2011年11月9日 星期三

加密網站被攻破 專家剖析安全性

網絡安全專家日前發現,一度被認為無懈可擊的應用於加密網站的SSL/TLS安全協議存在漏洞。不過,專家們表示,無需恐慌,因此真正攻破加密網站,需要在各環節上步步到位,而許多瀏覽器也在增加補丁。

 來自阿根廷的研究人員朱理安納‧瑞澤(Juliano Rizzo)與其越南同事Thai Duong首先發現目前被加密網站普遍使用的安全協議--傳輸層安全協議(transport layer security,簡稱TLS)1.0版存在漏洞,今年 9月他們在阿根廷舉行的Ekoparty安全會議上,演示了他們開發的用於測試的名為「野獸」BEAST(Browser Exploit Against SSL/TLS)的駭客軟件,該軟件能夠破解網上購物與銀行付費的加密信息。
 兩位研究者將其研究成果透露給加密網站設計公司,他們將對加密網站的漏洞進行探討,內容發布在ThreatPost的網絡安全新聞博客上,此博客由反病毒公司Kaspersky Lab運作。
 據悉一些瀏覽器像Opera,已經採取解決措施防止駭客這類攻擊。著名的購物網站PayPal在獲悉加密網站可能面臨的駭客攻擊時,立即發表聲明,表示正在審視其網站的加密技術,並加以改進。

「中間人」攻擊加密傳輸
駭客採用「中間人」(man-in-the-middle)的攻擊方式,根據區塊有選擇地攻擊純文本文檔,當被攻擊者瀏覽器發出純文本字段時,駭客乘機進入到加密的請求數據流中,從中找到共享的密碼。駭客軟件可以通過一些辦法,向目標者瀏覽器植入小文檔(cookies)。
 拿到這密碼後,「野獸」軟件就能夠將目標者加密的請求進行解密,包括加密小文檔(cookies),然後順理成章地攻克加密連接。整個過程緩慢,據悉「野獸」需要至少半小時才能攻破,才能攻破一有1000個字母關鍵詞的小文檔。

兩名研究人員還警醒同行,類似的駭客可能不僅攻擊網站瀏覽器,對於使用SSL加密傳輸數據的聊天或虛擬私人網絡,也面臨威脅。由於駭客軟件針對TLS 1.0版本下手,其前身SSL加密傳輸也同樣在劫難逃。
ThreatPost博客上,安全專家Dennis Fisher稱此漏洞將影響人們對加密網站的信心,未來可能影響到幾百萬加密網站的使用。
 雖然能找到漏洞的解決辦法,不過新補丁不是與所有的應用軟件兼容,行家建議最佳方案是升級加密安全協議。實際情況是,早在2006年新加密安全協議TLS新版本已經推出,然而大多數網站使用的傳輸方式只與TLS 1.0版本兼容。

安全隱患曾經被發現
早在1999年,SSL 3.0的安全隱患已經引起了專家關注,當時英國電信巨人BT公司首席安全技術官Bruce Schneier,加州大學伯克利分校David Wagner都指出,「SSL有許多未加密文件,可能讓竊聽者鑽空子,不過目前沒有找到解決辦法。」
 谷歌也宣布,會對其瀏覽器Chrome提供一補丁,預防可能發生的駭客攻擊。
2009年,TLS存在被中間人攻擊(man-in-the-middle)的漏洞被公佈,雖然IETF推出了補丁,不過SSL與其不兼容。

專家:無需恐慌 攻擊能被防範
索菲斯加拿大公司(Sophos Canada)的高級安全顧問威斯尼斯基(Chester Wisniewski),在聽到加密網站存在的此漏洞後,向CBC電視臺表示「無需恐慌」,他分析認為,駭客首先必須攔截用戶的傳送信息。
 他認為這種可能性不大,因為信息能夠被攔截,通常是用戶在使用公用WiFi網絡連接時,比如在機場或咖啡廳,而銀行通常不使用公共網絡傳送加密信息。
他還分析道,要想攻擊一加密網站,駭客必須在瀏覽器上安裝程序碼,而防病毒軟件通常會攔截,制止這類危險事情發生。

為Android手機系統提供安全軟件的Whisper Systems公司共同創辦人之一,電腦安全專家馬林斯百克(Moxie Marlinspike)不認為SSL/TLS應該淘汰,或者不安全。
馬林斯百克也提出,SSL/TLS安全協議存在一個更大的問題,就是該協議應用證書來認證加密網站的可靠性,如果用戶對這些加密網站公司知之甚少,可能被駭客藉此鑽空子。
 近幾個月,一名來自伊朗的駭客,攻破了兩個不同的網站證書,並發布一假證書進行盜竊或犯罪。他因此建議,加密網站可以使用多個證書,來認證其網站的可靠性,因為同時攻破兩個證書的幾率幾乎很小。
馬修‧瑞(Marsh Ray)為Phone Factor公司的軟件開發師,他曾經與上面發現SSL/TLS 1.0漏洞的研究人員交談過,瑞說目前還不能說SSL/TLS「被攻破了」。
瑞表示,儘管SSL/TLS安全協議被發現存在漏洞,不過他堅持相信要真正攻破它,也不是那麼容易的,「(駭客)必須在許多方面攻破才行。」
而許多瀏覽器已經採取措施,提供防止駭客的補丁,或由網站管理員採取一些補救辦法,減少被駭的可能。

沒有留言:

張貼留言