(大紀元2011年11月03日訊 記者邱晨加拿大溫哥華報導） 網絡安全專家日前發現，一度被認為無懈可擊的應用於加密網站的SSL/TLS安全協議存在 漏洞。不過，專家們表示，無需恐慌，因為真正攻破加密網站， 需要在各環節上步步到位，而許多瀏覽器也在增加補丁。 來自阿根廷的研究人員朱理安納‧瑞澤（Juliano Rizzo）與其 越南同事Thai Duong首先發現目前被加密網站普遍使用的安全協議--傳輸層安全協議 （transport layer security，簡稱TLS）1.0版存在漏洞， 今年 9月他們在阿根廷舉行的Ekoparty安全會議上，演示了他們開發的用於測試的名為 「野獸」BEAST（Browser Exploit Against SSL/TLS）的駭客軟件， 該軟件能夠破解網上購物與銀行付費的加密信息。 兩位研究者將其研究成果透露給加密網站設計公司，他們將對加密網站的漏洞進行探討， 內容發布在名?ThreatPost的網絡安全新聞博客上，此博客由反病毒公司Kaspersky Lab 運作。據悉一些瀏覽器像Opera，已經採取解決措施防止駭客這類攻擊。 著名的購物網站PayPal在獲悉加密網站可能面臨的駭客攻擊時， 立即發表聲明，表示正在審視其網站的加密技術，並加以改進。 「中間人」攻擊加密傳輸 駭客採用「中間人」（man-in-the-middle）的攻擊方式，根據區塊有選擇地攻擊 純文本文檔，當被攻擊者瀏覽器發出純文本字段時，駭客乘機進入到加密的請求數據流 中，從中找到共享的密碼。駭客軟件可以通過一些辦法，向目標者瀏覽器植入cookies。 拿到這密碼後，「野獸」軟件就能夠將目標者加密的請求進行解密，包括加密cookies， 然後順理成章地攻克加密連接。整個過程緩慢，據悉「野獸」 需要至少半小時才能攻破，才能攻破一有1000個字母關鍵詞的小文檔。 兩名研究人員還警醒同行，類似的駭客可能不僅攻擊網站瀏覽器， 對於使用SSL加密傳輸數據的聊天或虛擬私人網絡，也面臨威脅。 由於駭客軟件針對TLS 1.0版本下手，其前身SSL加密傳輸也同樣在劫難逃。 ThreatPost博客上，安全專家Dennis Fisher稱此漏洞將影響人們對加密網站的信心， 未來可能影響到幾百萬加密網站的使用。 雖然能?找到漏洞的解?辦法，不過新補丁不是與所有的應用軟件兼容， 行家建議最佳方案是升級加密安全協議。實際情況是， 早在2006年新加密安全協議TLS新版本已經推出， 然而大多數網站使用的傳輸方式只與TLS 1.0版本兼容。 安全隱患曾經被發現 早在1999年，SSL 3.0的安全隱患已經引起了專家關注， 當時英國電信巨人BT公司首席安全技術官Bruce Schneier， 加州大學伯克利分校David Wagner都指出，「SSL有許多未加密文件， 可能讓竊聽者鑽空子，不過目前沒有找到解決辦法。」 谷歌也宣布，其瀏覽器Chrome提供一補丁，預防可能發生的駭客攻擊。 2009年，TLS存在被中間人攻擊（man-in-the-middle）的漏洞被公佈， 雖然IETF推出了補丁，不過SSL與其不兼容。 專家：無需恐慌 攻擊能被防範 索菲斯加拿大公司（Sophos Canada）的高級安全顧問威斯尼斯基（Chester Wisniewski）， 在聽到加密網站存在的此漏洞後，向CBC電視臺表示「無需恐慌」， 他分析認為，駭客首先必須攔截用戶的傳送信息。 他認為這種可能性不大，因為信息能夠被攔截，通常是用戶在使用公用WiFi網絡連接時， 比如在機場或咖啡廳，而銀行通常不使用公共網絡傳送加密信息。 他還分析道，要想攻擊一加密網站，駭客必須在瀏覽器上安裝程序碼， 而防病毒軟件通常會攔截，制止這類危險事情發生。 為Android手機系統提供安全軟件的Whisper Systems公司共同創辦人之一， 電腦安全專家馬林斯百克（Moxie Marlinspike）不認為SSL/TLS應該淘汰，或者不安全。 馬林斯百克也提出，SSL/TLS安全協議存在一個更大的問題， 就是該協議應用證書來認證加密網站的可靠性， 如果用戶對這些加密網站公司知之甚少，可能被駭客藉此鑽空子。 近幾個月，一名來自伊朗的駭客，攻破了兩個不同的網站證書， 並發布一假證書進行盜竊或犯罪。他因此建議，加密網站可以使用多個證書， 來認證其網站的可靠性，因為同時攻破兩個證書的幾率幾乎很小。 馬修‧瑞（Marsh Ray）為Phone Factor公司的軟件開發師， 他曾經與上面發現SSL/TLS 1.0漏洞的研究人員交談過，瑞說目前還不能說SSL/TLS 「被攻破了」。瑞表示，儘管SSL/TLS安全協議被發現存在漏洞， 不過他堅持相信要真正攻破它，也不是那樣容易的，（駭客）必須在許多方面攻破才行。 而許多瀏覽器已經採取措施，提供防止駭客的補丁， 或由網站管理員採取一些補救辦法，減少被駭的可能。 新聞來源 : http://goo.gl/MNVRw --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 203.73.55.123