老周,有人找你。一大早,361杀毒公司的老周就被叫醒了。今天阳光明媚,老周伸了个懒腰,朝工作室走去。图片来自Pexels1,广告又来了。“是谁一大早就来吵闹,打破了我的睡意。”听得出来,老周有些不高兴。“咚咚~”,老周微微抬起头,就看到工作室门前出现了一个甜美的女人。老周易从座位上跳了起来,三步并作两步走到女人面前,做了个欢迎的手势:“美女,请进。”两人坐下后,老周扶下镜框,重新整了整格子衬衫,轻声问道:“不知道美女来拜访的目的是什么?”女人一脸焦急,“你好吧,我是Chrome浏览器公司的小雪,最近一直在访问千都网和淘宝网,网页上经常出现奇怪的广告,被投诉了,听说领导说361杀毒公司的周先生是这方面的专家,请您帮我诊断一下,这些广告是怎么来的?”老周听得有些尴尬,连连摆手,“原来是小雪小姐,在哪?是我361公司打病毒木马,清除流氓软件的,我是只是尽力做好自己的本分。”“周先生,您可别谦虚了,您破获IE公司木马入侵的事,已经传遍了整个Windows帝国,谁都知道您厉害,这次的广告问题还请见谅。”小雪看着老周,眼里仿佛有星星。“不用客气,这件事就交给我了。”小雪起身,说了两句谢谢就走了。2、谁动了HTTPS流量就在这时,负责网络数据过滤的大白正忙着呢,突然一只手搭在了他的肩膀上,大白回头一看,是老周。“老周,你怎么来了,你怎么不在安全实验室分析恶意代码,来我们网络部干嘛?”老周拍了拍大白的肩膀,说道:“大白,有点不对劲,想请你帮我看看Chrome浏览器的流量有没有插广告?”“就这样吧,前段时间发现路由器老是插广告,就做了个功能块,以为停了,过几天又回来了?”大白调通了Chrome公司的流量,准备看个究竟。大白越看眉头越皱,“应该不会吧,我看千都网和淘宝是用HTTPS协议访问的,按理说路由器是不可能插广告的!”“HTTPS协议?为什么用这个?不能插广告?”老周问道。“这个我都不知道,你是怎么成为361公司安全实验室负责人的?”大白一脸无语。老周有些不好意思,“喂,兄弟,你别笑话我,我是这方面的专长,擅长分析病毒和木马代码,网络协议我还真是不懂。”请大白兄弟告诉我。”大白似乎觉得他说的话有些重,也顺势借了个坡,“老周,刚才跟你开玩笑的,你别放在心上。”“没关系,把HTTPS协议告诉我,帮我早点破案!”“好的,稍等”说完,大白开始在白板上画画起来。3、什么是HTTPS“HTTPS=HTTP+SSL/TLS,这个技术简单简单,但也复杂。简单来说,就是为了网络数据的安全,通过加密传输。HTTP流量保护”,大白告诉老挝周先生一边画画。“明白了,那么问题来了,用什么加密解密算法?对方怎么知道用什么算法,用什么密钥解密?”老周抓住了重点。“哦,我明白了,在数据正式传输之前,双方会有一个协商过程,商定后面要选择的加密算法和使用的密钥。”“那问题又来了,如果内容被别人知道了,他是不是就不能照着画,解密传输的内容了?”老周反应很快。“老周不愧是老周!知道加密算法也无所谓,毕竟算法是公开的,关键就在于后续加密所用的密钥,这才是需要保护的密钥。”不能被别人知道。”说着,大白又继续画画。“所以?这把钥匙怎么保护?你说吧,”老周有些着急。“注意,高能来了,双方使用一种叫做非对称加密的方式传输……”“等一下”,老周打断大白的话,“非对称加密,这是什么意思?”大白默默叹了一口气,“常见的加密方式叫做对称加密算法,所谓对称就是加密和解密使用同一个密钥,相对而言,非对称加密就是加密和解密使用不同的密钥。明白吧。”?”老周想了想,点点头,“我知道了,你继续刚才说的,如何使用这种非对称加密算法来传输后面需要的密钥!”大白继续说:“客户端生成一个随机数,用公钥加密,发送给服务器,服务器用私钥解密随机数,然后根据随机数和其他信息计算出一个密钥,这将作为后续加密内容的密钥!”“等等,客户的公钥是从哪里来的?”