HTTPS网站能被黑客监听明文数据吗?

来自:车小胖谈网络?(微信号:chexiaopangnetwork),作者:车小胖谈网络

使用 HTTPS 的网站也能被黑客监听到数据吗?

想问一下大家,如果我访问的网站是https的,那么黑客有没有办法监听我的数据流量啊?前几天在freebuf上面看到波兰因为DNS劫持大量用户被盗取银行钱了,是真的吗?黑客能够做到这种攻击吗?

?





对于关注于网络安全研究的我来说,生活中的每一天都把注意力放在网络安全上,其中也包括在旅游的路上。这次去三亚玩了几天,每到一家酒店,就把注意力放在酒店如何对待游客的上网流量。

?

当我打开邮箱时,邮件的客户端与邮件服务器之间的数据传输是依靠TLS来加密保护的,所以一般认为既然邮件是加密的,酒店的网络设备是无法偷窥住店客人的邮件内容的,充其量可以知道我访问哪些服务器,IP地址是什么,域名是什么,对吗?

?

神奇的一幕发生了,屏幕上突然弹出一个提示框,这个提示框我没有保存,大体的意思有以下三点:

?

  • 服务器证书有效?P

  • 服务器证书是自签名证书?P

  • 服务器证书与本地信任根证书无任何关联?O

?

如果你选择信任它,请点击 “Yes”; 如何你不信任它,请点击 “No”,程序将自动退出。

?

如果不是睁大眼睛,没有看到那个叉号的提示,会轻易地点击“Yes”,那么就无条件地选择信任这个来路不明的证书,而这个来路不明的证书99%+来自于酒店的网络设备。

?

酒店就可以做为中间人建立两个TLS连接:

?

  • 一个是与邮件客户端的TLS连接,酒店可以加密、解密与客户端的通信

  • 一个是与服务器的TLS连接,酒店可以加密、解密与服务器的通信

?

那么,酒店就可以自由自在地监控游客的明文流量了。

?

酒店这样做的安全考虑是什么?

当然安全是首要考虑的要素,大家知道在10年前明文通信占据互联网流量的绝大多数。在网络的出入口监控、扫描明文流量是非常轻松的,直接对报文操作就可以了,可以将携带恶意代码的IP报文丢弃处理,这样最大限度地保护内部的网络不受病毒的侵扰。

?

2017年互联网加密流量超越明文流量,占据领导地位,这样就给流量的监控带来了很大的挑战。因为网络扫描、入侵检测系统在没有加密/解密密钥的情况下,是无法将加密流量解密成明文数据的,那么自然就无法对流量进行深度的检查。

?

但是,技术是为人类服务的,总不能让技术束缚了人类的手脚。如果网络监测设备的自签名证书,能够让客户端信任,那么就会发生上文的故事,这样网络监测设备就有了解密的密钥,就可以对明文流量做深度的体检。

?

这样做带来一个不良后果,游客的敏感机密信息就暴露在监控设备上了,而一旦被拿来利用,会造成难以估量的损失。

?

这种监控手段并不仅仅局限于酒店网络,同样适用于企事业单位网络。

?

写到这里好像还没有写到DNS劫持造成的灾难,原理是相似的,不知道各位读者愿不愿意看。。。

推荐↓↓↓
黑客技术与网络安全
上一篇:真船借箭:盘点行动中攻击者的绝密武器 下一篇:全面普及HTTPS有意义吗?