DoSECU 安全报道 8月3日消息:安全研究专家在使用保证互联网通信安全的SSL(加密套接字协议层)加密协议的软件中发现了一些严重的漏洞。
周四在拉斯维加斯举行的黑帽大会上,安全专家公布了许多被用来威胁网站和浏览器之间网络流量安全的攻击类型。
专家称,此类攻击可以让攻击者窃取密码,劫持网络银行界面或者对包含恶意代码的火狐浏览器进行升级。
摆在面前的问题是许多浏览器执行的都是SSL加密协议,在X.509公共密钥基础架构系统中也使用SSL加密协议来管理数字证书,以此来判断网站是否值得信赖。
一位名为Moxie Marlinspike的安全专家向大家展示了使用一种零终止证书来截取SSL流量的方法。为了向大家展示攻击的发动过程,Marlinspike必须首先在本地区域网上安装它的软件。安装成功后,它会侦查SSL流量并出示他的零终止证书,以此来截取客户端和服务器之间的网络通信。此类中间人攻击是很难被发现的。
Marlinspike展示的攻击方法与另一种常见的攻击方式-SQL注入式攻击非常类似,SQL注入式攻击是将专门编译的数据发送到打算诱骗的程序上,欺骗用户去做正常不应该去做的事情。他还发现如果他为自己包含零字符串的互联网域创建证书(通常表示为a/0),一些程序就会曲解证书。
这是因为一些程序在看到零字符时就会停止阅读文本文件。这样以www.paypal.com .thoughtcrime.org发出的证书可能就会被理解为属于www.paypal.com。
Marlinspike表示,这个问题非常普遍,它会影响到IE浏览器,虚拟个人网络软件,电子邮件客户端,即时信息软件和火狐浏览器版本3。
问题比这个还要严重。安全专家Dan Kaminsky和Len Sassaman报告称,他们发现有很多网络程序都在依赖采用过时的MD2密码编译技术的证书,这项技术本身就是不安全的。Kaminsky表示,MD2加密技术目前仍然在采用,但是一个月内就会被攻击者破解。
Kaminsky称,MD2的计算法则在13年前就被VeriSign公司用在每个浏览器的核心根证书中。
VeriSign公司产品销售副总裁Tim Callan表示,VeriSign公司在5月停止使用MD2签署证书。
不过Kaminsky表示"大量网站还在使用这个根证书,因此我们确实无法完全弃用它"。
不过软件制造商会告知他们的产品并不信赖MD2证书;他们在对产品编程时会注意不受零终止攻击的威胁。不过迄今为止,火狐浏览器3.5版本是唯一打了零终止补丁的浏览器。
这是过去半年中SSL加密协议第二次受到审查。去年底,有专家发现了一种方法可以创建流氓认证授权,然后骗过被任何浏览器信赖的SSL加密协议。
Kaminsky和Sassaman表示SSL证书并不安全。所有的安全专家都认同用来管理SSL加密证书的x.509系统已经过时了,需要进行修订。