Perspectives 阻撓網際網路竊聽的系統

System thwarts Internet eavesdropping
http://www.physorg.com/news138885925.html

August 25, 2008

共享 Wi-Fi 與其他無線電腦網路的成長，增加了網際網路通訊的竊聽風險，不過卡內基美隆大學（CMU）的電腦科學學院與工程學院設計出一種廉價系統，能阻撓這些中間人（Man-in-the-Middle，MitM）攻擊。

此系統，稱為 Perspectives（洞察力、透視圖），也能避免受到最近揭露的、關於 DNS 軟體瑕疵的攻擊。

研究者 -- David Andersen，電腦科學助教授、Adrian Perrig，電子與電腦工程以及公共政策副教授，還有 Dan Wendlandt，電腦科學博士生 -- 將 Perspectives 包含至熱門瀏覽器 Mozilla Firefox v3 的外掛中，那可在 http://www.cs.cmu.edu/~perspectives/firefox.html 免費下載。

Perspectives 利用一組友善的網站，或「公證人（notaries）」，那能協助驗證金融服務、線上零售業者以及其他需要安全通訊的交易網站。透過獨立查詢所要求的目標網站，這些公證人能檢查每一個（公證人）在回應時，是否收到同樣的認證資訊（稱為數位憑證）。如果一個以上的公證人報告其認證資訊不同於瀏覽器與其他公證人所收到的，一位電腦使用者將有理由懷疑有某位攻擊者正危害此連接。

憑證管理機構（CA），例如 VeriSign、Comodo 與 GoDaddy，已經在幫忙驗證網站並減少中間人攻擊的風險。Perspectives 系統在這些例子中提供額外的安全衡量，但對於數量愈來愈多、沒有使用憑證授權的網站而言，亦特別有用，而且能增加較為便宜之「自簽（self-signed）」憑證的使用。

"當 Firefox 使用者點選一個使用自簽憑證的網站時，他們會得到一個安全錯誤訊息，那使許多人感到困惑，" Andersen 說。然而，一旦 Perspectives 被安裝到瀏覽器中，若該網站是合法，它就能自動凌駕安全錯誤網頁而不會打擾使用者。

該系統亦能偵測憑證管理機構中的某一個是否已被騙去驗證一個假網站，並警告 Firefox 使用者該網站十分可疑。"Perspectives 為網際網路瀏覽提供額外的一層安全性，" Perrig 說。"對於具有安全意識的使用者而言，那是一種有意義的慰藉。"

Andersen 表示，使用無線連接到網際網路數量增加，也使 MitM 攻擊的風險增加。當攻擊者哄騙一位電腦使用者相信，自己與目標網站，例如銀行，已建立起安全的連線時這種事就會發生。實際上，電腦使用者正與攻擊者的電腦通訊，在轉送使用者與目標網站之間的通訊時，它能夠竊聽。

Andersen 說，當透過公共 Wi-Fi 連接時，"要讓某人說服你經過他們的電腦真的相當、相當、相當容易。" 例如，當某位使用者認為他連上機場或咖啡店的「熱點」時，事實上可能連到就在幾步之外的、某個人的筆電。"有許多人甚至不知道他們已經被攻擊了，" 他補充。

絕大部分的網際網路通訊，例如標準的 HTTP 網站，都不安全，除了那些需要使用 SSL 加密的網站以及那些使用 SSH 協定的網站之外，那需要帳號與密碼的使用、需要網站以一種數位憑證（一種所謂的公開金鑰，那用來加密）證明它們自己為真。

電腦使用者通常不需要意識到這種安全資訊交換的存在。除了某件事不太對勁時，瀏覽器會出現一個對話框，例如：Unable to verify the identity of XYZ.com as a trusted site。

"絕大部份的使用者都沒被告知：遇到這些情況該怎麼辦，" Wendlandt 說。"有許多人只是聳聳肩，接著繼續他們的連線，這有可能使他們自己暴露在攻擊中。"

在七月所揭露的 DNS 軟體漏洞為電腦使用者呈現出不一樣的問題，但那亦為 Perspectives 所處理。DNS 的瑕疵能對 ISP 發出攻擊，導致使用者連到惡意網站而非他們正在尋找的合法網站。"有了 Perspectives，即便客戶端的 ISP 已成了攻擊的犧牲品，客戶端還是能夠偵測到自造假網站所收到的公開金鑰與公證人所傳回的結果相互矛盾，" Wendlandt 說。

※ 相關報導：

＊ 銀行業網站在設計上的安全漏洞頗為普遍
＊ 研究：E-amil 行銷中的個人資訊可能適得其反
＊ 研究者揭露英國晶片卡詐騙新風險
＊ 『隱私國際』公佈 2007 年報告
＊ 虛擬貨幣恐引發新金融犯罪
＊ 「流氓」DNS 的數量持續攀升