加密網站被攻破 專家剖析安全性 - 資安
By Wallis
at 2011-11-06T16:32
at 2011-11-06T16:32
Table of Contents
(大紀元2011年11月03日訊 記者邱晨加拿大溫哥華報導)
網絡安全專家日前發現,一度被認為無懈可擊的應用於加密網站的SSL/TLS安全協議存在
漏洞。不過,專家們表示,無需恐慌,因為真正攻破加密網站,
需要在各環節上步步到位,而許多瀏覽器也在增加補丁。
來自阿根廷的研究人員朱理安納‧瑞澤(Juliano Rizzo)與其
越南同事Thai Duong首先發現目前被加密網站普遍使用的安全協議--傳輸層安全協議
(transport layer security,簡稱TLS)1.0版存在漏洞,
今年 9月他們在阿根廷舉行的Ekoparty安全會議上,演示了他們開發的用於測試的名為
「野獸」BEAST(Browser Exploit Against SSL/TLS)的駭客軟件,
該軟件能夠破解網上購物與銀行付費的加密信息。
兩位研究者將其研究成果透露給加密網站設計公司,他們將對加密網站的漏洞進行探討,
內容發布在名?ThreatPost的網絡安全新聞博客上,此博客由反病毒公司Kaspersky Lab
運作。據悉一些瀏覽器像Opera,已經採取解決措施防止駭客這類攻擊。
著名的購物網站PayPal在獲悉加密網站可能面臨的駭客攻擊時,
立即發表聲明,表示正在審視其網站的加密技術,並加以改進。
「中間人」攻擊加密傳輸
駭客採用「中間人」(man-in-the-middle)的攻擊方式,根據區塊有選擇地攻擊
純文本文檔,當被攻擊者瀏覽器發出純文本字段時,駭客乘機進入到加密的請求數據流
中,從中找到共享的密碼。駭客軟件可以通過一些辦法,向目標者瀏覽器植入cookies。
拿到這密碼後,「野獸」軟件就能夠將目標者加密的請求進行解密,包括加密cookies,
然後順理成章地攻克加密連接。整個過程緩慢,據悉「野獸」
需要至少半小時才能攻破,才能攻破一有1000個字母關鍵詞的小文檔。
兩名研究人員還警醒同行,類似的駭客可能不僅攻擊網站瀏覽器,
對於使用SSL加密傳輸數據的聊天或虛擬私人網絡,也面臨威脅。
由於駭客軟件針對TLS 1.0版本下手,其前身SSL加密傳輸也同樣在劫難逃。
ThreatPost博客上,安全專家Dennis Fisher稱此漏洞將影響人們對加密網站的信心,
未來可能影響到幾百萬加密網站的使用。
雖然能?找到漏洞的解?辦法,不過新補丁不是與所有的應用軟件兼容,
行家建議最佳方案是升級加密安全協議。實際情況是,
早在2006年新加密安全協議TLS新版本已經推出,
然而大多數網站使用的傳輸方式只與TLS 1.0版本兼容。
安全隱患曾經被發現
早在1999年,SSL 3.0的安全隱患已經引起了專家關注,
當時英國電信巨人BT公司首席安全技術官Bruce Schneier,
加州大學伯克利分校David Wagner都指出,「SSL有許多未加密文件,
可能讓竊聽者鑽空子,不過目前沒有找到解決辦法。」
谷歌也宣布,其瀏覽器Chrome提供一補丁,預防可能發生的駭客攻擊。
2009年,TLS存在被中間人攻擊(man-in-the-middle)的漏洞被公佈,
雖然IETF推出了補丁,不過SSL與其不兼容。
專家:無需恐慌 攻擊能被防範
索菲斯加拿大公司(Sophos Canada)的高級安全顧問威斯尼斯基(Chester Wisniewski),
在聽到加密網站存在的此漏洞後,向CBC電視臺表示「無需恐慌」,
他分析認為,駭客首先必須攔截用戶的傳送信息。
他認為這種可能性不大,因為信息能夠被攔截,通常是用戶在使用公用WiFi網絡連接時,
