每次通過(guò)手機(jī)，平板電腦或計(jì)算機(jī)連接到Internet時(shí)，都將承受一定程度的風(fēng)險(xiǎn)。黑客繼續(xù)尋找新方法來(lái)利用安全漏洞并破壞設(shè)備或數(shù)據(jù)。我們需要時(shí)刻保持警惕，以避免危險(xiǎn)的惡意軟件和其他攻擊，這些攻擊有時(shí)來(lái)自我們最不希望的地方。

[[283009]]

當(dāng)我們?cè)跒g覽器頂部看到一個(gè)掛鎖圖標(biāo)時(shí)，表示正在通過(guò)使用有效SSL / TLS證書(shū)加密的連接與正在查看的站點(diǎn)進(jìn)行通信。但是許多人錯(cuò)誤地認(rèn)為，只要存在SSL證書(shū)，就可以免受各種形式的攻擊。在本文中，我們將探討如何將隱藏在此受信任符號(hào)后面的新型惡意軟件披露出來(lái)。

對(duì)于需要傳輸敏感信息的任何站點(diǎn)或應(yīng)用程序，SSL加密至關(guān)重要。這包括密碼，信用卡號(hào)和其他財(cái)務(wù)數(shù)據(jù)。SSL證書(shū)是針對(duì)試圖竊聽(tīng)我們的互聯(lián)網(wǎng)活動(dòng)，保護(hù)我們的數(shù)據(jù)免遭犯罪分子入侵的優(yōu)秀防御策略。不過(guò)，這就是問(wèn)題：黑客也可以使用加密!黑客和網(wǎng)絡(luò)犯罪分子正在使用SSL / HTTPS隱藏惡意代碼。

防火墻和入侵檢測(cè)系統(tǒng)存在漏洞

企業(yè)在IT安全解決方案上花費(fèi)了大量金錢(qián)和資源。一種流行的方法是將入侵檢測(cè)系統(tǒng)和防火墻結(jié)合起來(lái)，以監(jiān)視和分析到本地網(wǎng)絡(luò)的所有傳入流量。這個(gè)想法是讓系統(tǒng)在任何用戶(hù)變得脆弱之前自動(dòng)檢測(cè)并阻止網(wǎng)絡(luò)攻擊和黑客威脅。

例如，假設(shè)客戶(hù)服務(wù)中的鮑勃(Bob)單擊網(wǎng)絡(luò)釣魚(yú)電子郵件中的鏈接，該鏈接指向帶有惡意軟件的URL。該組織的安全系統(tǒng)可以在Bob的機(jī)器感染惡意軟件之前檢測(cè)并阻止此訪(fǎng)問(wèn)。

但是，如何構(gòu)建入侵檢測(cè)系統(tǒng)才能運(yùn)行會(huì)存在一個(gè)固有的漏洞。它們涉及掃描網(wǎng)絡(luò)流量，以識(shí)別與惡意軟件或其他惡意攻擊相對(duì)應(yīng)的模式。如果系統(tǒng)無(wú)法解碼每個(gè)傳入網(wǎng)絡(luò)請(qǐng)求的全部?jī)?nèi)容，則它們對(duì)流量的特定部分視而不見(jiàn)。

例如，當(dāng)我們從外部網(wǎng)站下載文檔時(shí)，防火墻或入侵檢測(cè)系統(tǒng)可以檢查通過(guò)本地網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)包。但是，如果該通信是通過(guò)SSL連接進(jìn)行的，則系統(tǒng)將無(wú)法通過(guò)加密來(lái)檢測(cè)文檔中真正的內(nèi)容。

[[283010]]

一些較新的入侵檢測(cè)解決方案引入了深度數(shù)據(jù)包檢查的概念，該工具會(huì)查看每個(gè)網(wǎng)絡(luò)請(qǐng)求的較低級(jí)別，以進(jìn)一步了解其內(nèi)容。但是，沒(méi)有多少企業(yè)可以使用此選項(xiàng)，這意味著通過(guò)HTTPS傳遞的數(shù)據(jù)可能會(huì)構(gòu)成威脅。

