据外国媒体报道,研究员发现很多受SSL协议保护的网站都存在严重缺陷,攻击者可利用这些漏洞不知不觉中解密网络服务器和终端用户浏览器之间传输的数据。
这些漏洞存在于1.0版本和较早前TLS或是传输层安全中,它们都是SSL技术之后为互联网提供信用证明的基础。虽然TLS的1.1和1.2版本不容易被感染,但是它们几乎不被浏览器和网站支持,这样Paypal,Gmail等网站的数据传输就变得极为脆弱,容易被黑客利用。
本周即将在布宜诺斯艾利斯举行Ekoparty安全会议,届时研究员ThaiDuong和JulianoRizzo将宣布名为BEAST(BrowserExploitAgainstSSL/TLS)的概念验证代码。JavaScript的隐秘碎片与网络检漏器一起解密目标网页使用的cookies为受限用户授权。这种利用也不利于那些使用HSTS或HTTP严格传输安全的网站,尽管这些技术可以阻止特定网页加载(除非这些网页受SSL保护)。
Duong说,该代码样本会解密被用来访问PayPal账户的验证cookie。
类似加密的特洛伊木马 几乎所有在线实体都使用这样的系统来防止数据被解密以及验证网站,而也是能暴露该系统中严重缺陷的最新攻击。在过去几年里,MoxieMarlinspike和其他研究员记录下了通过诱骗系统去验证不可靠网站来获取数字证书的方式。
本月初,黑客在攻击验证机构DigiNotar后获取了Google.com和其他十几家网站的数字证书。然后伪造的证书被用到伊朗,目的是监视访问受保护Gmail服务器的人。
相反,Duong和Rizzo称他们通过破解SSL使用的基础加密找到了攻破SSL的方式,从而阻止非法用户通过HTTP地址窃取敏感数据。
“BEAST与大多数已公布的HTTP攻击不同,”Duong在其邮件中写道,“其他攻击关注的是SSL验证属性,而BEAST攻击的是协议的保密性。BEAST部署的第一次攻击其实是解密HTTP请求。” Duong和Rizzo就是去年发布了pointandclick工具的研究员,该工具暴露了加密数据并在使用开发架构的网页上执行任意代码。这一攻击利用的基础“加密paddingoracle”在目前他们进行的研究中已经不成问题。
相反,BEAST利用了TLS的漏洞执行了纯文本恢复攻击,该漏洞此前只是在理论上成立。理论上,攻击者可以操纵这一过程对纯文本数据块的内容进行猜测。
现在,BEAST解密一个加密cookie的字节需要花费两秒钟。这意味对PayPal攻击实施1000到2000个字符的验证cookie至少需要半小时。但是,这一技巧给使用较早TLS版本的网站带来了威胁,特别是Duong和Rizzo提到这一时间还可大大缩短。
而在Rizzo的邮件发出几天之后,这一时间就被缩减为10分钟内。
