HTTPS加密協議保護著世界上數百萬計的網站,然而現在出現一種新型的攻擊手段,可以讓黑客從加密的頁面中提取出郵件地址、某種類型的身份信息(credentials),這一過程通常只需短短的30秒。這項技術在周四的拉斯維加斯黑帽安全大會上得到了演示,在演示過程中黑客破解了網上銀行和電子商務網站使用SSL和TLS協議加密的響應信息。
整個攻擊提取到了像社會安全號、郵件地址、安全token以及密碼重置連接等特定的敏感數據。這種攻擊方法對所有版本的TLS和SSL都有效,不論使用什么樣的加密算法或密鑰(cipher)。
這種手段要求攻擊者能監聽用戶和網站之間的流量,并且攻擊者也需要誘導受害人訪問一個惡意鏈接。可以通過在網站上注入iframe標簽讓受害者訪問或引導受害人查看郵件,而其中的隱藏圖片在加載時就會生成HTTPS請求。惡意鏈接會讓受害者的計算機向目標服務器發送多個請求從而進行消息刺探。
“我們不會破解整個通信過程,只是提取了一些我們感興趣的機密信息”發明這種攻擊的3位研究員之一的Yoel Gluck如是說“這屬于一種
定向攻擊。我們只需在網站上找到一個需要進行口令或密碼交換的地方,我們就可以在那個頁面上提取到機密了。一般情況下,無論網頁還是Ajax響應中的機密我們都可以在30s內提取出來。”
這種最新式的攻擊讓那些用HTTPS加以保護的Web、email以及其他的網絡
服務的安全性蕩然無存。同時這種攻擊方法也成為了眾黑客們萬分追捧的新技術之一。然而目前還沒有任何攻擊者能完全突破HTTPS的安全防線。這種攻擊手法被稱為BREACH(Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext)
更多關于BREACH的內容請看:http://arstechnica.com/security/2013/08/gone-in-30-seconds-new-attack-plucks-secrets-from-https-protected-pages/
推薦閱讀
感謝思的投遞Google、牛津和寶馬等研發的自主駕駛汽車實際上都有人類>>>詳細閱讀
地址:http://m.sdlzkt.com/a/05/20130802/281735.html
網友點評
精彩導讀
科技快報
品牌展示