安全证书颁发机构Comodo被入侵后的应对方案

作者:周曙光  来源:https://www.zuola.com/weblog/2011/03/1683.htm

读到这样一条新闻

Mozilla在推出Firefox 4正式版的同时,发布Firefox 3.6.16和3.5.18,主要是在黑名单中加入了多个伪造的SSL证书。

据Tor官方博客报道,SSL 证书认证机构Comodo上周遭到入侵,攻击者给自己发了几大重要网站的有效HTTPS证书。这些网站包括了 login.live.commail.google.comwww.google.comlogin.yahoo.comlogin.skype.comaddons.mozilla.org,Global Trustee。攻击者可以利用这些证书冒充受害者网站。Chrome、Firefox已经将它们加入到黑名单中,微软也发布了相关更新

我觉得这太危险了,攻击者伪造的SSL证书影响Google、skype、yahoo、live等网站,配合DNS污染技术可以伪造这些网站的HTTPS登录界面而没有任何警告。

中国是DNS污染的重灾区,加上我收到很多疑似来自政府的钓鱼邮件, 我觉得这次攻击要是又是传说中的“蓝翔技校”干的的话,制作木马邮件或窃取Google Checkout 、SKYPE、PAYPAL里的银子就太容易了,因为结合DNS污染欺骗网民进入中间人攻击站点会没有任何的安全警告。关于如何利用安全证书去实现中间人 攻击,请阅读这篇文章:《SSL窃听攻击实操》,这是DNSPOD的创始人吴洪声 写的,原理就是正式的向已经被浏览器默认信任的CA机构申请证书,得到合法的证书,然后用合法证书+伪造站点期骗用户访问,让用户输入密码,然后再向真正 的站点请求用户真正需要的内容,就像提供了一个代理服务器一样,但用户感觉不到与访问正宗网站有什么区别。这就是“中间人攻击”。

解决方法是升级浏览器。firefox已经增加了SSL证书的黑名单,但我不知道到底是哪个证书有问题,我于是像屏蔽CNNIC的root CA一样把Comodo给拉黑了,具体方法是:苹果用户到实用工具->钥匙串访问->系统根证书->证书,找到Comode(或CNNIC)双击,改默认为永不信任.  这样遇到伪造的GOOGLE登录界面时会有安全警告。

拉黑了CNNIC和COMODO的根证书,以后凡是使用这两家证书的网站都会导致我的电脑上的浏览器出现安全警告。现在GOOGLE用的是 Versign的底下的Thawte SGC CA颁发的证书,要是哪天访问时跳出来显示为COMODO颁发的,那我就中奖了。当然,会有误杀,如果访问别的使用了comodo的安全证书的网站,我的 浏览器也会出现警告,要是这站点不是重要的网站,我可以临时允许访问这个网站。

另外,采取一些防范DNS劫持的措施也就不会遇到使用了伪造COMODO证书的网站了,如使用VPN,确保使用的DNS服务器地址是国外的地址,还 确保通往DNS的路径是走的VPN通道,比如,使用SSH转发的翻墙者,虽然使用了 8.8.8.8  这个DNS服务器,但由于DNS请求不走隧道,还是会被DNS劫持。

例:

nslookup blog.aiweiwei.com 8.8.8.8

会得到:

Non-authoritative answer:
Name: blog.aiweiwei.com
Address: 93.46.8.89

这个 93.46.8.89就是GFW的DNS污染的证据,blog.aiweiwei.com 的真正IP应该是 67.205.38.6 才对。

附:

什么叫中间人攻击?

这篇文章《会话劫持与中间人攻击 》用一个战争案例解释了:

20 世纪80 年代后期,南非在纳米比亚与安格拉附近与古巴交战,当时南非的空军实力较强,雷达系统也比较发达,拥有一套用于敌我识别,避免误伤的质询/响应系统,称作 IEF,只有拥有密钥的南非飞机才能够解密并发送正确的回应信号。

按理说,南非拥有制空权,但一次战役中,古巴却成功地轰炸了南非的阵地,他们是如何实现的呢?

原来,当南非轰炸机前去轰炸古巴地面的军事目标时,古巴的米格战机悍然直入南非空防区。当南非的 IEF 发送质询信号时,米格将信号发回基地,基地转发给南非轰炸机并取得其回应,再送回米格,米格就近乎实时地获取了 IEF 的响应信号……整个过程中,米格战机和古巴基地实际上并不知道这些质询响应信号的意义……

这就是中间人攻击了


—————————————————————————————————————————

需要翻墙利器? 请安装Wuala,查找和添加gfwblog为好友,就可高速下载翻墙软件,或访问http://tinyurl.com/gfwblog直接下载。

推特用户请点击这里免翻墙上推特

请点击这里下载翻墙软件

更多翻墙方法请发电邮(最好用Gmail)到:fanqiang70ma@gmail.com

请阅读和关注中国数字时代翻墙技术博客GFW BLOG(免翻墙)

请使用Google Reader订阅中国数字时代中文版http://chinadigitaltimes.net/chinese/feed),阅读最有价值的中文信息;以及GFW BLOG(功夫网与翻墙)http://feeds2.feedburner.com/chinagfwblog,获取最新翻墙工具和翻墙技巧信息。


没有评论: