Google 近日推出一款用以測試透過 SSL/TLS 協定加密連接對「中間人 (man-in-the-middle,MitM)」攻擊防禦性的工具。主要透過測試用戶端設定上各種可能出錯及未更新的系統,以測試加密連接的可靠性及將引致的風險。
更徹底地發現漏洞
儘管 SSL 及 TLS 的保安機制已頗為完善,但不少資安事件的出現其實都是因錯誤設定或缺乏定期更新所致。而 Google 近日推出的弱點測試工具「nogotofail」就可以檢視類似情況,並協助用戶撥亂反正。
事實上,nogotofail 已被 Google 內部沿用作為其 SSL/TLS 發掘工具有一段時間,早前就將 nogotofail 以開源計劃的形式上載到 GitHub 平台之上。
Google Android 部門安全工程師 Chad Brubaker 指,不少平台與裝置的預設保安設定其實已具相當的保安性,但市面上部分的應用程式與資料庫將覆蓋預設保安及相關設定,導致漏洞,甚至更惡劣的情況出現。
而 Nogotofail 就可以檢查到各種系統及設定中存在的 SSL/TLS 弱點,如因第三方 SSL/TLS 資料庫而衍生的漏洞等問題。Nogotofail 可被設定成網絡中的路由器、VPN 或代理伺服器,模擬 MitM 攻擊,從而觀察並記錄當中的數據。由於其運用深度檢測作為測量方式,藉此找出所有與 SSL/TLS 相關的流量,與市面上典型只監察與 SSL/TLS 相關端口的檢測方式相比,更有效亦更徹底。
Source:Google