首页  部门简介  工作动态  E-党建  规章制度  服务指南  技术交流  政策法规  网络安全 
文章内容页
当前位置: 首页>>网络安全>>正文
在线安全威胁:隐藏在SSL中的加密恶意软件
2019-11-05 11:27  

每次通过手机,平板电脑或计算机连接到Internet时,都将承受一定程度的风险。黑客继续寻找新方法来利用安全漏洞并破坏设备或数据。我们需要时刻保持警惕,以避免危险的恶意软件和其他攻击,这些攻击有时来自我们最不希望的地方。

当我们在浏览器顶部看到一个挂锁图标时,表示正在通过使用有效SSL / TLS证书加密的连接与正在查看的站点进行通信。但是许多人错误地认为,只要存在SSL证书,就可以免受各种形式的攻击。在本文中,我们将探讨如何将隐藏在此受信任符号后面的新型恶意软件披露出来。

 

对于需要传输敏感信息的任何站点或应用程序,SSL加密至关重要。这包括密码,信用卡号和其他财务数据。SSL证书是针对试图窃听我们的互联网活动,保护我们的数据免遭犯罪分子入侵的优秀防御策略。不过,这就是问题:黑客也可以使用加密!黑客和网络犯罪分子正在使用SSL / HTTPS隐藏恶意代码。

防火墙和入侵检测系统存在漏洞

企业在IT安全解决方案上花费了大量金钱和资源。一种流行的方法是将入侵检测系统和防火墙结合起来,以监视和分析到本地网络的所有传入流量。这个想法是让系统在任何用户变得脆弱之前自动检测并阻止网络攻击和黑客威胁。

例如,假设客户服务中的鲍勃(Bob)单击网络钓鱼电子邮件中的链接,该链接指向带有恶意软件的URL。该组织的安全系统可以在Bob的机器感染恶意软件之前检测并阻止此访问。

但是,如何构建入侵检测系统才能运行会存在一个固有的漏洞。它们涉及扫描网络流量,以识别与恶意软件或其他恶意攻击相对应的模式。如果系统无法解码每个传入网络请求的全部内容,则它们对流量的特定部分视而不见。

例如,当我们从外部网站下载文档时,防火墙或入侵检测系统可以检查通过本地网络发送的数据包。但是,如果该通信是通过SSL连接进行的,则系统将无法通过加密来检测文档中真正的内容。

一些较新的入侵检测解决方案引入了深度数据包检查的概念,该工具会查看每个网络请求的较低级别,以进一步了解其内容。但是,没有多少企业可以使用此选项,这意味着通过HTTPS传递的数据可能会构成威胁。

 

另一种检测SSL恶意软件存在的技术是SSL检查。这是拦截客户端和服务器之间通过SSL / TLS加密的Internet通信的过程。可以在发送方和接收方之间执行拦截,反之亦然(从接收方到发送方)。这与中间人(MitM)攻击中使用的技术相同,但是如果部署得当,可以用于过滤SSL中的恶意软件。(检查和中间人攻击之间的主要区别在于,使用SSL检查时,网络管理员会将计算机修改为仅允许通过授权的设备/证书进行检查。)

SSL恶意软件的原理

要了解黑客如何使用SSL加密恶意软件,我们需要查看传输层安全性(或TLS),它是指SSL背后进行的加密过程。Google的最新数据告诉我们,现在93%的互联网已经加密。如所讨论的,它被设计为锁定所有外部方,包括不支持深度数据包检查的防火墙。

对于SSL恶意软件,黑客无法直接将其注入现有的HTTPS内容流中。例如,如果我们在线上购物并提交信用卡号来支付书费,则该信息将通过SSL传输。如果黑客试图修改该流量并注入恶意软件,可以在浏览器注意到密钥已更改,并会自动拒绝该请求。 但是,可以通过多种方法来解决这一“问题”。最常见的方法之一是,网络犯罪分子可以为其包含恶意软件的网站获取免费的SSL证书。尽管合法的SSL证书并不昂贵(特别是考虑到它们在防止数据被盗方面的重要性),但黑客可能会发现更容易获得免费证书,而无需使用任何可用于跟踪它们的财务信息。

