網(wǎng)絡攻擊是公司的日常問題，但當您面臨 SSL 威脅時，您就會遇到大麻煩。雖然大多數(shù)用戶認為加密為黑客提供了堅不可摧的屏障，但安全專家非常清楚，黑客可以操縱 SSL 證書發(fā)送任何類型的惡意軟件而不會被發(fā)現(xiàn)。請查看以下可能會影響您通過 Internet 進行通信的威脅列表。

什么是 SSL 威脅？

如今，大多數(shù)互聯(lián)網(wǎng)通信使用安全套接字層 (SSL) 和傳輸層安全 (TSL) 來加密數(shù)據(jù)。這樣，可以確保隱私和數(shù)據(jù)完整性。例如，當您發(fā)送電子郵件時，數(shù)據(jù)會被加密，直到到達目的地。

不幸的是，這些加密協(xié)議無法區(qū)分數(shù)據(jù)是否惡意。因此黑客利用了這一點，開始使用 SSL 協(xié)議來發(fā)送無法檢測到的漏洞和漏洞利用，除非首先將包解密以進行檢查。否則，攻擊將通過感染受害者。所以基本上，我們可以說 SSL 威脅是一種加密攻擊。

基于 SSL 的威脅源

使用 SSL 進行的網(wǎng)絡釣魚攻擊顯著增加。沒什么奇怪的，因為接受 SSL 的合法網(wǎng)站每天都在增加。盡管許多公司已投資解決硬件級別的漏洞，但其中只有少數(shù)公司執(zhí)行了全面的 SSL 檢查。除非一個組織可以檢查 100% 的所有 SSL 流量，但特別是豁免的 SSL 流量，否則它就有可能受到網(wǎng)絡攻擊的風險。

根據(jù) Zcaler 進行的研究，目前使用 SSL 感染受害者的最具攻擊性的惡意軟件如下：

Vawtrack

Vawtrack 是一種木馬，也稱為銀行惡意軟件，因為它是攻擊在線銀行門戶的主要威脅之一。在設備上安裝 Vawtrack 后，它可以創(chuàng)建允許攻擊者訪問的 VNC 和 socks 服務器。盡管該惡意軟件能夠捕獲屏幕截圖和視頻，但其主要目的是通過各種設備來源竊取登錄憑據(jù)，例如 FTP 客戶端、電子郵件客戶端、Web 瀏覽器等。Vawtrack 還可以創(chuàng)建虛假模板和 Web 表單來誘導受害者透露他們的機密數(shù)據(jù)。該惡意軟件允許下載和驗證 SSL 證書以啟動 HTTPS 連接。

廣告軟件

廣告軟件能夠分發(fā)腳本來重定向漏洞。盡管可以通過 SSL 加密來控制這種威脅，但在某些情況下，惡意軟件已經(jīng)設法破壞安全屏障，在 HTTPS 流量中放置不需要的宣傳。Superfish 和 PrivDog 等廣告軟件可以在受害者的設備上安裝 CA（認證機構(gòu)）證書，以捕獲他們的網(wǎng)絡流量并在上網(wǎng)時插入廣告。該廣告軟件具有攻擊性的一個例子是 PrivDog，它將用戶重定向到使用虛假 SSL 證書的網(wǎng)站。InstallCore 是另一種廣告軟件，它會誘使用戶安裝 Flash 插件或 Java 更新，這些插件或 Java 更新只會插入惡意腳本來操縱用戶設備中的主頁和搜索引擎。

工具包

Gootkit 是一種專門用于感染 Windows 設備的木馬。Gootkit 將受感染的設備變成僵尸，成為僵尸網(wǎng)絡的一部分。它的主要目標是竊取銀行信息。該惡意軟件通過在 HTTPS 流量中放置惡意腳本來捕獲用戶數(shù)據(jù)。Goodkit 通過 SSL 執(zhí)行，無需安裝文件。

德里德克斯

Dridex 是另一種銀行惡意軟件，它加入了 TrickLoader、Dyre 和 Bugat 等危險木馬的名單。從本質(zhì)上講，這種類型的惡意軟件監(jiān)視 Internet 瀏覽器（HTTP 和 HTTPS）對特定 URL 的活動，該 URL 由字符串列表的配置確定。當木馬根據(jù)其參數(shù)檢測到活動時，它開始竊取信息流。

打開可能導致 SSL 攻擊的門

• 惡意軟件感染和數(shù)據(jù)泄露：通常，當公司員工通過 HTTPS 執(zhí)行 Web 瀏覽并且未檢查此流量時，會發(fā)生此漏洞。
• 受感染主機的擴展：當員工從內(nèi)部網(wǎng)絡連接到服務器時未檢查流量時發(fā)生。
• 缺乏分析傳入流量的基本保護技術(shù)：當互聯(lián)網(wǎng)用戶使用加密協(xié)議連接到公司的公共服務器時，會發(fā)生這種流量檢查失敗。

防止基于 SSL 的攻擊的具體操作

認證算法

不要信任自簽名證書。一個可靠的證書最好使用 SHA-2 哈希算法。此外，擴展驗證 (EV) 證書為網(wǎng)站提供了更高級別的信任。大多數(shù)瀏覽器將帶有 EV 的網(wǎng)站標記為綠色

擺脫以前版本的 SSL

SSL 協(xié)議已經(jīng)展示了幾個漏洞，尤其是 SSL 2.0。另一方面，SSL 3.0 的強度在被成功違反后也受到質(zhì)疑。今天最安全的協(xié)議是 TLS，盡管這并不意味著它沒有漏洞。但是，它提供了比其前身更多的保證，并且被大多數(shù)瀏覽器所接受。根據(jù) Ponemon Institute 的報告，51% 的公司計劃安裝某種形式的流量解密，而 62% 的公司表示他們不對解密的流量進行任何檢查。

客戶的密碼和重新協(xié)商

由于加密的弱點，小于 128 位的密碼不能提供足夠的安全性。您最好更改為 ECDHE 加密。當你這樣做時，不要忘記啟用前向保密選項以避免被截獲的通信。另一方面，通過禁用客戶端的重新協(xié)商，您可以隨時停止客戶端和服務器之間通過 SSL 進行的信息交換。

避免犯罪攻擊。

犯罪攻擊以其通過 TLS 壓縮過程破譯安全連接的能力而聞名。為避免這種情況，步驟很明顯：禁用 TLS 壓縮。

啟用 HSTS 并驗證 cookie 的安全性

用戶會話中涉及的所有 cookie 都必須使用特殊屬性進行保護。這將防止它們被攔截。您還必須在 HTTP 上啟用 HSTS（嚴格傳輸安全）以擴展您的安全性并避免與其他網(wǎng)站的未加密通信。