比如在機場或咖啡廳,而銀行通常不使用公共網絡傳送加密信息。
他還分析道,要想攻擊一加密網站,駭客必須在瀏覽器上安裝程序碼,
而防病毒軟件通常會攔截,制止這類危險事情發生。
為Android手機系統提供安全軟件的Whisper Systems公司共同創辦人之一,
電腦安全專家馬林斯百克(Moxie Marlinspike)不認為SSL/TLS應該淘汰,或者不安全。
馬林斯百克也提出,SSL/TLS安全協議存在一個更大的問題,
就是該協議應用證書來認證加密網站的可靠性,
如果用戶對這些加密網站公司知之甚少,可能被駭客藉此鑽空子。
近幾個月,一名來自伊朗的駭客,攻破了兩個不同的網站證書,
並發布一假證書進行盜竊或犯罪。他因此建議,加密網站可以使用多個證書,
來認證其網站的可靠性,因為同時攻破兩個證書的幾率幾乎很小。
馬修‧瑞(Marsh Ray)為Phone Factor公司的軟件開發師,
他曾經與上面發現SSL/TLS 1.0漏洞的研究人員交談過,瑞說目前還不能說SSL/TLS
「被攻破了」。瑞表示,儘管SSL/TLS安全協議被發現存在漏洞,
不過他堅持相信要真正攻破它,也不是那樣容易的,(駭客)必須在許多方面攻破才行。
而許多瀏覽器已經採取措施,提供防止駭客的補丁,
或由網站管理員採取一些補救辦法,減少被駭的可能。
新聞來源 : http://goo.gl/MNVRw
--
網絡安全專家日前發現,一度被認為無懈可擊的應用於加密網站的SSL/TLS安全協議存在
漏洞。不過,專家們表示,無需恐慌,因為真正攻破加密網站,
需要在各環節上步步到位,而許多瀏覽器也在增加補丁。
來自阿根廷的研究人員朱理安納‧瑞澤(Juliano Rizzo)與其
越南同事Thai Duong首先發現目前被加密網站普遍使用的安全協議--傳輸層安全協議
(transport layer security,簡稱TLS)1.0版存在漏洞,
今年 9月他們在阿根廷舉行的Ekoparty安全會議上,演示了他們開發的用於測試的名為
「野獸」BEAST(Browser Exploit Against SSL/TLS)的駭客軟件,
該軟件能夠破解網上購物與銀行付費的加密信息。
兩位研究者將其研究成果透露給加密網站設計公司,他們將對加密網站的漏洞進行探討,
內容發布在名?ThreatPost的網絡安全新聞博客上,此博客由反病毒公司Kaspersky Lab
運作。據悉一些瀏覽器像Opera,已經採取解決措施防止駭客這類攻擊。
著名的購物網站PayPal在獲悉加密網站可能面臨的駭客攻擊時,
立即發表聲明,表示正在審視其網站的加密技術,並加以改進。
「中間人」攻擊加密傳輸
駭客採用「中間人」(man-in-the-middle)的攻擊方式,根據區塊有選擇地攻擊
純文本文檔,當被攻擊者瀏覽器發出純文本字段時,駭客乘機進入到加密的請求數據流
中,從中找到共享的密碼。駭客軟件可以通過一些辦法,向目標者瀏覽器植入cookies。
拿到這密碼後,「野獸」軟件就能夠將目標者加密的請求進行解密,包括加密cookies,
然後順理成章地攻克加密連接。整個過程緩慢,據悉「野獸」
需要至少半小時才能攻破,才能攻破一有1000個字母關鍵詞的小文檔。
兩名研究人員還警醒同行,類似的駭客可能不僅攻擊網站瀏覽器,
對於使用SSL加密傳輸數據的聊天或虛擬私人網絡,也面臨威脅。
由於駭客軟件針對TLS 1.0版本下手,其前身SSL加密傳輸也同樣在劫難逃。
ThreatPost博客上,安全專家Dennis Fisher稱此漏洞將影響人們對加密網站的信心,
未來可能影響到幾百萬加密網站的使用。
雖然能?找到漏洞的解?辦法,不過新補丁不是與所有的應用軟件兼容,
