戲說WYF——網絡安全之中間人攻擊
最近娛樂圈的大瓜,吳x凡和都x竹的事件不知道大家吃瓜吃的如何?
我在這裏是看的津津有味,從雙方的決戰到警方的通告,實在是頗有趣味。
我們關註下警方的通告,就會發現這裏面竟然隱藏著關於網絡安全方面的知識。
中間人攻擊 壹個由來已久的名詞,它從很久以前便出現了。
簡單的描述下,就是 A 和 B 通過某種渠道進行溝通,這時候出現了壹個 C,他通過 某種方式 介入到A與B的溝通中來,並且使A相信了C就是B,同時B也相信了C就是A。這時,A給B的信息就相當於是C給B發的,也就是說C不論傳遞的是什麽消息,B都會認為這是A傳遞的。同理,對應到B給A的消息也就是這樣。此時 C 就是我們語義裏的 中間人 ,他所作的破壞就是 中間人攻擊 。
我們不難看出,C在這裏可以做的事情很多:
我這裏以壹次普通的Http請求為例:
假設客戶端A向服務端B發送請求體為 我愛妳寶貝 ,B響應體為 寶貝我也愛妳 。C通過某種方式成為了A、B中的中間人,此時C改動了A的請求為 寶貝,我愛妳,但我出車禍了,急需5000元,速打至xxxxxx ,B收到了消息,執行了轉賬5000元的操作,然後響應體變成 寶貝,錢已經到賬,好好養病 ,隨後C將這個響應改回 寶貝我也愛妳 ,這時C就完成了壹次信息篡改,並且產生實際的上的危害( B轉賬5000元 )。
這裏,劉某迢虛構身份騙取都某竹的信任,我們可以將其看成劉某迢( 中間人C )成功獲取都某竹( 客戶端A )的信任( 獲取到了客戶端A與服務端B通訊的相關憑證 )
劉某迢( 中間人C )利用獲取的信息冒用都某竹名義與吳某凡律師( 服務端B )聯系( 通過相關憑證與服務端建立了連接 ),以雙方達成和解為名索要300萬元賠償,並將自己和都某竹的銀行賬戶壹並發給吳某凡律師( 篡改偽造了客戶端A的相關請求,並準備獲利 )
同時,劉某迢使用“北京凡世文化傳媒”微信號,自稱系吳某凡律師,與都某竹協商( 中間人C建立與客戶端A的連接 )達成300萬元的和解賠償,但雙方未簽署和解協議( 向客戶端A轉發發送服務端B的響應 )。
7月11日,吳某凡母親分兩次向都某竹賬戶轉賬50萬元( 服務端信任了中間人C並執行了相關轉賬操作 )。此後,未得到錢款的劉某迢繼續冒充都某竹,向吳某凡律師索要剩余250萬元未遂( 中間人C後續操作未被服務端B信任,拒絕了,這步操作可能是源於客戶端A的權限不足以支撐服務端B的操作了,而不是中間人C被發現了 )。後又冒充吳某凡律師要求都某竹簽署和解協議,否則索回50萬元。都某竹同意退款後,劉某迢冒充吳某凡律師將本人的支付寶賬號提供給都某竹,都某竹陸續向該賬號轉賬18萬元( 中間人C向客戶端A發起退款操作通知,客戶端A執行了 )。
劉某迢被抓獲後,對其詐騙犯罪事實供認不諱。目前,該人已被朝陽公安分局依法刑事拘留。( 中間人攻擊裏面信息篡改是可能會被發現的 )
服務端和客戶端的通訊可以進行加密,這樣中間人即使獲得了消息,也無法破解消息的真實內容或者對消息進行篡改
Https請求就是在原本的Http請求上新增了加密層,因此Https請求會比Http請求要安全,但Https請求也被中間人攻擊。
如果中間人C知道加密方式,並且可以成功騙取A和B的信任,那麽加密消息這個屏障就相當於是白設置了。
可是溝通是必須要進行的,那麽我們應該怎麽處理呢?
可以采用證書形式,也就是說,加密方式我們變為非對稱加密,並且把證書作為公鑰在加密的壹開始就傳給對方,這樣對方就可以在連接建立的壹開始就確定對方究竟是不是真正的那個他,如果不是,那麽我們可以直接拒絕傳遞數據。
Https中就是這樣的,在連接建立的最開始,服務端就先把證書下發到客戶端了,並且供客戶端進行鑒權,此時如果證書不對,客戶端會主動關閉連接的。
這個方案就無法結合真實事件去說明了。
其實中間人攻擊的前提是雙方在某些情況下無法暴露自己的身份,因此另壹方無法判斷溝通的另壹方是不是本人。所以問題的解決方法就變為了如何確定對方的身份,而我們給出的那些方法,其實就是用於確定身份的。
比如說加密,其實就是加密方式對於雙方來說是已知的,而對於三方是未知的,因此對應情況下,我們就默認對方並不會對外公布加密方式。也就是說能知道加密方式的就是對方。身份由此確定
證書確認呢,則是通過雙方都認可的某些三方發布的身份證明,或者雙方直接都有對方的身份證明,最終也是為了確認身份。
吳某凡的這個事件整體令我感覺大跌眼鏡,但是確是講中間人攻擊的最好的壹件事,沒想到現實生活中竟然發生了這種事件。
不過,這類事也可以看出,計算機裏的很多情況其實都是有真實世界的縮影的,比如各種設計模式,所以我們在學習計算機的時候,可以結合真實情況想想,現實生活中如果有類似的情況應該怎麽解決呢?