(大纪元2011年11月03日讯 记者邱晨加拿大温哥华报导） 网络安全专家日前发现，一度被认为无懈可击的应用於加密网站的SSL/TLS安全协议存在 漏洞。不过，专家们表示，无需恐慌，因为真正攻破加密网站， 需要在各环节上步步到位，而许多浏览器也在增加补丁。 来自阿根廷的研究人员朱理安纳‧瑞泽（Juliano Rizzo）与其 越南同事Thai Duong首先发现目前被加密网站普遍使用的安全协议--传输层安全协议 （transport layer security，简称TLS）1.0版存在漏洞， 今年 9月他们在阿根廷举行的Ekoparty安全会议上，演示了他们开发的用於测试的名为 「野兽」BEAST（Browser Exploit Against SSL/TLS）的骇客软件， 该软件能够破解网上购物与银行付费的加密信息。 两位研究者将其研究成果透露给加密网站设计公司，他们将对加密网站的漏洞进行探讨， 内容发布在名?ThreatPost的网络安全新闻博客上，此博客由反病毒公司Kaspersky Lab 运作。据悉一些浏览器像Opera，已经采取解决措施防止骇客这类攻击。 着名的购物网站PayPal在获悉加密网站可能面临的骇客攻击时， 立即发表声明，表示正在审视其网站的加密技术，并加以改进。 「中间人」攻击加密传输 骇客采用「中间人」（man-in-the-middle）的攻击方式，根据区块有选择地攻击 纯文本文档，当被攻击者浏览器发出纯文本字段时，骇客乘机进入到加密的请求数据流 中，从中找到共享的密码。骇客软件可以通过一些办法，向目标者浏览器植入cookies。 拿到这密码後，「野兽」软件就能够将目标者加密的请求进行解密，包括加密cookies， 然後顺理成章地攻克加密连接。整个过程缓慢，据悉「野兽」 需要至少半小时才能攻破，才能攻破一有1000个字母关键词的小文档。 两名研究人员还警醒同行，类似的骇客可能不仅攻击网站浏览器， 对於使用SSL加密传输数据的聊天或虚拟私人网络，也面临威胁。 由於骇客软件针对TLS 1.0版本下手，其前身SSL加密传输也同样在劫难逃。 ThreatPost博客上，安全专家Dennis Fisher称此漏洞将影响人们对加密网站的信心， 未来可能影响到几百万加密网站的使用。 虽然能?找到漏洞的解?办法，不过新补丁不是与所有的应用软件兼容， 行家建议最佳方案是升级加密安全协议。实际情况是， 早在2006年新加密安全协议TLS新版本已经推出， 然而大多数网站使用的传输方式只与TLS 1.0版本兼容。 安全隐患曾经被发现 早在1999年，SSL 3.0的安全隐患已经引起了专家关注， 当时英国电信巨人BT公司首席安全技术官Bruce Schneier， 加州大学伯克利分校David Wagner都指出，「SSL有许多未加密文件， 可能让窃听者钻空子，不过目前没有找到解决办法。」 谷歌也宣布，其浏览器Chrome提供一补丁，预防可能发生的骇客攻击。 2009年，TLS存在被中间人攻击（man-in-the-middle）的漏洞被公布， 虽然IETF推出了补丁，不过SSL与其不兼容。 专家：无需恐慌 攻击能被防范 索菲斯加拿大公司（Sophos Canada）的高级安全顾问威斯尼斯基（Chester Wisniewski）， 在听到加密网站存在的此漏洞後，向CBC电视台表示「无需恐慌」， 他分析认为，骇客首先必须拦截用户的传送信息。 他认为这种可能性不大，因为信息能够被拦截，通常是用户在使用公用WiFi网络连接时， 比如在机场或咖啡厅，而银行通常不使用公共网络传送加密信息。 他还分析道，要想攻击一加密网站，骇客必须在浏览器上安装程序码， 而防病毒软件通常会拦截，制止这类危险事情发生。 为Android手机系统提供安全软件的Whisper Systems公司共同创办人之一， 电脑安全专家马林斯百克（Moxie Marlinspike）不认为SSL/TLS应该淘汰，或者不安全。 马林斯百克也提出，SSL/TLS安全协议存在一个更大的问题， 就是该协议应用证书来认证加密网站的可靠性， 如果用户对这些加密网站公司知之甚少，可能被骇客藉此钻空子。 近几个月，一名来自伊朗的骇客，攻破了两个不同的网站证书， 并发布一假证书进行盗窃或犯罪。他因此建议，加密网站可以使用多个证书， 来认证其网站的可靠性，因为同时攻破两个证书的几率几乎很小。 马修‧瑞（Marsh Ray）为Phone Factor公司的软件开发师， 他曾经与上面发现SSL/TLS 1.0漏洞的研究人员交谈过，瑞说目前还不能说SSL/TLS 「被攻破了」。瑞表示，尽管SSL/TLS安全协议被发现存在漏洞， 不过他坚持相信要真正攻破它，也不是那样容易的，（骇客）必须在许多方面攻破才行。 而许多浏览器已经采取措施，提供防止骇客的补丁， 或由网站管理员采取一些补救办法，减少被骇的可能。 新闻来源 : http://goo.gl/MNVRw --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 203.73.55.123