进化的艺术——无耻的艺术，论SSL监听

[kkkk123]

http://www.tektalk.cn/2009/09/25/进化的艺术——hillstone山石网科sg-6000-g5150产品评测/

对外发信息进行审计，防止机密外泄及不必要的法律纠纷，是UTM Plus中上网行为管理模块的另一大作用。该模块对HTTP、FTP、SMTP和主流即时通信类应用提供了由信令到内容层面的审计能力，莫说论坛发帖，就连163、Hotmail、Gmail、QQ邮箱等国内应用比较广泛的Webmail发信都被囊括在内。妄想使用Gmail等采用HTTPS登录的Webmail逃避检查也是徒劳的，UTM  Plus内置的SSL代理可以截断所有单向验证的SSL请求，对解密后的内容进行控制、审计。也就是说，利用这个代理，一切基于SSL隧道的应用协议都被纳入控管范围，不会再有漏网之鱼。不过，我们也注意到内容审计功能开启时，客户端并不会得到任何提示，山石网科称会在产品正式发布时以告警提示和法律免责申明的方式加以完善。

其实就是SSL会话劫持，太无耻了，但也不是无法发现，肯定他要用到假证书，只要稍微注意下就可以了

[卫星]

大概只有心的加密協議出臺才會有所轉變的了
但是，可行性事問題

[pioneer03]

我认为说加密邮件套接(SSL)也能被破解是谣传, 首先,SSL加密使用的是1024bit的公匙,破解难度相当高, 如果说美国国防部破解我信,中国的"专家"破解我不信, 中国人没这么高的技术.
其次,SSL加密已经成为业解标准, 如果能被破解是真的, 在密界肯定会掀起渲染大波, 不要说你们担心被中共监察的网民, 各国工业界,商业界的人士也决不答应, 如果真的一旦被破解, 那么密匙系统肯定要更新, 比如说几年前吧,山东大学的一个女教授破解了MD5码(实际上她只能算完成了一半的破解,因为她只能找出另一个数据对应同样的MD5,但不能根据MD5码推算回原始数据),业界已经吃了一惊,MD5码大多数人都不用了, 而用安全性更高的SHA1代替(SHA1还无人能破解).

所以SSL请放心使用,中共想破解还早着呢,需要注意的时, 有些网站只是在登陆时使用SSL连接(比如Hotmail),一旦登陆成功,就变成非加密的普通连接了,这时, 信的内容就可以被中途的路由器截获审查,因此hotmail的安全性是不够的. 而像Gmail, 全程都以SSL连接,因此是相当安全的.而国内的邮箱, 比如163.com, 126.com, 新浪什么的, 邮件都是放在国内的服务器上,因此连接再安全也是没有用的,随时可以被审查, 所以建议使用国内邮箱的人赶快换掉.

[kkkk123]

SSL中间人攻击
http://netsecurity.51cto.com/art/200512/12848.htm

LS的目光太狭隘,SSL的安全性是建立在网络环境的绝对可靠上的，像中国这样的网络，一个人要面对一个国家及其帮凶，太复杂了，所以，SSL绝对安全也就不成立，典型的就是采用SSL中间人攻击，指向错误的IP
SSL加密协议没办法破解，没错，但并不代表整个握手过程是绝对安全的
况且中国电信可以强行要求你安装他们的上网软件，进一步破坏安全性
伪造微软补丁，破坏SSL协议本身
等等多种方法，来破坏，以指向他们的SSL代理，当然，我也是菜鸟，具体的技术细节也不太懂

况且证书的验证（MD5.是否过期等）需要上网验证，本身就大大降低了安全性
不信，你找找firefox选项里面是不是有个证书验证，还是要基于不安全的因特网

[tunnel]

SSL中间人攻击
http://netsecurity.51cto.com/art/200512/12848.htm
......SSL绝对安全也就不成立，典型的就是采用SSL中间人攻击，指向错误的IP......中国电信可以强行要求你安装他们的上网软件，进一步破坏安全性伪造微软补丁，破坏SSL协议本身等等多种方法，来破坏，以指向他们的SSL代理，......况且证书的验证（MD5.是否过期等）需要上网验证，本身就大大降低了安全性......

首先，SSL 协议确实极大的减弱了中间人攻击的危险。
其次，针对 SSL 协议的中间人攻击当然是存在的。这个只要以"SSL Man-in-the-Middle Attacks"为关键词就可以检索出来了。
然而，针对 SSL 协议的中间人攻击并不可怕，也很容易避免。看看下图中的攻击原理就知道了：
http://www.pburkholder.com/sysadmin/SSL-mitm/webmitm.jpg
如图所示，服务器端的证书被攻击者悄悄替换成自己验证的证书，然后交给受害者使用，于是受害者与服务器之间的通信内容对攻击者变成了明码。
如果受害者预先储存了服务器的证书，那就可能通过比较得知原证书和当前获得的证书不相符，从而停止通信；或者直接使用服务器的证书加密通信，那么攻击者仍然在短时间内无法破解128位的加密内容。

[证明]

我认为说加密邮件套接(SSL)也能被破解是谣传, 首先,SSL加密使用的是1024bit的公匙,破解难度相当高, 如果说美国国防部破解我信,中国的"专家"破解我不信, 中国人没这么高的技术.

你的SSL很可靠的观点太狭隘，因为中国的网络ISP是国家机器控制的，根本不需要破解SSL密码，ISP就可以在中间劫持你的连接，进行审查再传给你。

打个比方你连接某个国外SSL，那么在连接时ISP可以先让你等待，它首先连接这个IP，用正常的SSL证书打开这个网页进行审查，然后把审查过的网页重新用SSL加密传到你的电脑上，当然此时SSL证书可能就换成它伪造的。大多数人是电脑菜鸟，不会注意的，就把密码敲上去了，于是ISP可从中截获了你传送的密码和内容，再进行正常的SSL传到国外。这个过程很快，零点几秒就完成了，你不会感到延迟，国外的服务器也根本无法发现连接不是你家里的IP，你由于是菜鸟也无法发觉！但是你的内容ISP全知道！

我想，用这个技术，截获动态网的动态https连接特别有效，因为用户对SSL证书无法验证！

[drq]

不过是某种深度包检测不是新技术了
SSLv3目前没有已知的漏洞
MITM 可以轻易检测到

[mountain0000]

如果gong党能通过这样的方式破解ssl连接的会话是不是能攻击国际银行的业务？比如说在非和平时期攻击美联储用户的在线业务或者其他国家的商业会话连接，直接进行经济控制？有可能吗？本人很担心！