电信运营商能监听到HTTPS通信吗?

来自:车小胖谈网络?(微信号:chexiaopangnetwork),作者:车小胖谈网络

电信运营商能通过技术手段,来隐蔽的实现窃听、篡改HTTPS通信吗?

包括并不限于:插入牛皮癣广告、监听访问记录、流量劫持跳转等。

网络安全界有一个关于成本的名言:如果破获加密数据所花费的代价大于数据本身的价值,数据就是安全的!天下熙熙皆为利来,天天攘攘皆为利往”,没有人愿意做亏本生意,这句话同样适用于电信运营商。

?

电信运营商有一个得天独厚的优势—流量的管道,用户只要上网,流量一定会流经这个管道,这为运营商监听、劫持、插入用户流量提供了便利。但是,运营商首先要判断哪些用户的流量重于泰山,哪些流量轻于鸿毛?

?

有一些高档酒店,当客人入住登记的时候,会知道客人的身份信息,跨国公司的高管往往是最有价值的客户群。当这些客人连接酒店网络的时候,小动作开始了,往往要求客人先下载个软件更新或客户端,才可以连接网络。


如果客人点击安装,安装软件的同时,还安装了一个自签名的根证书,即浏览器信任了酒店的根证书。当客户使用https浏览网页时,或者收发邮件时,那么酒店就可以使用伪造的证书推送给客户端,这些伪造的根证书是酒店的自签名的根证书签名的,所以客户端会信以为真,完成正常的加密连接。毫无疑问,酒店方可以解密这些加密的流量。


如果客人警惕性高不安装,那么就无法上网,最后客人为了能够收发邮件,还是要乖乖地点击安装。当然,酒店方也不可能监听所有的流量,那也忙不过来,必定会选择高价值的流量,这非常好理解。

?

运营商拥有真实的用户信息,孰轻孰重分得清楚,如果要监听用户,一劳永逸的方法是将根证书安装到客户电脑中,接下来就可以神不知鬼不觉就可以偷窥用户信息。而安装根证书最方便的途径就是和软件一起安装,不容易被用户发觉。


一旦成功安装了根证书,运营商绝不会向https流量里插入广告,那太low了,客户一下子就发现自己被劫持了,然后重装系统,驻扎在客户电脑里的根证书也会被干掉。运营商当然希望细水长流,偷窥客户的信息客户是感觉不到的,而信息本身的价值往往意味着无限的商机。


?


其它的方法,包括降级攻击,都无法做到实时性监听。国政府以国家安全的名义,监听全球用户邮件、VPN、https流量,采用的手法多种多样,使用最多的则是,采用被动监听的方式,利用Diffie-Hellman算法实现的缺陷,来破解服务器的DH私钥。

?

全球有数不清的网站,但主流的服务器软件就那么几家,而这无数不多的服务器为了实现的便利,竟然将DH私钥硬编码到代码中,这意味着全球有数不清的网站使用的是同一个DH私钥,如果这个私钥长度小于等于1024位。集国家的计算资源是可以破解的,也许几周,也许几个月,但最终被破解出来了。

?

然后拿着破解出来的DH私钥,就可以用来破解使用同一个DH私钥的所有网站的加密流量。对于普通老百姓来说,放心使用https,如果实在担心自己的隐私被偷窥。先去电脑的证书仓库里,将可疑的根证书全部清理掉,只保留安全的TLS1.2版本。这样做的代价就是,一些不支持TLS1.2版本的服务器,你可能无法访问。或者由于清理掉不该清理的根证书,你无法访问根证书签名的一些网站。

推荐↓↓↓
黑客技术与网络安全
上一篇:全面普及HTTPS有意义吗? 下一篇:?网络工程师能转信息安全相关行业吗?