 

这种用于SSL恶意软件传递的技术的另一种变化是,犯罪分子可以在网络钓鱼站点上使用SSL证书,该站点将恶意代码传递给受害者的系统,同时看起来像合法网站。

黑客将发出一系列欺诈性电子邮件,这些电子邮件看起来好像来自信誉良好的来源。如果用户单击它们,它们将被定向到看起来安全的网站,因为它们具有免费的SSL证书。届时,黑客可以将其恶意软件嵌入加密的流量中,并尝试绕过任何防火墙系统。

这些类型的攻击正变得越来越普遍。2017年《安全周刊》报道,当年上半年,Zscaler的产品每天拦截大约60万种隐藏在加密流量中的威胁。下半年这个数字增长到80万,增长了30%。 其他安全分析师也提出了担忧。正如SonicWall首席执行官比尔·康纳(Bill Conner)在今年早些时候对TechRepublic所说的那样,SSL现在与4.2%的恶意软件有关。他说:这比上一年增加了400%。这是因为容易找到错误的SSL证书,还因为只有5%的客户启用了DPI,即SSL的深度数据包检查。

要记住的重要一点是SSL不能保证安全。它只是确保我们的请求被加密。但是实际传输的数据仍然可能包含危险元素,包括病毒和其他形式的恶意软件。因此,在访问新网站时,您应该始终保持可疑。(注意:如果相关网站使用的是组织验证[OV]或扩展验证[EV] SSL证书,这些证书很难让黑客获得,则可以检查其证书详细信息以获取有关正在运行的组织的其他详细信息)网站。)

保护自己的7个秘诀

保持在线安全需要勤奋的工作。最好的选择是采取积极措施来控制和保护在线隐私。以下是一些防止SSL恶意软件和其他威胁的提示:

  • 应该始终在浏览器中寻找挂锁符号,以确认所使用的站点已启用SSL加密。但是请不要认为这是足够的,因为事实上,许多邪恶的网站都在欺骗自己的SSL证书,使它们看起来合法。

  • 每当输入个人信息或进行财务交易时,都需要花一点时间来考虑正在使用的平台,以及浏览器中的URL和SSL证书上的任何组织详细信息是否与正确的组织相对应。

  • 高级DNS欺骗甚至可以提供看似正确的URL,以捕获用户凭据。强大的密码管理器通常通过交叉引用URL来防止这种情况,但是用户在输入登录信息时需要保持警惕。

  • 考虑将虚拟专用网络(VPN)添加到您的在线安全方案中。越来越多的互联网用户部署了这种价格适中的服务。通过订阅可以轻松获得它,并且使用与SSL不同的加密形式来保护和匿名化在线会话。

  • 确保组织已正确配置了防火墙和入侵检测系统。黑客的网络攻击无济于事,这意味着即使采取所有正确的预防措施,也仍然有可能受到恶意软件的攻击。尽管我们较早地介绍了入侵检测系统的局限性,但不使用它们会很愚蠢。即使某些黑客的数据包进入了系统,入侵检测策略也至少有相当大的机会在造成过多损害之前将其检测并隔离。

  • 确保组织正在使用深度数据包检查和/或SSL检查来发现加密Web通信中的威胁。 从信誉良好的来源购买可靠的防病毒工具,并及时更新!尽管不是万无一失,但就目前的技术而言,没有比防火墙,反恶意软件和反病毒软件更安全的方法来保护自己。

不要把这归咎于SSL

没有它,互联网将是一个更加危险的地方。在目前的黑客攻击水平下,任何地方上网都是很危险的。我们将无法相信自己的密码和信用卡号已安全发送到任何地方。这里更大的一点是,即使存在SSL连接,也要意识到由于SSL流量内隐藏的恶意软件或其他威胁,我们仍然可以成为目标。

关闭窗口

福建广播电视大学信息化中心  版权所有