的补丁。两个公司都已被通知该缺陷。对于数字化证书来说,过去的一年是糟糕的。去年秋季荷兰的证书颁发机构(certificate authority,简称CA)DigiNotar的泄漏事件是最为恶劣的过失。超过两十多个CA服务器被入侵,数以百计的假冒证书被20个不同的域签名。微软、谷歌以及Mozilla公司迅速宣布他们认为DigiNotar的证书不再可信并且阻止其发布的证书。该CA最终提出破产保护。

  与此同时Hannay计划探索下一步他可能在哪里应用他的攻击,他暗示该攻击手法可能用于窃取数据、渗入远程备份或同步功能。“我认为这应该是可能的”,他表示。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Michael S. Mimoso
Michael S. Mimoso

TechTarget中国信息安全杂志(Information Security magazine)编辑

相关推荐

  • SSL技术详解手册

    SSL是一个基于标准的加密协议,广泛应用于互联网。本技术手册将介绍SSL协议的作用和使用,包括如何配置具有SSL保护的FTP服务器,企业如何生成可信SSL证书等内容。

  • 黑帽大会2010:SSL协议使用的最新测试细节

    安全研究人员Ivan Ristic一直在默默地调查数百万个注册域名,以查明和测试SSL协议的实施情况。他将于本月下旬在Black Hat大会上详细陈诉SSL目前的研究细节。

  • 新SSL网站攻击惊现 影响多家网站

    近日,一名研究员发现了一种新型的破解SSL协议的方法。SSL主要用于电子商务和银行等一系列网站的安全登陆保护……

  • 给身份上把锁 阻截非法侵入

    身份认证技术可以用于解决访问者的物理身份和数字身份的一致性问题,给其他安全技术提供权限管理的依据。所以说,身份认证是整个信息安全体系的基础。