今天从校内访问IEEE等部分数据库时报502错误,无法访问了。左上角还有一把红锁,提示不安全的访问。 动手解决一下这个问题!
502 原因 可能部分同学还有印象,图书馆在5月25号左右升级了部分数据库的访问方式,当时访问IEEE和万方等部分数据库的时候,会跳转一个“ 图书馆电子资源远程访问云系统”,然后就会要求安装一个根证书 。
此处假装有图.jpg (因为学校的服务器挂了,所以没办法截图了=_=) 首先要说明的是,“安装并信任根证书”这件事情是存在很大的安全隐患的, 具体原因后面再谈。
经过分析,图书馆是将内网DNS服务器中IEEE和万方等数据库的解析指向了校内服务器202.119.70.14
被劫持的DNS解析 目的地为校内服务器 这次无法访问是由于校内的代理服务器出问题了 (并不是IEEE出了问题),因此我们只要将解析重新指向正确的官方服务器 ,绕过校内服务器就可以解决该问题。
解决方案 我们可以采用修改HOSTS文件 ,使被劫持的数据库强制解析到正确的服务器即可。如果动手能力强,也可以通过搭建个人DNS服务器等高端操作来绕过不能用的代理服务器。
自动处理 通过一个简单的批处理文件,可以自动添加正确的解析到HOSTS文件,同时可以删除 polyinfo 的根证书。
点击阅读原文 或手动复制下方链接到浏览器,通过 Github 下载自动修复文件Unblock_DNS_Hijacking_v0.1.bat
https://github.com/PaimonL/Unblock-DNS-Hijacking-of-NUAA-Lib/releases/
Github 下载后运行,脚本会请求管理员权限,请授予。
先选择0, 会清除polyinfo根证书(Firefox用户需要按照手动处理中的对应步骤多做一步),该操作会自动下载Windows的证书管理工具Certmgr.exe,如遇安全软件拦截,请放心放行。如不放心,也可手动下载Certmgr.exe并放置到脚本同目录下。
再选择1, 会添加正确的解析到HOSTS文件,并刷新DNS缓存。
处理结束,重新访问IEEE即可发现恢复正常。
如果需要恢复系统初始的HOSTS文件,重新运行选择菜单2即可。
手动处理 解除DNS劫持 首先,恢复数据库的DNS解析到其对应的官方网站。
使用阿里公共DNS223.5.5.5119.29.29.29
使用阿里公共DNS获取的解析结果 IEEE由于部署了CDN,因此有多个IP ,有的IP访问可能较慢,选择一个较快的即可。
将查询到的IP写入系统 HOSTS 文件中。除了 IEEE 和万方,还找到了其他几个被劫持的数据库,一并恢复即可,下面是参考示例。
23.192 .245 .54 ieeexplore.ieee.org23.64 .185 .112 www.ieee.org122.115 .55 .6 wanfangdata.com.cn122.115 .55 .6 www.wanfangdata.com.cn52.83 .120 .240 vers.cqvip.com103.242 .173 .18 airitilibrary.cn103.242 .173 .18 www.airitilibrary.cn140.234 .254 .11 search.ebscohost.com140.234 .252 .103 ebscohost.com
修改 HOSTS 文件后,打开 Powershell 或 CMD,运行ipconfig flushdns
删除根证书 然后,还要干掉 polyinfo 的根证书,排除这颗隐藏的定时炸弹。
在系统证书管理器certmgr.msc
如果安装了 Firefox 浏览器,还需要在地址栏中打开about:preferences#privacy
Firefox证书管理器 解决完了问题,我们来看看为什么说“安装并信任根证书”这件事情是存在很大的安全隐患的 。
什么是根证书以及信任根证书的风险 什么是根证书 什么是根证书呢?WikiPedia 的解释是这样的。
在密码学和计算机安全领域,根证书(root certificate)是属于根证书颁发机构(CA)的公钥证书,是在公开密钥基础建设中,信任链的起点。证书颁发机构的角色有如现实世界中的公证行,保证网络世界中电子证书持有人的身份。具体作法是透过中介证书,利用数字签名为多个客户签发多个不同的终端实体证书,形成一个以其根证书为顶层的树状结构,在此传递关系中所有下层证书都会因为根证书可被信赖而继承信任基础。
简单来说,证书是当前互联网建立信任关系的基础 ,可以保证信息的保密性和不可篡改性 ,保证网络中的通信过程是安全的。
而根证书 可以决定哪些证书被操作系统或浏览器信任,“在公开密钥基础建设担任重要角色”。知乎用户@Ivony 在2013年的一个回答通俗解释了证书和根证书的作用:
证书这货到底是什么东西:
在早期的互联网时代,我们的网站、软件,都是依赖于我们自己的信任 而使用的。
例如我有一套游戏的安装程序,你从我这边拷贝过去,然后安装玩。你之所以认为这个程序能够安装游戏而不是把你的硬盘格了,完全是依赖于我告诉你的。
网站也是同理,我知道http://cmbchina.com这个地址是招商银行,是因为招行营业厅的MM告诉我的,我信任营业厅的这个MM。
这种信任是非常薄弱和糟糕的,病毒、木马就是在这种环境下肆虐横行。你从我这边拷贝的游戏安装程序,可能已经被病毒侵袭,它当然还是可以安装游戏,但同时也会安装病毒!
