加密網站被攻破 專家剖析安全性

網絡安全專家日前發現，一度被認為無懈可擊的應用於加密網站的SSL/TLS安全協議存在漏洞。不過，專家們表示，無需恐慌，因此真正攻破加密網站，需要在各環節上步步到位，而許多瀏覽器也在增加補丁。

 來自阿根廷的研究人員朱理安納‧瑞澤（Juliano Rizzo）與其越南同事Thai Duong首先發現目前被加密網站普遍使用的安全協議--傳輸層安全協議（transport layer security，簡稱TLS）1.0版存在漏洞，今年 9月他們在阿根廷舉行的Ekoparty安全會議上，演示了他們開發的用於測試的名為「野獸」BEAST（Browser Exploit Against SSL/TLS）的駭客軟件，該軟件能夠破解網上購物與銀行付費的加密信息。

 兩位研究者將其研究成果透露給加密網站設計公司，他們將對加密網站的漏洞進行探討，內容發布在ThreatPost的網絡安全新聞博客上，此博客由反病毒公司Kaspersky Lab運作。

 據悉一些瀏覽器像Opera，已經採取解決措施防止駭客這類攻擊。著名的購物網站PayPal在獲悉加密網站可能面臨的駭客攻擊時，立即發表聲明，表示正在審視其網站的加密技術，並加以改進。

「中間人」攻擊加密傳輸
駭客採用「中間人」（man-in-the-middle）的攻擊方式，根據區塊有選擇地攻擊純文本文檔，當被攻擊者瀏覽器發出純文本字段時，駭客乘機進入到加密的請求數據流中，從中找到共享的密碼。駭客軟件可以通過一些辦法，向目標者瀏覽器植入小文檔（cookies）。

 拿到這密碼後，「野獸」軟件就能夠將目標者加密的請求進行解密，包括加密小文檔（cookies），然後順理成章地攻克加密連接。整個過程緩慢，據悉「野獸」需要至少半小時才能攻破，才能攻破一有1000個字母關鍵詞的小文檔。

兩名研究人員還警醒同行，類似的駭客可能不僅攻擊網站瀏覽器，對於使用SSL加密傳輸數據的聊天或虛擬私人網絡，也面臨威脅。由於駭客軟件針對TLS 1.0版本下手，其前身SSL加密傳輸也同樣在劫難逃。
ThreatPost博客上，安全專家Dennis Fisher稱此漏洞將影響人們對加密網站的信心，未來可能影響到幾百萬加密網站的使用。

 雖然能找到漏洞的解決辦法，不過新補丁不是與所有的應用軟件兼容，行家建議最佳方案是升級加密安全協議。實際情況是，早在2006年新加密安全協議TLS新版本已經推出，然而大多數網站使用的傳輸方式只與TLS 1.0版本兼容。

安全隱患曾經被發現
早在1999年，SSL 3.0的安全隱患已經引起了專家關注，當時英國電信巨人BT公司首席安全技術官Bruce Schneier，加州大學伯克利分校David Wagner都指出，「SSL有許多未加密文件，可能讓竊聽者鑽空子，不過目前沒有找到解決辦法。」

 谷歌也宣布，會對其瀏覽器Chrome提供一補丁，預防可能發生的駭客攻擊。
2009年，TLS存在被中間人攻擊（man-in-the-middle）的漏洞被公佈，雖然IETF推出了補丁，不過SSL與其不兼容。

專家：無需恐慌 攻擊能被防範
索菲斯加拿大公司（Sophos Canada）的高級安全顧問威斯尼斯基（Chester Wisniewski），在聽到加密網站存在的此漏洞後，向CBC電視臺表示「無需恐慌」，他分析認為，駭客首先必須攔截用戶的傳送信息。

 他認為這種可能性不大，因為信息能夠被攔截，通常是用戶在使用公用WiFi網絡連接時，比如在機場或咖啡廳，而銀行通常不使用公共網絡傳送加密信息。
他還分析道，要想攻擊一加密網站，駭客必須在瀏覽器上安裝程序碼，而防病毒軟件通常會攔截，制止這類危險事情發生。

為Android手機系統提供安全軟件的Whisper Systems公司共同創辦人之一，電腦安全專家馬林斯百克（Moxie Marlinspike）不認為SSL/TLS應該淘汰，或者不安全。
馬林斯百克也提出，SSL/TLS安全協議存在一個更大的問題，就是該協議應用證書來認證加密網站的可靠性，如果用戶對這些加密網站公司知之甚少，可能被駭客藉此鑽空子。

 近幾個月，一名來自伊朗的駭客，攻破了兩個不同的網站證書，並發布一假證書進行盜竊或犯罪。他因此建議，加密網站可以使用多個證書，來認證其網站的可靠性，因為同時攻破兩個證書的幾率幾乎很小。
馬修‧瑞（Marsh Ray）為Phone Factor公司的軟件開發師，他曾經與上面發現SSL/TLS 1.0漏洞的研究人員交談過，瑞說目前還不能說SSL/TLS「被攻破了」。

瑞表示，儘管SSL/TLS安全協議被發現存在漏洞，不過他堅持相信要真正攻破它，也不是那麼容易的，「（駭客）必須在許多方面攻破才行。」
而許多瀏覽器已經採取措施，提供防止駭客的補丁，或由網站管理員採取一些補救辦法，減少被駭的可能。