研究人員展示攻陷SSL網站的新手法

一名自稱為Moxie Marlinspike的研究人員在上周的黑帽大會上以他所開發的SSL strip工具，展示如何以偽造有SSL加密的https網頁，竊取使用者的機密資訊。

Marlinspike說明，SSLstrip之所以能夠執行是因為許多使用SSL加密的金融或電子商務網站在一開始的網頁都是使用未加密的http，僅於要輸入機密資訊時再連到https，這代表使用者是透過不安全的網頁導向安全網頁。

SSLstrip的作用則是在未加密的網頁要將使用者導向安全網頁的過程中，進行干預並把使用者導向偽造的安全網頁，再趁機竊取使用者所輸入的資訊。

Marlinspike進行SSLstrip的實際測試，並在一天內取得了117個電子郵件帳號、16個信用卡號碼、7個PayPal登入資訊，以及其他300筆應該是要在安全網站上輸入的資訊。

資安業者分析，SSLstrip的手法屬於透過使用者介面及通訊協定間的介面漏洞所進行的中間人攻擊（man-in-the-middle attack），它並非攻陷了SSL安全協定或是認證憑證的漏洞。

網路架構的安全愈來愈受關注，去年12月於德國舉行的Chaos Communication Congress（CCC）會議中就有安全人員公布公開金鑰架構（Public Key Infrastructure，PKI）漏洞的概念驗證攻擊模式，供駭客發行偽造的認證憑證以取得瀏覽器的信任。該攻擊模式則是利用了MD5密碼hash功能的漏洞，讓不同的文件擁有同樣的hash值，以騙過瀏覽器。（編譯/陳曉莉）