营业厅的MM有可能是招行的员工,也可能是个卖保险的。尽管她大概不会给我一个钓鱼的网站,但是经常会给我推销一些完全用不到的保险啥的。
在继续讨论之前,我要引入一个新的概念,信任链 。
拿刚才的例子来说,你从我这边拷贝了一份游戏的安装程序。信任链是这样的:
很显然,这么长的一个信任链,中间出现问题的可能性是非常大的。可以说,信任链越长,就越不安全 。
同时,因为这一份程序在这么多人之间拷贝分发,任何一个环节感染病毒,都会导致下游所有的环节感染病毒。
证书是如何解决这两个问题的 ?
证书有两个功能:身份标识 ,证明这个网站/软件/其他的发布者是谁(如微软、UBI、Google、招行)。数字签名 ,确保这个网站/软件/等等的内容没有被任何人篡改。
第一个功能解决了信任链的问题,通过证书,我们的信任链可以变得非常的简单:用户 信任 发行者。它是使用正确的UBI的证书签名 的,那么我就可以完全的信任 这个程序,可以给我安装一个英雄无敌V的拷贝。
第二个功能则杜绝了在分发过程中被篡改,植入病毒和木马的可能。
那么,我是怎么知道这个证书是UBI的呢?换言之,我是怎么知道哪个证书是正确的UBI的证书,而不是隔壁王二狗子自己冒充的呢?
这就依赖于证书颁发体系 了。
几乎网络上所有的证书(除去用于个人用途的自签名证书以及根证书颁发机构的证书),都是由某个证书颁发机构 颁发的。证书颁发机构负责核实证书申请者的真实身份 (例如我们公司网站申请SSL证书就需要提交公司营业执照的影印件,还有证明自己拥有网站域名的材料),以及吊销被泄漏和滥用的的证书。
也就是说证书颁发机构,就是证书所有者身份的确认人 。一旦你信任了某个证书颁发机构,就等于信任了这个证书颁发机构所颁发的所有证书的身份确认信息! 只会把确认好的身份信息展示给你!
神马是根证书颁发机构?
证书颁发机构和域名一样,是一个树状的结构,全球有为数不多的几个根证书颁发机构。这些根证书颁发机构轻易不颁发证书,因为一旦根证书颁发机构的证书被泄漏,所有直接间接的证书,都会受到严重的影响。
所以,根证书颁发机构一般授权二级证书颁发机构颁发证书,一旦信任一个根证书颁发机构,等同于信任其下所有颁发的所有证书 ,以及其授权的二级证书颁发机构颁发的所有证书 。
信任根证书的风险 那么,安装并信任了不应被信任的根证书有什么风险呢?
风险之一在于“中间人攻击”(MITM)。
观察仔细的同学可能曾经注意到,使用HTTPS协议访问受信任的网站时,浏览器地址栏的最左侧会有一个小绿锁,这说明当前的访问是安全的,是经过SSL加密的,不会有人获取到你的通信数据,不被任何第三方窃取和监听。
连接是安全的 而MITM是一种常见的网络入侵手段,主要目的是窃取HTTPS传输过程中的内容。
中间人攻击在计算机安全领域中是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制 。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容 。
具体的做法是通过网络劫持,在用户与目标网站之间加设代理服务器 。由于HTTP协议传输过程中是不加密的,所以可以窃取所有传输的资料并进行篡改。加密 ,并且对服务器进行身份验证 ,所以简单的网络劫持加设代理便宣告无效。某个用户信任的根证书颁发机构 ,给这个加设的代理服务器进行身份认证,并提供传输加密。 那么用户通过HTTPS协议访问网站时不会有任何的异样,而以为是安全的。
一旦MITM攻击成功,那就意味着所有的网络流量都不应被信任,都有可能被第三方监听甚至篡改。也就是你访问的网站的所有具体内容都会被第三方看到,甚至可以修改通信内容,返回错误的、广告或者恶意内容。
另一种风险是可以用于钓鱼网站的伪造。
证书可以保证你访问的网站是正确的网站,而不是钓鱼或假冒站点,因为网站的证书是无法被伪造的,如果被伪造,浏览器就会提示不安全。
访问被劫持后的IEEE,浏览器提示不安全 但是,如果信任了某个根证书颁发机构之后,再由该机构签发伪造的证书,那么浏览器便会认为该钓鱼网站是受信任的,不会有任何风险提示。
当然,证书的应用远不止网站,其还可以用于邮件、驱动签名、软件分发 等各种方面。
例如在安装软件并请求管理员权限时,系统会显示发布者信息,校验发布者是否可信,安装包是否被篡改等。我们可以点击“显示证书信息”来查看证书详情。如果信任了某个根证书后,那么该证书链下的所有证书都会被信任,可以实现篡改软件或驱动安装包,植入恶意代码而仍被系统信任。