“一开始,当客户端发出请求时,服务器会在响应中告诉客户端公钥。好了,画完了,整个过程是这样的。”大白放下画笔,一张完整的HTTPS协议握手过程的图浮现了出来:老周反复看了一遍,过了半天终于说:“这个过程我懂了,但总觉得这个没必要。对称加密算法还不行,就这么折腾!”大白连连摆手,“你想的简单,但是非对称加解密算法执行起来麻烦多了,还要多花很多倍的时间。如果全程使用非对称加密算法,那它会严重影响上网体验,算法是好算法,但是用起来也很贵,所以权衡之下,好钢用在刀刃上,只用来传输密钥,对称加密算法经济。“老周点点头,想了想,又抬头看了会儿流程图。良久,老周指着流程图再次问道:“我明白了,如果我在客户端和服务端之间插入一个角色,对客户端假装是服务端,对服务端假装是客户端,那你就挡路,修改数据包,插入广告,对吧?”正在喝水的大白闻言咳了一声,“你说的是中间人攻击!你把HTTPS当成玩具,这么容易被劫持,开玩笑!注意图片,有认证链接,不是所有人都可以冒充的!”老周又看了看照片,“怎么鉴定,我听听!”》在服务器的响应中,我前面提到的公钥在一个叫做证书的东西里面,这个证书是用来标识服务器的身份的,它是由一个权威机构颁发的,客户端收到证书后,会进行校验是否可信,如果不可信,会及时停止后续流程。“那如何判断一个证书是否可信呢?”“帝国已经安装了可信证书,接下来你只需要调用API查看即可!”老周想了想,总觉得哪里不对。有问题,但我不能说。4.只有一个真理。连续几天下来,老周还是没有头绪,这件事就搁置了。福从不来,祸不单行。这个案子还没搞清楚,火狐又出事了。原来,361杀毒公司检测到Firefox偷偷启动了一个带有木马特征的进程。老周再次带队调查,火狐公司的小虎负责此事。老周来到火狐磁盘存放目录,打算先查一下木马文件的来源。“这是什么数据?”老周指着一叠文件问道。“周老师,这是网页缓存数据。”小虎回答道。“打开看看,能不能发现一些被攻击的痕迹?”老周看了看四周,指着另一堆文件问道:“这又是什么资料?”“周总,这是一堆证书信息,HTTPShandshake应该和这次攻击没有关系,”小虎继续解释道。“为了认证?帝国不是存有可信证书吗?为什么要保存证书信息?”老周有些疑惑。“帝国存储的可信证书,我们不认可,谁知道里面放的是什么证书,太不靠谱了,我们火狐浏览器公司自己做认证,不需要那一套。”小虎有些得意的说道。听了小虎的回答,老周顿时愣住了。几毫秒后,他才发现自己从chrome里拿出了千都网的证书,打算让小虎看看。”小虎接过证件,仔细检查了一下,过了好一会才坚定的说道:“这证件有问题!老周眼前精光一闪,问道:“有什么问题吗?”它在受信任的列表中!再说了,我这边有一张千都网的缓存证书,根本不是这样的,肯定是假的,你看!”老周反复检查着这两张证书,不时点点头,之前困扰了很久的问题终于有了答案。“原来如此,真理只有一个!一定是有人把这个ABSafe权限安装在了帝国的信任列表上,从而忽悠了Chrome公司!被HTTPS中间人劫持!YES!”老周说完用力挥了挥拳头。周,你在说什么?我怎么听不懂?”看着老周自言自语,小虎一脸的问号。老周吩咐同行的老七继续调查,匆匆告别小虎离开了那天晚上,帝国可信根证书仓库出现了两个影子,“原来是有人删除了我们安装的根证书。”难怪我访问千都网时,Chrome浏览器报了警告,”其中一个胖黑影说道。细细的黑影捂住了胖子的嘴巴,“嘘,给我吹点风,我重新安装!”的细细的黑影踮起脚尖,从他怀里掏出一样东西。安检!”突然,一道光芒射了过来。原来老周一行人早就潜伏在这里了。“原来是半光大师您!千都网和淘宝网的广告也是你加的吧?”老周大声问道。肥瘦黑影对视一眼,老老实实解释了一切。彩蛋:“老齐,你有没有发现什么东西?”火狐公司案》、《老周,你还是再来吧,情况有点复杂》,想知道接下来会发生什么,请关注后续花絮……
