4006-555-883

Twitter流量疑遭俄罗斯劫持!防劫持保安全SSL证书不可或缺

发布时间:2022-04-06 18:16:00
  日前,一家俄罗斯电信运营商在两个多小时内短暂地通告自己是Twitter流量的目的地,这可能是一起意外事件,也可能是一起企图劫持流量的事件。


  据悉,当日早些时候,俄罗斯运营商RTComm.ru开始通告104.244.42.0/24,这正是Twitter所使用的前缀。对此,国际IT网络安全培训组织表示,劫持边界网关协议(BGP)前缀是阻止访问的一种方式,但它也可以用来拦截发送到相应IP地址的流量。

  流量被加持,根源在不安全协议


  事件发生后,美国联邦通信委员会(FCC)在调查公告特别指出,俄罗斯网络之前的行为很可疑。FCC写道:“俄罗斯网络运营商之前被怀疑过利用BGP的漏洞来劫持流量,包括在未给出解释的情况下通过俄罗斯重定向流量。”


  该事件再度暴露了BGP的固有缺陷。作为一种历史悠久的协议,BGP(边界网关协议)于1990年首次发布并应用于互联网世界,与许多互联网的基础协议一样,BGP设计当初并未考虑到更多的安全性,因而通过BGP劫持可用于破坏网络或拦截流量。

  BGP劫持是指攻击者恶意改变互联网流量的路由。攻击者通过错误地宣布他们实际上并不拥有的IP地址组(称为IP前缀)的所有权来实现这一点。通俗来讲,BGP劫持就像是有人在高速公路上改变所有的标志,将汽车指向错误的出口。

  由于BGP劫持,互联网流量可能被监控或拦截。通常来看,流量只会占用不必要的长路径,从而增加延迟;但在糟糕的情况下,BGP劫持会作为中间人攻击的一部分将用户重定向到虚假网站以窃取数据

  部署SSL证书,实现HTTPS传输加密


  BGP协议是用来控制信息流量在互联网流动的,是全球服务器提供商(SP)和本地服务器提供商给用户们提供的。BGP协议虽然解决了人与服务器的交流问题,但同时也面临着信息泄露、流量被劫持等隐患。

  随着互联网的高速发展和全民网络安全意识的逐步增强,越来越多的网站开始采用HTTPS这一更为安全的网络传输协议。HTTPS通过为服务器部署SSL证书而得来,相比于其他网络传输协议,HTTPS不仅可以提供更加优质的信息保密,还可以防止流量被劫持。


  当网站部署SSL证书,升级为HTTPS协议后,假设网络黑客劫持了网站域名解析,浏览器由于证书校验不通过,假站点返回的内容也不能正常展示,所以黑客的劫持就没有意义。

  值得注意的是,只安装了DV类型证书的网站会被通过BGP劫持导致SSL功能失效,攻击者甚至可以通过BGP劫持来申请DV类型证书。因此,一些重要领域如政府、金融类网站应当使用EV/OV型等更高级的SSL证书,以提升网站安全防护等级。这样一来,即使遇到SSL证书被劫持的情况,用户只要不随意信任来源不明的证书,就能牢牢掌握网站大门的钥匙,从而保证网站数据和流量的安全和完整。

  此外,每个SSL证书都包含有关证书所有者唯一的身份验证信息,可以帮助访问者快速识别服务器的真实身份,避免被钓鱼网站欺诈。同时,SSL证书还可帮助网站更好地保护网站数据独享,以及给予网站更高的搜索引擎权重


  需要说明的是,要为网站部署SSL证书,必须要向权威机构申请。即那些已经通过WebTrust国际安全审计认证,受各类操作系统、主流移动设备和浏览器信任的第三方电子认证服务机构。


  此外,在中国还需要有两个附加项,那就是要拿到工信部许可的《电子认证服务许可证》和国家密码管理局颁发的《电子认证服务使用密码许可证》,因为只有这样的权威电子认证机构,才有权利签发各类数字证书。

  当前,HTTPS依然是非常有效的流量劫持防范措施之一,无论是网络服务提供商还是广大网民,为保障自己的帐户安全和个人权益,都要形成使用HTTPS访问网站的习惯和意识,重要的网站更要及时部署权威机构颁发的SSL证书,才能确保网站关键数据的安全和完整。
最新发布
1
政府机构频遭黑客攻击,国密改造亟需加快推进
2
普京签署特殊“总统令”,关键信息基础设施成各国网络空间博弈主战场
3
首都网络安全日 | 数字经济时代,如何守护我们的网络安全?
4
俄罗斯5.8 TB数据遭黑客泄露,关键基础设施安全亟待加强
5
中共中央办公厅 国务院办公厅发文加强打击网络诈骗,SSL证书网络防护作用凸显
6
警惕!银行系统漏洞频发,国密改造亟需加快推进
7
4·15国家安全教育日 | 网络安全,你我共建
8
央视专题报道,2亿多网民遭遇信息泄露,如何应对网络安全“重灾区”?
9
Twitter流量疑遭俄罗斯劫持!防劫持保安全SSL证书不可或缺
10
证据曝光!美国对中国使用顶级网络武器!网络“镰刀”之下如何保护自己的安全?
相关推荐
红十字会网站超51万人信息被盗,加强网络安全时刻不能放松
战火蔓延,俄罗斯惨遭“断网”!国内网站备份国密证书刻不容缓!
十部委联合发文鼓励 国密算法证书迎来高速发展
中共中央办公厅 国务院办公厅发文加强打击网络诈骗,SSL证书网络防护作用凸显
形势将更严峻!DigiCert发布2022年度八大安全预测
松下集团发生数据泄露 及时部署SSL证书保障信息安全
当心!我国互联网持续遭受境外组织网络攻击,企业关键数据安全亟待加强
警惕!银行系统漏洞频发,国密改造亟需加快推进
频遭网络诈骗,是因为他们还不知道这个……
Twitter流量疑遭俄罗斯劫持!防劫持保安全SSL证书不可或缺