另一種檢測(cè)SSL惡意軟件存在的技術(shù)是SSL檢查。這是攔截客戶(hù)端和服務(wù)器之間通過(guò)SSL / TLS加密的Internet通信的過(guò)程?？梢栽诎l(fā)送方和接收方之間執(zhí)行攔截，反之亦然(從接收方到發(fā)送方)。這與中間人(MitM)攻擊中使用的技術(shù)相同，但是如果部署得當(dāng)，可以用于過(guò)濾SSL中的惡意軟件。(檢查和中間人攻擊之間的主要區(qū)別在于，使用SSL檢查時(shí)，網(wǎng)絡(luò)管理員會(huì)將計(jì)算機(jī)修改為僅允許通過(guò)授權(quán)的設(shè)備/證書(shū)進(jìn)行檢查。)

SSL惡意軟件的原理

要了解黑客如何使用SSL加密惡意軟件，我們需要查看傳輸層安全性(或TLS)，它是指SSL背后進(jìn)行的加密過(guò)程。Google的最新數(shù)據(jù)告訴我們，現(xiàn)在93%的互聯(lián)網(wǎng)已經(jīng)加密。如所討論的，它被設(shè)計(jì)為鎖定所有外部方，包括不支持深度數(shù)據(jù)包檢查的防火墻。

[[283011]]

對(duì)于SSL惡意軟件，黑客無(wú)法直接將其注入現(xiàn)有的HTTPS內(nèi)容流中。例如，如果我們?cè)诰€(xiàn)上購(gòu)物并提交信用卡號(hào)來(lái)支付書(shū)費(fèi)，則該信息將通過(guò)SSL傳輸。如果黑客試圖修改該流量并注入惡意軟件，可以在瀏覽器注意到密鑰已更改，并會(huì)自動(dòng)拒絕該請(qǐng)求。 但是，可以通過(guò)多種方法來(lái)解決這一“問(wèn)題”。最常見(jiàn)的方法之一是，網(wǎng)絡(luò)犯罪分子可以為其包含惡意軟件的網(wǎng)站獲取免費(fèi)的SSL證書(shū)。盡管合法的SSL證書(shū)并不昂貴(特別是考慮到它們?cè)诜乐箶?shù)據(jù)被盜方面的重要性)，但黑客可能會(huì)發(fā)現(xiàn)更容易獲得免費(fèi)證書(shū)，而無(wú)需使用任何可用于跟蹤它們的財(cái)務(wù)信息。

這種用于SSL惡意軟件傳遞的技術(shù)的另一種變化是，犯罪分子可以在網(wǎng)絡(luò)釣魚(yú)站點(diǎn)上使用SSL證書(shū)，該站點(diǎn)將惡意代碼傳遞給受害者的系統(tǒng)，同時(shí)看起來(lái)像合法網(wǎng)站。

黑客將發(fā)出一系列欺詐性電子郵件，這些電子郵件看起來(lái)好像來(lái)自信譽(yù)良好的來(lái)源。如果用戶(hù)單擊它們，它們將被定向到看起來(lái)安全的網(wǎng)站，因?yàn)樗鼈兙哂忻赓M(fèi)的SSL證書(shū)。屆時(shí)，黑客可以將其惡意軟件嵌入加密的流量中，并嘗試?yán)@過(guò)任何防火墻系統(tǒng)。

這些類(lèi)型的攻擊正變得越來(lái)越普遍。2017年《安全周刊》報(bào)道，當(dāng)年上半年，Zscaler的產(chǎn)品每天攔截大約60萬(wàn)種隱藏在加密流量中的威脅。下半年這個(gè)數(shù)字增長(zhǎng)到80萬(wàn)，增長(zhǎng)了30%。 其他安全分析師也提出了擔(dān)憂(yōu)。正如SonicWall首席執(zhí)行官比爾·康納(Bill Conner)在今年早些時(shí)候?qū)echRepublic所說(shuō)的那樣，SSL現(xiàn)在與4.2%的惡意軟件有關(guān)。他說(shuō)：這比上一年增加了400%。這是因?yàn)槿菀渍业藉e(cuò)誤的SSL證書(shū)，還因?yàn)橹挥?%的客戶(hù)啟用了DPI，即SSL的深度數(shù)據(jù)包檢查。

