研究人员披露互联网域名验证存在漏洞
来源:岁月联盟
时间:2009-08-10
去年在域名系统中发现严重漏洞的Dan Kaminsky和Moxie Marlinspike在上周三举行的黑帽安全大会上展示了安全者如何获取不属于他们的域名证书,进而诱骗上网者访问那些非法网站或者在不知情的情况下共享信息。
独立研究学者Marlinspike表示,漏洞使得浏览器和执行加密套接字协议的邮件用户可能遭受所谓的中间人安全,这种安全是诱骗浏览器显示看似合法的网站。
Marlinspike在采访中表示,安全者通过中途劫持火狐浏览器自动升级需求来持续拦截受害者的数据,火狐浏览器自动升级需求也是依靠SSL加密协议的。Marlinspike编写了一个软件工具,它可以和火狐浏览器的修订版本结合在一起使用,这样任何时候你向网站提交信息时都会发送给你一个副本。
Marlinspike补充说"糟糕的是这是一个容易受到安全的弱点,但是升级机制本身就足以信任"。
Chrome和IE浏览器也存在遭受这种安全的风险,但是对于IE发动安全就会更加困难,因为IE浏览器增加了一个使用代码符号证书的步骤。Marlinspike表示他还没有对Chrome进行详尽的分析来看看问题的严重性到底有多大。
Marlinspike表示他将在火狐补丁出炉之时同步发行自己研发的工具,可能是在下周的某个时候。
Marlinspike建议用户关闭火狐浏览器上自动升级的功能,直到Mozilla更改了他们执行SSL加密协议的自动升级系统为止。
同时IOActive公司负责渗透测试的总监Kaminsky表示,他模拟了诱骗认证授权机构提供属于其他人的域名验证证书的安全。他使用假冒的Defcon.org域名对安全进行了测试,他能够使用命名骗局来似的执行SSL加密协议的认证授权机构相信不联系域名所有者就可以验证请求的有效性。
Kaminsky是通过产生SSL加密协议连接的协议X.509中的漏洞来模拟安全的。
Kaminsky在演讲结束后的新闻发布会采访中表示"如果认证授权机构和浏览器在域名有效性上看法不一致,安全者就可以模拟任何域名"。
根据Kaminsky的说法,这种漏洞极大的破坏了电子商务和其他网络活动所赖以生存的信任机制。通过公布这种漏洞可以向用户提示这种风险的存在。
"这是我们进行验证的最好技术,但是它也出现可问题"Kaminsky表示"我们会对其进行修正,但是这也是我们必须重新审视安全机制的信号;我们又该如何对互联网进行验证"。
Kaminsky表示证明网站身份的延伸证书验证应该被应用到受到钓鱼威胁的任何网站。他还建议说大部分问题都可以使用DNSSEC来解决,DNSSEC是DNS的延伸,能为服务器提供数据通讯和其源头的额外信息。
他表示他能够使用不同类型的安全来发现X.509风险和涉及MD2杂乱运算法则标准来签署被淘汰的证书。
VeriSign公司的域名注册产品营销总监副总裁Tim Callan表示,VeriSign不再使用MD2标准,5月17号他们过渡到SHA-1运行法则。
他表示"我们正在竭尽所能来改进X.509和DNSSEC"。
Marlinspike表示他们已经修正了火狐3.5版本的问题。
同时Mozilla表示:"我们强烈抵制用户关闭安全升级的建议。定期安全升级是保护用户不受任何软件新型风险安全的最好方法之一"。