行家建議最佳方案是升級加密安全協議。實際情況是,
早在2006年新加密安全協議TLS新版本已經推出,
然而大多數網站使用的傳輸方式只與TLS 1.0版本兼容。
安全隱患曾經被發現
早在1999年,SSL 3.0的安全隱患已經引起了專家關注,
當時英國電信巨人BT公司首席安全技術官Bruce Schneier,
加州大學伯克利分校David Wagner都指出,「SSL有許多未加密文件,
可能讓竊聽者鑽空子,不過目前沒有找到解決辦法。」
谷歌也宣布,其瀏覽器Chrome提供一補丁,預防可能發生的駭客攻擊。
2009年,TLS存在被中間人攻擊(man-in-the-middle)的漏洞被公佈,
雖然IETF推出了補丁,不過SSL與其不兼容。
專家:無需恐慌 攻擊能被防範
索菲斯加拿大公司(Sophos Canada)的高級安全顧問威斯尼斯基(Chester Wisniewski),
在聽到加密網站存在的此漏洞後,向CBC電視臺表示「無需恐慌」,
他分析認為,駭客首先必須攔截用戶的傳送信息。
他認為這種可能性不大,因為信息能夠被攔截,通常是用戶在使用公用WiFi網絡連接時,
比如在機場或咖啡廳,而銀行通常不使用公共網絡傳送加密信息。
他還分析道,要想攻擊一加密網站,駭客必須在瀏覽器上安裝程序碼,
而防病毒軟件通常會攔截,制止這類危險事情發生。
為Android手機系統提供安全軟件的Whisper Systems公司共同創辦人之一,
電腦安全專家馬林斯百克(Moxie Marlinspike)不認為SSL/TLS應該淘汰,或者不安全。
馬林斯百克也提出,SSL/TLS安全協議存在一個更大的問題,
就是該協議應用證書來認證加密網站的可靠性,
如果用戶對這些加密網站公司知之甚少,可能被駭客藉此鑽空子。
近幾個月,一名來自伊朗的駭客,攻破了兩個不同的網站證書,
並發布一假證書進行盜竊或犯罪。他因此建議,加密網站可以使用多個證書,
來認證其網站的可靠性,因為同時攻破兩個證書的幾率幾乎很小。
馬修‧瑞(Marsh Ray)為Phone Factor公司的軟件開發師,
他曾經與上面發現SSL/TLS 1.0漏洞的研究人員交談過,瑞說目前還不能說SSL/TLS
「被攻破了」。瑞表示,儘管SSL/TLS安全協議被發現存在漏洞,
不過他堅持相信要真正攻破它,也不是那樣容易的,(駭客)必須在許多方面攻破才行。
而許多瀏覽器已經採取措施,提供防止駭客的補丁,
或由網站管理員採取一些補救辦法,減少被駭的可能。
新聞來源 : http://goo.gl/MNVRw
--
Tags:
資安
All Comments
By Damian
at 2011-11-11T12:11
at 2011-11-11T12:11
By Olive
at 2011-11-15T17:13
at 2011-11-15T17:13
By Ingrid
at 2011-11-16T08:24
at 2011-11-16T08:24
Related Posts
2011年台灣反駭客技術與雲端安全會議
By Susan
at 2011-10-26T17:28
at 2011-10-26T17:28
資安初學
By Quintina
at 2011-10-21T00:31
at 2011-10-21T00:31
請問有「燒網路」軟體嗎?
By Daph Bay
at 2011-10-20T22:31
at 2011-10-20T22:31
關於CEH考試
By Annie
at 2011-10-16T07:49
at 2011-10-16T07:49
網站被流量攻擊,有解決方法嗎?
By Kumar
at 2011-10-15T21:35
at 2011-10-15T21:35