互联网研究人员超越学术界,努力弥补重大安全漏洞
多年来,互联网加密系统中潜伏着潜在的灾难,威胁着全球组织和个人的安全。普林斯顿大学的工程师们现在已经消除了这一威胁,他们与行业领导者合作,将他们的研究成果转化为通用安全标准,该标准已于 8 月被全球组织采用,并于 9 月 6 日生效。这一变化主要集中在网络浏览器和操作系统在建立安全连接时如何验证网站的身份。
它们依赖于被称为认证机构的第三方组织,这些组织根据网站所有者证明对网站域名的合法控制的能力来颁发真实性数字证书,通常是通过嵌入认证机构提供的随机值来颁发。
由普拉泰克·米塔尔 (Prateek Mittal) 和詹妮弗·雷克斯福德 (Jennifer Rexford) 教授领导的普林斯顿大学团队表明,不良行为者可以轻松绕过这些障碍,为他们无法合法控制的网站获取欺诈性证书。
这项计划仅用一台笔记本电脑不到一分钟就能实施。它可以针对互联网上的任何网站。用户无法发现欺诈行为,因为证书是真实的,即使其基本事实是伪造的。有了伪造的证书,犯罪分子就可以攻击用户并将流量引导到虚假网站,而不会让任何人知道。
帮助引入新普林斯顿标准的谷歌 Chrome 网络安全专家 Ryan Dickson 和 Chris Clements 表示,这引发了对最坏情况的担忧。
“想象一下,一个恶意攻击者以某种方式介入你和你的新闻网站之间,”迪克森说。“它欺骗性地声称即将发生自然灾害,人们必须开始撤离其所在地区。”
在旧系统中,假冒网站看起来和真实网站一样合法。恶意行为者可能会造成严重破坏。“对社会的危害可能是灾难性的,”他说。
互联网上几乎每天数十亿的互动,从社交媒体帖子到账单支付到政府间文件传输,都可能遭受这种欺诈。
通过采用普林斯顿标准,认证机构同意从多个角度而不是仅仅一个角度来验证每个网站——这是一个听起来简单的解决方案,但却花了五年多的时间来完善并得到广泛采用。
从好主意到实际创新
这一欺诈行为最早是在 2017 年由当时还是本科生的亨利·伯奇-李 (Henry Birge-Lee) 与米塔尔和雷克斯福德合作进行的一项研究中发现的。伯奇-李在当年的一次学术会议上展示了这一欺诈行为。
全球最大认证机构 Let's Encrypt 的创始人兼首席执行官 Josh Aas 是该会议的主讲人,他碰巧看到了 Birge-Lee 的演讲。他立即意识到情况的紧迫性。
“当我看到演示这次攻击的演示时,我明白了其中的道理,我知道我们会采取行动来解决这个问题,”阿斯说。“此后不久,我们就开始与普林斯顿团队合作,自此以后,我们的合作关系一直富有成效。”
普林斯顿团队在2018 年的后续论文中介绍了一项技术解决方案。他们与 Aas 合作,将该解决方案在其组织的实际系统中实施,并最终于 2020 年开始部署。
米塔尔是电气和计算机工程学教授,他表示 Let's Encrypt 的参与对该项目的发展至关重要。该组织不仅证明了该解决方案在规模上有效,还表明该解决方案价格合理。Let's Encrypt 还表明,与普林斯顿团队的合作对于将该技术推向世界具有重要意义。
据参与该过程的人士称,这一点起到了决定性的作用,让更广泛的网络安全社区相信采用新方法的好处值得付出成本。
为了将新方法作为通用标准,它必须经过互联网上最重要的安全组织联盟——认证机构/浏览器论坛的审核。该联盟包括苹果、谷歌、微软和 Mozilla 等科技巨头以及 55 家认证机构。该组织对其管理文件进行了一千多次修改。每个字的修改都是一次谈判。最终,投票成员达成了一致协议。
米塔尔说,这项工作虽然不是学术界的典型做法,但却至关重要,因为它让研究有机会对现实生活产生影响。这并不是找到问题并提出解决方案那么简单。它需要持续不断的努力,多年来一次又一次地说服有权有势的人。“我们必须做传教工作,”他说。
决定性的一分钟,多年的酝酿
到 2022 年 12 月,致力于解决这一问题的普林斯顿团队已经壮大。除了 Birge-Lee、Mittal 和普林斯顿教务长兼 Gordon YS Wu 工程学教授 Rexford 之外,该团队还包括博士生 Grace Cimaszewski;副研究员 Liang Wang;以及普林斯顿大学信息技术政策中心技术政策诊所负责人兼凯勒中心讲师 Mihir Kshirsagar。
普林斯顿大学和 Let's Encrypt 团队召开了一次面对面会议,邀请了数十位世界顶级加密专家讨论互联网最紧迫的漏洞。讨论的问题包括:Birge-Lee 2017 年论文中描述的单源漏洞。
有一次,Birge-Lee 和 Cimaszewski现场演示了他们的攻击,在他们眼前使用该小组开发的工具利用漏洞。整个过程几乎没花什么时间。
“每个人都对这个过程如此简单感到惊讶,”Cimaszewski 说道。“而且速度如此之快。”
代表 Google Chrome 利益的 Ryan Dickson 对此深感震惊。
“我记得离开时真的有一种紧迫感,”迪克森说。开完会开车回家的路上,他给谷歌同事克里斯·克莱门茨打了电话,后者也在研究同一类问题。“那通电话的语气大致是,我们刚刚花了两天时间讨论一个活跃的互联网漏洞。我知道这是一个问题,我知道我们需要解决它。”
凭借 Let's Encrypt 多年的数据、普林斯顿团队的技术专长以及不仅为 Chrome 用户而且为整个互联网解决此问题的动力,Dickson 和 Clements 在接下来的两年里领导了 CA/浏览器论坛的一项进程,一些参与者将其比作通过艰难的立法。普林斯顿团队澄清问题和简化解决方案的能力在整个过程中至关重要。
“人们从来没有说过,啊,但这不是真的,这不是可能的结果,”迪克森说。“我认为这主要是因为[伯奇-李和西马舍夫斯基]展示了这种现象的实时发生。”
页:
[1]