全球主机交流论坛

标题: 黑客滥用 Let's Encrypt 免费SSL安全证书亦难幸免于难 [打印本页]

作者: Stack 时间: 2016-1-7 23:38
标题: 黑客滥用 Let's Encrypt 免费SSL安全证书亦难幸免于难
文章先发表于主机推介网 https://zhujituijie.com/post/119

----------

背景介绍

很明显，Let's Encrypt 允许任何人获取免费的HTTPS证书，这样对于合法的网站管理者可以起到安全保障，但与此同时可能助长犯罪分子通过恶意软件影响威胁他人。同时，由于目前 Let's Encrypt 已为Chrome，火狐以及IE等主流浏览器所认可，任何人都可以获取免费的SSL/TLS证书，这样潜在的波及范围也就越来越大。

上个月 Let's Encrypt 开放公测，任何人都可以通过简单的几个步骤创建加上小绿锁的HTTPS网站。（译者注：中文安装配置教程可以参看本站：永久免费SSL安全证书Let's Encrypt安装配置教程 http://www.zhujituijie.com/post/13）不过，糟糕的是，Let's Encrypt 的免费安全证书不仅可以被网站管理者确保用户安全连接，也可能被黑客用来滥用散布恶意软件。

不法分子如何滥用 Let's Encrypt?

趋势科技（Trend Micro）的研究人员在12月21日的时候监测到一起恶意广告活动。恶意广告是指通过网络技术利用广告传播恶意软件。不法分子通过在电脑上安装银行恶意软件，并使用 Let's Encrypt 免费SSL证书隐藏恶意流量，他们在合法网站上偷偷植入恶意广告，通过重定向使访问用户流向恶意站点从而散布恶意软件。

有很长一段时间内，这些恶意软件的作者使用的都是通过在黑市上购买被盗的SSL证书。不过幸运的是，这些被盗用证书最终会被他们的合法拥有者所发现并销毁掉。然而，Let's Encrypt发布之后，这些恶意软件的作者们现在就连SSL证书都不需要购买了，因为现在有免费的了。

不法分子散布 Vawtrack 银行木马

上述趋势科技研究人员发现的恶性广告事件一直持续到了12月31日，主要受影响地区为日本。恶意网站使用Angler Exploit Kit钓鱼攻击工具包企图通过Vawtrack银行木马入侵受害者的电脑，特别是针对网上银行账户的攻击。趋势科技在欺诈方面的研究人员Joseph Chen是这样说的，在安装Let's Encrypt证书前，攻击者通常会先挟持一个未命名的合法网站的服务器，然后将他们的子域名嫁接到这个服务器的网站上。网络骗子然后便会在被挟持的服务器网站上安装Let's Encrypt证书，并在子域名网页中植入恶意广告以及anti-antivirus code。

Let's Encrypt 安全证书滥用背后的真正原因

原因主要在于Let's Encrypt只是检查那些与Google安全浏览API相抵触的主域名，以主域名为是否标记为恶意软件或者钓鱼网站的衡量标准。因而，隐藏起来的域名就成了突破口。更有甚者，Let's Encrypt还规定了证书不可撤回。官方在10月份的时候解释称证书认证机构不具备监管权限，他们所颁布的证书不能作为网站内容以及管理者的证明。

"Domain Validation (DV) certificates do not include any information about a website’s reputation, real-world identity, or safety." (域名认证与网站信誉无关，与现实认证无关，与安全性无关)

不过趋势科技的研究人员对于这种说法表示质疑，他们认为，如果有不法团体滥用证书并造成大量危险，证书认证机构(CAs) 应有义务取消该证书。从另一个层面来说，也就是他们需要通过一些机制，同时对主域名以及子域名采取未经授权的证书注册的预防措施。

忠告：你该如何避免远离这样的攻击？

关于恶意广告事件，趋势科技已经告知了Let's Encrypt的项目团队以及上述恶意广告受害的合法域名拥有者。那么就现在的情况来看，我们能做些什么呢？浏览网页时必须注意“安全”网站并非总是绝对安全的，想要最有效的预防钓鱼攻击工具包的攻击,对于用户而言，需要及时更新软件修补漏洞以防入侵。对于在线广告投放者来说，可通过安装一个内部控制器有效拦截恶意广告。

原文链接：http://thehackernews.com/2016/01/free-ssl-certificate-malware.html

作者: SKIDROW 时间: 2016-1-7 23:42
证书透明度还是初级阶段，浏览器和CA还做不好。

作者: Stack 时间: 2016-1-7 23:54

SKIDROW 发表于 2016-1-7 23:42
证书透明度还是初级阶段，浏览器和CA还做不好。

确实还是要慢慢来

作者: zrj766 时间: 2016-1-8 00:12
COMODO路过

作者: fuckjp 时间: 2016-1-8 00:19
确实还是要慢慢来

欢迎光临全球主机交流论坛 (https://d.168530.xyz/)