基于SSL的威胁以及如何保护自己

网络攻击是公司的日常问题，但当您面临 SSL 威胁时，您就会遇到大麻烦。虽然大多数用户认为加密为黑客提供了坚不可摧的屏障，但安全专家非常清楚，黑客可以操纵 SSL 证书发送任何类型的恶意软件而不会被发现。请查看以下可能会影响您通过 Internet 进行通信的威胁列表。

什么是 SSL 威胁？

如今，大多数互联网通信使用安全套接字层 (SSL) 和传输层安全 (TSL) 来加密数据。这样，可以确保隐私和数据完整性。例如，当您发送电子邮件时，数据会被加密，直到到达目的地。

不幸的是，这些加密协议无法区分数据是否恶意。因此黑客利用了这一点，开始使用 SSL 协议来发送无法检测到的漏洞和漏洞利用，除非首先将包解密以进行检查。否则，攻击将通过感染受害者。所以基本上，我们可以说 SSL 威胁是一种加密攻击。

基于 SSL 的威胁源

使用 SSL 进行的网络钓鱼攻击显着增加。没什么奇怪的，因为接受 SSL 的合法网站每天都在增加。尽管许多公司已投资解决硬件级别的漏洞，但其中只有少数公司执行了全面的 SSL 检查。除非一个组织可以检查 100% 的所有 SSL 流量，但特别是豁免的 SSL 流量，否则它就有可能受到网络攻击的风险。

根据 Zcaler 进行的研究，目前使用 SSL 感染受害者的最具攻击性的恶意软件如下：

Vawtrack

Vawtrack 是一种木马，也称为银行恶意软件，因为它是攻击在线银行门户的主要威胁之一。在设备上安装 Vawtrack 后，它可以创建允许攻击者访问的 VNC 和 socks 服务器。尽管该恶意软件能够捕获屏幕截图和视频，但其主要目的是通过各种设备来源窃取登录凭据，例如 FTP 客户端、电子邮件客户端、Web 浏览器等。Vawtrack 还可以创建虚假模板和 Web 表单来诱导受害者透露他们的机密数据。该恶意软件允许下载和验证 SSL 证书以启动 HTTPS 连接。

广告软件

广告软件能够分发脚本来重定向漏洞。尽管可以通过 SSL 加密来控制这种威胁，但在某些情况下，恶意软件已经设法破坏安全屏障，在 HTTPS 流量中放置不需要的宣传。Superfish 和 PrivDog 等广告软件可以在受害者的设备上安装 CA（认证机构）证书，以捕获他们的网络流量并在上网时插入广告。该广告软件具有攻击性的一个例子是 PrivDog，它将用户重定向到使用虚假 SSL 证书的网站。InstallCore 是另一种广告软件，它会诱使用户安装 Flash 插件或 Java 更新，这些插件或 Java 更新只会插入恶意脚本来操纵用户设备中的主页和搜索引擎。

工具包

Gootkit 是一种专门用于感染 Windows 设备的木马。Gootkit 将受感染的设备变成僵尸，成为僵尸网络的一部分。它的主要目标是窃取银行信息。该恶意软件通过在 HTTPS 流量中放置恶意脚本来捕获用户数据。Goodkit 通过 SSL 执行，无需安装文件。

德里德克斯

Dridex 是另一种银行恶意软件，它加入了 TrickLoader、Dyre 和 Bugat 等危险木马的名单。从本质上讲，这种类型的恶意软件监视 Internet 浏览器（HTTP 和 HTTPS）对特定 URL 的活动，该 URL 由字符串列表的配置确定。当木马根据其参数检测到活动时，它开始窃取信息流。

打开可能导致 SSL 攻击的门

• 恶意软件感染和数据泄露：通常，当公司员工通过 HTTPS 执行 Web 浏览并且未检查此流量时，会发生此漏洞。
• 受感染主机的扩展：当员工从内部网络连接到服务器时未检查流量时发生。
• 缺乏分析传入流量的基本保护技术：当互联网用户使用加密协议连接到公司的公共服务器时，会发生这种流量检查失败。

防止基于 SSL 的攻击的具体操作

认证算法

不要信任自签名证书。一个可靠的证书最好使用 SHA-2 哈希算法。此外，扩展验证 (EV) 证书为网站提供了更高级别的信任。大多数浏览器将带有 EV 的网站标记为绿色

摆脱以前版本的 SSL

SSL 协议已经展示了几个漏洞，尤其是 SSL 2.0。另一方面，SSL 3.0 的强度在被成功违反后也受到质疑。今天最安全的协议是 TLS，尽管这并不意味着它没有漏洞。但是，它提供了比其前身更多的保证，并且被大多数浏览器所接受。根据 Ponemon Institute 的报告，51% 的公司计划安装某种形式的流量解密，而 62% 的公司表示他们不对解密的流量进行任何检查。

客户的密码和重新协商

由于加密的弱点，小于 128 位的密码不能提供足够的安全性。您最好更改为 ECDHE 加密。当你这样做时，不要忘记启用前向保密选项以避免被截获的通信。另一方面，通过禁用客户端的重新协商，您可以随时停止客户端和服务器之间通过 SSL 进行的信息交换。

避免犯罪攻击。

犯罪攻击以其通过 TLS 压缩过程破译安全连接的能力而闻名。为避免这种情况，步骤很明显：禁用 TLS 压缩。

启用 HSTS 并验证 cookie 的安全性

用户会话中涉及的所有 cookie 都必须使用特殊属性进行保护。这将防止它们被拦截。您还必须在 HTTP 上启用 HSTS（严格传输安全）以扩展您的安全性并避免与其他网站的未加密通信。