HTTPS网站能被黑客监听明文数据吗?

Posted 车小胖谈网络

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了HTTPS网站能被黑客监听明文数据吗?相关的知识,希望对你有一定的参考价值。

使用 HTTPS 的网站也能被黑客监听到数据吗?

想问一下大家,如果我访问的网站是https的,那么黑客有没有办法监听我的数据流量啊?前几天在freebuf上面看到波兰因为DNS劫持大量用户被盗取银行钱了,是真的吗?黑客能够做到这种攻击吗?

 





对于关注于网络安全研究的我来说,生活中的每一天都把注意力放在网络安全上,其中也包括在旅游的路上。这次去三亚玩了几天,每到一家酒店,就把注意力放在酒店如何对待游客的上网流量。

 

 

神奇的一幕发生了,屏幕上突然弹出一个提示框,这个提示框我没有保存,大体的意思有以下三点:

 

  • 服务器证书有效 P

  • 服务器证书是自签名证书 P

  • 服务器证书与本地信任根证书无任何关联 O

 

如果你选择信任它,请点击 “Yes”; 如何你不信任它,请点击 “No”,程序将自动退出。

 

如果不是睁大眼睛,没有看到那个叉号的提示,会轻易地点击“Yes”,那么就无条件地选择信任这个来路不明的证书,而这个来路不明的证书99%+来自于酒店的网络设备。

 

酒店就可以做为中间人建立两个TLS连接:

 

  • 一个是与邮件客户端的TLS连接,酒店可以加密、解密与客户端的通信

  • 一个是与服务器的TLS连接,酒店可以加密、解密与服务器的通信

 

那么,酒店就可以自由自在地监控游客的明文流量了。

 

酒店这样做的安全考虑是什么?

当然安全是首要考虑的要素,大家知道在10年前明文通信占据互联网流量的绝大多数。在网络的出入口监控、扫描明文流量是非常轻松的,直接对报文操作就可以了,可以将携带恶意代码的IP报文丢弃处理,这样最大限度地保护内部的网络不受病毒的侵扰。

 

2017年互联网加密流量超越明文流量,占据领导地位,这样就给流量的监控带来了很大的挑战。因为网络扫描、入侵检测系统在没有加密/解密密钥的情况下,是无法将加密流量解密成明文数据的,那么自然就无法对流量进行深度的检查。

 

但是,技术是为人类服务的,总不能让技术束缚了人类的手脚。如果网络监测设备的自签名证书,能够让客户端信任,那么就会发生上文的故事,这样网络监测设备就有了解密的密钥,就可以对明文流量做深度的体检。

 

这样做带来一个不良后果,游客的敏感机密信息就暴露在监控设备上了,而一旦被拿来利用,会造成难以估量的损失。

 

这种监控手段并不仅仅局限于酒店网络,同样适用于企事业单位网络。

 

写到这里好像还没有写到DNS劫持造成的灾难,原理是相似的,不知道各位读者愿不愿意看。。。