微软Github疑被中间人攻击
今天,有很多中国网民反馈,从中国的ip访问知名代码托管平台github.com、github.io、github pages等网站会加载一个无效的证书,使用国外的ip访问则加载正常的证书,疑似该域名遭到了中间人攻击。
中间人攻击(英语:man-in-the-middle attack,缩写:mitm)在密码学和计算机安全领域中是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容。在许多情况下这是很简单的(例如,在一个未加密的wi-fi 无线接入点的接受范围内的中间人攻击者,可以将自己作为一个中间人插入这个网络)。
一个中间人攻击能成功的前提条件是攻击者能将自己伪装成每一个参与会话的终端,并且不被其他终端识破。中间人攻击是一个(缺乏)相互认证的攻击。大多数的加密协议都专门加入了一些特殊的认证方法以阻止中间人攻击。例如,ssl协议可以验证参与通讯的一方或双方使用的证书是否是由权威的受信任的数字证书认证机构颁发,并且能执行双向身份认证。
简而言之,所谓的中间人攻击就是通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而通信的双方却毫不知情。
目前经测试dns系统解析是完全正常的,例如,pages.github.com的ip地址解析并未出现问题,从中国地区解析的ip为185.199.111.153,是属于github的ip地址。受影响的主要是部分地区用户但涉及所有运营商。
由于攻击者使用的自签名证书不被所有操作系统以及浏览器信任,因此用户访问这些网站时可能会出现安全警告。
打开这个不受信任的证书,显示该证书的颁布者是346608453@qq.com。查询该qq号码,显示其昵称为心即山灵,地址为黑龙江哈尔滨,通过这个qq查询其加入的qq群,可以发现其真名疑似叫“张勇”,居住地疑似为“哈尔滨城东新居d区”,毕业学校疑似为“建三江一中92届”。从攻击者自签名证书留下的qq号可以在网上搜寻到部分信息,信息显示此前这名攻击者正在学习加密技术。这名攻击者还曾在技术交流网站求助他人发送相关源代码,从已知信息判断攻击者可能是在学习后尝试发起攻击。
更新:3月27日13:17,qq号346608453在其qq空间“心即灵山的qq空间”发布信息,称“qq号码被盗,现已恢复”。但这个声明却显得有些“不打自招”,因为攻击者要生成ca证书的话,随便填个邮箱都可以,根本不需要盗qq号。
建立安全的https通讯,可防止中间人攻击,这需要以下步骤:
1、服务端配置正确了对应的安全证书
2、客户端发送请求到服务端
3、服务端返回公钥和证书到客户端
4、客户端接收后会验证证书的安全性,如果通过则会随机生成一个随机数,用公钥对其加密,发送到服务端
5、服务端接受到这个加密后的随机数后会用私钥对其解密得到真正的随机数,随后用这个随机数当做私钥对需要发送的数据进行对称加密
6、客户端在接收到加密后的数据使用私钥(即生成的随机值)对数据进行解密并且解析数据呈现结果给客户
7、ssl加密建立