微信安装时的提示 腾讯的证书 图书馆的根证书 先来看看图书馆让我们安装的根证书到底是个啥东西。
为了得到这个问题的答案,我冒险安装了一下图书馆的根证书,来看一看此次被要求安装的根证书到底请求了什么权限。
安装之后,打开系统证书管理器certmgr.mscpolyinfo.com 的根证书 。
可以看到,其预期目的是“所有” ,那么这个“所有” 中包括什么呢?来仔细看一看。
Polyinfo根证书 可以看到,该证书除了服务器和客户端身份验证之外,还请求了许多不该请求且十分危险的权限 ,包括 Windows 的各种硬件驱动程序验证、BitLocker 和 Windows Hello 等加密验证、各种密钥验证、甚至 Windows 更新验证、内核模式代码签名等权限,已经远远超出了我们需要的“访问图书馆电子资源库”所需要的权限范围 。
这也是为什么一定要清除这个根证书的最根本的原因。 在获取了所有权限之后,危险性就例如:Windows系统的某个系统补丁、系统更新包经过某人恶意修改之后,签上 polyinfo 的证书,那么所有信任了 polyinfo 根证书的计算机都会认为该补丁是安全的,操作系统将无从得知补丁包已被篡改 。当然假设的这种事情也不一定是 polyinfo 亲自做的,但是由于 polyinfo 是根证书颁发机构,因此其下的所有签发的证书都会被信任,而因为证书私钥泄露造成灾难性后果在安全领域也不是少见的事情。
证书拥有的权限 好奇心又促使我去查了一下该证书的颁发机构 “polyinfo” ,百度可以检索到,该公司全名叫“北京恒通博联科技有限公司 ”,公司主页 http://www.polyinfo.net.cn/
北京恒通博联科技有限公司是一家高新技术企业,拥有世界领先的网络通讯协议识别(DPI)、互联网数据采集、数据挖掘、海量数据分析 三大技术,公司的业务主要集中在网络流量分析控制和用户行为分析控制 、舆情监测、WEB页面信息推送、WEB行为模拟、IP电话监测、共享接入监测、P2P监测及控制、网络攻击溯源、海量数据存储与统计分析、复杂通讯协议(具有反识别能力)的识别、新媒体通信技术的产品销售和服务提供。
看起来是一家数据采集、数据挖掘和数据分析的公司。
我们用的正是其产品介绍中提到的“图书馆电子资源远程访问云系统 ”,这个产品的介绍如下。
对于学校而言,除了要保护信息安全的同时还需要实时监控在校师生的上网行为 ,通过分析他们的上网行为数据抓取特征,从而了解师生的生活状态及兴趣爱好 ,所以关于Https网站的相关数据一般的采集引擎都采集不到的,因此,我们针对这一情况,通过代理的方式,用户先访问到图书馆电子资源远程访问系统设备,由代理设备代替用户去访问实际的https电子资源网站。这样就可获取https协议这部分流量的相关内容,结合我公司的图书馆产品从而分析出用户想要的行为数据,方便用户的访问及统计行为数据,为将来的智慧图书馆及推荐系统提供相应的数据。
网站的产品介绍 通过介绍可以看到,其工作原理正是我们前面提到的MITM,通过代理服务器访问数据库。因为流量已经被代理服务器获取,因此必须要信任根证书才能获得浏览器的信任。但是,其介绍中提到的“实时监控在校师生的上网行为,通过分析他们的上网行为数据抓取特征,从而了解师生的生活状态及兴趣爱好 ”,让事情变得有趣了起来……
按照同样的方式,当然不仅仅可以让学术数据库的网站通过代理服务器,通过修改DNS解析,可以让任何网站 的流量都经过代理服务器,由于之前已经信任了根证书,因此整个行为都会被浏览器认为是可信的,不会有任何异常。
当然,也只是存在这样的风险隐患,目前并没有任何证据表明我们的行为数据已经被分析。 题外话,还有一件有意思的事情,在访问该公司官网的时候,其网站的js被火绒报毒了 ,但是由于不懂js,所以也无法具体分析其植入的是什么风险或恶意代码,有兴趣的同学可以去看看。
http://www.polyinfo.net.cn/templets/36/js/jquery.easing.1.3.js
被火绒报毒 更多关于因为根证书引起的安全问题,有兴趣的同学可以去检索了解 “CNNIC 根证书”“支付宝私自植入根证书” 等事件,CNNIC 和支付宝的证书权限跟 polyinfo 相同,都是CNNIC根证书被Mozilla、Google和微软吊销,支付宝如今也不再私自安装根证书 。
京公网安备 11010802041100号