當(dāng)您在訪問(wèn)某個(gè)網(wǎng)站時(shí)，在瀏覽器地址欄處顯示安全鎖則表示您正在瀏覽一個(gè)使用了SSL證書(shū)進(jìn)行加密的網(wǎng)站。但許多人誤以為，只要部署了SSL證書(shū)，它們就不會(huì)受到任何形式的網(wǎng)絡(luò)攻擊。實(shí)則不然，在本文中，銳成信息將帶大家探索新型惡意軟件是如何隱藏在這個(gè)受信任的符號(hào)背后的。

SSL加密對(duì)于任何需要傳輸敏感信息的站點(diǎn)或應(yīng)用程序都是至關(guān)重要的。這包括密碼、信用卡號(hào)碼和其他重要數(shù)據(jù)。SSL證書(shū)是一種非常好的的防御工具，它可以防止別人試圖入侵您的網(wǎng)絡(luò)，保護(hù)您的數(shù)據(jù)免受犯罪分子的攻擊。但問(wèn)題是：壞人也可能使用加密技術(shù)，例如，黑客和網(wǎng)絡(luò)罪犯使用SSL/HTTPS來(lái)隱藏惡意代碼。

防火墻和入侵檢測(cè)系統(tǒng)存在漏洞

很多公司在網(wǎng)絡(luò)安全解決方案上花費(fèi)了大量的財(cái)力和物力。他們常常采取的一種方法是結(jié)合入侵檢測(cè)系統(tǒng)和防火墻來(lái)監(jiān)控和分析本地網(wǎng)絡(luò)的所有傳入流量。這樣做的目的是想要在任何用戶容易受到攻擊之前，自動(dòng)檢測(cè)和阻止網(wǎng)絡(luò)攻擊和黑客威脅。

例如，假設(shè)客戶服務(wù)中Bob單擊網(wǎng)絡(luò)釣魚(yú)電子郵件中的鏈接，該鏈接指向帶有惡意軟件的URL。那么該組織的安全系統(tǒng)可以在Bob的機(jī)器感染惡意軟件之前檢測(cè)并阻止此次訪問(wèn)。

但是，如何構(gòu)建入侵檢測(cè)系統(tǒng)才能運(yùn)行會(huì)存在一個(gè)固有的漏洞。它們涉及掃描網(wǎng)絡(luò)流量，以識(shí)別與惡意軟件或其他惡意攻擊相對(duì)應(yīng)的模式。如果系統(tǒng)無(wú)法解碼每個(gè)傳入網(wǎng)絡(luò)請(qǐng)求的全部?jī)?nèi)容，則它們對(duì)流量的特定部分視而不見(jiàn)。

然而，在入侵檢測(cè)系統(tǒng)的運(yùn)行方式上存在一個(gè)固有的漏洞。這個(gè)與網(wǎng)絡(luò)流量的掃描有關(guān)，以識(shí)別與惡意軟件或其他惡意攻擊相對(duì)應(yīng)的模式。如果系統(tǒng)無(wú)法解碼每個(gè)傳入的網(wǎng)絡(luò)請(qǐng)求的全部?jī)?nèi)容，那么一部分流量就處于該系統(tǒng)額盲區(qū)。

例如，當(dāng)您從外部網(wǎng)站下載文檔時(shí)，您的防火墻或入侵檢測(cè)系統(tǒng)可以檢查通過(guò)本地網(wǎng)絡(luò)的數(shù)據(jù)包。但是，如果是通過(guò)SSL連接進(jìn)行的，那么系統(tǒng)就無(wú)法通過(guò)加密來(lái)檢測(cè)文檔內(nèi)部的真正內(nèi)容。

一些較新的入侵檢測(cè)解決方案引入了深度包檢查的概念，該工具以相對(duì)較低級(jí)別的方式查看每個(gè)網(wǎng)絡(luò)請(qǐng)求，以了解其相關(guān)內(nèi)容的更多信息。但并不是很多組織選擇用此方法，因?yàn)橥ㄟ^(guò)HTTPS傳遞的數(shù)據(jù)可能就是一個(gè)潛在的安全威脅。

另一種檢測(cè)SSL惡意軟件的方法是SSL檢查，或者也有人稱之為HTTPS攔截。此技術(shù)是在客戶端和服務(wù)器之間進(jìn)行SSL/ TLS加密的網(wǎng)絡(luò)通信過(guò)程中攔截。它可以從發(fā)送方到接收方的過(guò)程執(zhí)行攔截，反之亦然，從接收方到發(fā)送方也可以進(jìn)行攔截。如果部署得當(dāng)，可以用于過(guò)濾SSL中的惡意軟件。

SSL惡意軟件的原理

要了解黑客如何使用SSL加密惡意軟件，我們需要了解TLS，也就是需要了解SSL背后的加密過(guò)程。最新的谷歌數(shù)據(jù)顯示，現(xiàn)在互聯(lián)網(wǎng)中93%站點(diǎn)是經(jīng)過(guò)加密了的。如上所述，它對(duì)所有外部方都是鎖定狀態(tài)的，包括不支持深度包檢查的防火墻。