要記住的重要一點(diǎn)是SSL不能保證安全。它只是確保我們的請(qǐng)求被加密。但是實(shí)際傳輸?shù)臄?shù)據(jù)仍然可能包含危險(xiǎn)元素，包括病毒和其他形式的惡意軟件。因此，在訪(fǎng)問(wèn)新網(wǎng)站時(shí)，您應(yīng)該始終保持可疑。(注意：如果相關(guān)網(wǎng)站使用的是組織驗(yàn)證[OV]或擴(kuò)展驗(yàn)證[EV] SSL證書(shū)，這些證書(shū)很難讓黑客獲得，則可以檢查其證書(shū)詳細(xì)信息以獲取有關(guān)正在運(yùn)行的組織的其他詳細(xì)信息)網(wǎng)站。)

保護(hù)自己的7個(gè)秘訣

保持在線(xiàn)安全需要勤奮的工作。最好的選擇是采取積極措施來(lái)控制和保護(hù)在線(xiàn)隱私。以下是一些防止SSL惡意軟件和其他威脅的提示：

• 應(yīng)該始終在瀏覽器中尋找掛鎖符號(hào)，以確認(rèn)所使用的站點(diǎn)已啟用SSL加密。但是請(qǐng)不要認(rèn)為這是足夠的，因?yàn)槭聦?shí)上，許多邪惡的網(wǎng)站都在欺騙自己的SSL證書(shū)，使它們看起來(lái)合法。
• 每當(dāng)輸入個(gè)人信息或進(jìn)行財(cái)務(wù)交易時(shí)，都需要花一點(diǎn)時(shí)間來(lái)考慮正在使用的平臺(tái)，以及瀏覽器中的URL和SSL證書(shū)上的任何組織詳細(xì)信息是否與正確的組織相對(duì)應(yīng)。
• 高級(jí)DNS欺騙甚至可以提供看似正確的URL，以捕獲用戶(hù)憑據(jù)。強(qiáng)大的密碼管理器通常通過(guò)交叉引用URL來(lái)防止這種情況，但是用戶(hù)在輸入登錄信息時(shí)需要保持警惕。
• 考慮將虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)添加到您的在線(xiàn)安全方案中。越來(lái)越多的互聯(lián)網(wǎng)用戶(hù)部署了這種價(jià)格適中的服務(wù)。通過(guò)訂閱可以輕松獲得它，并且使用與SSL不同的加密形式來(lái)保護(hù)和匿名化在線(xiàn)會(huì)話(huà)。
• 確保組織已正確配置了防火墻和入侵檢測(cè)系統(tǒng)。黑客的網(wǎng)絡(luò)攻擊無(wú)濟(jì)于事，這意味著即使采取所有正確的預(yù)防措施，也仍然有可能受到惡意軟件的攻擊。盡管我們較早地介紹了入侵檢測(cè)系統(tǒng)的局限性，但不使用它們會(huì)很愚蠢。即使某些黑客的數(shù)據(jù)包進(jìn)入了系統(tǒng)，入侵檢測(cè)策略也至少有相當(dāng)大的機(jī)會(huì)在造成過(guò)多損害之前將其檢測(cè)并隔離。
• 確保組織正在使用深度數(shù)據(jù)包檢查和/或SSL檢查來(lái)發(fā)現(xiàn)加密Web通信中的威脅。 從信譽(yù)良好的來(lái)源購(gòu)買(mǎi)可靠的防病毒工具，并及時(shí)更新!盡管不是萬(wàn)無(wú)一失，但就目前的技術(shù)而言，沒(méi)有比防火墻，反惡意軟件和反病毒軟件更安全的方法來(lái)保護(hù)自己。

不要把這歸咎于SSL

沒(méi)有它，互聯(lián)網(wǎng)將是一個(gè)更加危險(xiǎn)的地方。在目前的黑客攻擊水平下，任何地方上網(wǎng)都是很危險(xiǎn)的。我們將無(wú)法相信自己的密碼和信用卡號(hào)已安全發(fā)送到任何地方。這里更大的一點(diǎn)是，即使存在SSL連接，也要意識(shí)到由于SSL流量?jī)?nèi)隱藏的惡意軟件或其他威脅，我們?nèi)匀豢梢猿蔀槟繕?biāo)。