黑客無(wú)法直接將惡意代碼植入到現(xiàn)有的HTTPS流量中。例如，如果您在Amazon上購(gòu)物并提交您的信用卡號(hào)碼來(lái)支付一本書(shū)，該信息將通過(guò)SSL傳輸。如果黑客試圖修改流量并注入惡意軟件，您的瀏覽器將注意到密鑰已經(jīng)更改，并將自動(dòng)拒絕請(qǐng)求。例如，如果您在亞馬遜上購(gòu)買(mǎi)一本書(shū)并提交信用卡號(hào)來(lái)支付，則該個(gè)人信息將通過(guò)SSL傳輸。如果黑客試圖修改該流量并植入惡意軟件，您的瀏覽器檢測(cè)到密鑰已更改，并會(huì)自動(dòng)拒絕該請(qǐng)求。

但是，網(wǎng)絡(luò)犯罪分子還是有一些方法來(lái)突破解決這個(gè)問(wèn)題。最常見(jiàn)的方法之一就是為攜帶有惡意軟件的網(wǎng)站安裝免費(fèi)的SSL證書(shū)。SSL惡意軟件的另一種變體是，犯罪分子在釣魚(yú)網(wǎng)站上使用SSL證書(shū)，這些看似合法的網(wǎng)站向受害者的系統(tǒng)發(fā)送惡意代碼。黑客會(huì)發(fā)出一系列欺詐性的電子郵件，它們看上去像是可信任的。如果用戶點(diǎn)擊它們，它們將被引導(dǎo)到看起來(lái)很安全的網(wǎng)站，因?yàn)榇司W(wǎng)站有免費(fèi)的SSL證書(shū)。屆時(shí)，黑客可以將其惡意軟件嵌入加密的流量中，并嘗試?yán)@過(guò)任何防火墻系統(tǒng)。

所以，要記住的重要一點(diǎn)：SSL證書(shū)不能保證安全性，它只是確保您的請(qǐng)求被加密，但實(shí)際傳輸?shù)臄?shù)據(jù)仍然可能包含危險(xiǎn)元素，包括病毒和其他形式的惡意軟件。因此，在訪問(wèn)新網(wǎng)站時(shí)，您應(yīng)該始終保持警惕。（注意：如果網(wǎng)站使用的是黑客很難獲得這類(lèi)證書(shū)如OV SSL證書(shū)或EV SSL證書(shū)，則可以檢查其證書(shū)以獲取運(yùn)行該網(wǎng)站的組織的詳細(xì)信息）

自我保護(hù)的7個(gè)小貼士

對(duì)于這些惡意軟件的網(wǎng)絡(luò)攻擊，您自己需要用采取積極的措施來(lái)控制、保護(hù)您的網(wǎng)絡(luò)隱私數(shù)據(jù)。銳成信息羅列了以下防止SSL惡意軟件和其他威脅的小貼士：

1.  訪問(wèn)在地址欄處有安全鎖符號(hào)的網(wǎng)站，以確認(rèn)您所使用的站點(diǎn)已啟用SSL加密。但不要認(rèn)為這就足夠了，因?yàn)槭聦?shí)上，許多使用了SSL證書(shū)的不法網(wǎng)站看起來(lái)也是合法的。

2.  當(dāng)您輸入個(gè)人信息或是進(jìn)行交易時(shí)，請(qǐng)花一點(diǎn)時(shí)間檢查您正在使用的平臺(tái)是否與SSL證書(shū)中的登記的組織信息一致。

3.  高級(jí)DNS欺騙甚至可以提供看似正確的URL來(lái)捕獲用戶憑證。強(qiáng)大的密碼管理器通常通過(guò)交叉引用URL來(lái)防止這種情況，但是用戶在輸入登錄信息時(shí)需要保持警惕。

4.  可考慮將虛擬專用網(wǎng)絡(luò)（VPN）添加到您的網(wǎng)絡(luò)安全方案中。

5.  請(qǐng)正確配置防火墻和入侵檢測(cè)系統(tǒng)。雖然上述提到即使配置了防火墻和入侵檢測(cè)系統(tǒng)仍然有其局限性，但是部署了此系統(tǒng)，至少可以在造成很大損失之前檢測(cè)并隔離它。

6.  確保站點(diǎn)組織使用深度數(shù)據(jù)包檢查和/或SSL檢查來(lái)發(fā)現(xiàn)加密Web通信中的威脅。

7.  從信譽(yù)良好的商店購(gòu)買(mǎi)可靠的防病毒工具，并不斷更新！

總的來(lái)說(shuō)，不能將隱匿的網(wǎng)絡(luò)安全威脅錯(cuò)誤的歸咎于SSL證書(shū)。如果沒(méi)有SSL證書(shū)，互聯(lián)網(wǎng)可能會(huì)是更危險(xiǎn)的地方。黑客無(wú)處不在，而我們需要記住的是：即使部署了SSL證書(shū)，仍然需要警惕SSL通信流中隱藏的惡意軟件或其他威脅。