科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道路由交换面对严重的SSL安全漏洞 要如何应对?

面对严重的SSL安全漏洞 要如何应对?

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在90年代初,安全-套接字层(SSL)加密是全新的一项技术,美国国家安全局(NSA)希望确保他们能读“安全”的网站流量由外国公民。

来源:ZDNet网络频道【原创】 2015年3月10日

关键字: SSL 安全漏洞

  • 评论
  • 分享微博
  • 分享邮件

在90年代初,安全-套接字层(SSL)加密是全新的一项技术,美国国家安全局(NSA)希望确保他们能读“安全”的网站流量由外国公民。因此,美国国家安全局得到了网景同意部署40位加密在其国际版,同时节省了更安全的128位版本的美国版本。到2000年,规则改变,所有的浏览器可以使用更高的安全性的SSL。但老不安全的代码仍在使用,十五年后的今天,它回来咬我们。

华盛顿邮报今天报导,从IMDEA,欧盟研究小组密码学家; INRIA,法国调查公司;和微软研究院已经发现,“他们可能会迫使浏览器使用旧的出口级加密,然后破解过来的短短几个小时的过程中,一旦破解,黑客可以窃取密码和其他个人信息,并可能在发动更广泛的攻击该网站由自己接管一个页面上的元素,如Facebook的“喜欢”按钮。“

具体而言,该集团,自称SMACK,状态机AttCKS,发现了较弱的“出口级”加密的支持仍然烤众多的Web服务器,浏览器和其他SSL实现。其中数以百万计的网站的人,或静止的,容易受到“FREAK”(保理的RSA-EXPORT键攻击)攻击美国运通,Whitehouse.gov,FBI.gov,以及 - 噢讽刺! - 美国国家安全局网站。

华盛顿邮报报道,卡菲基恩Bhargavan,INRIA的研究人员说:“我们认为,当然,人们使用它停了下来。”他们错了。

纳迪亚Heninger,宾夕法尼亚大学一个密码,告诉邮报,“这基本上是从上世纪90年代一个僵尸...我不认为任何人真正意识到人仍然支持这些出口套房。”

Heninger,谁一直在努力破解过时的40至512位的RSA加密密钥,发现“她能破解约七个小时出口级的加密密钥,使用亚马逊网络服务的计算机。”一旦完成,这使得黑客很容易使“人在这方面的中间人”的破解网站的攻击。

你猜怎么着?超过三分之一的“加密”网站,根据密歇根大学的研究人员亚历克斯J.和黑尔德曼扎基尔Durumeric大学做试验,是开放的怪胎攻击。具体来说,OpenSSL和苹果TLS / SSL客户端,如Safari网络浏览器很容易受到FREAK。当使用这些程序,这是比较简单的,从“强”RSA降级到易打破“出口级”RSA他们的“安全”的连接。

所有这一切都发生了,因为是马修•格林,约翰霍普金斯大学密码专家和研究教授,简洁所说的那样,美国国家安全局确信,早期的“SSL协议本身是故意设计被打破。”

而且,现在,它已经。只是,它现在开放给任何人基本密码破译智慧和容易获得的计算机资源被打破。关键的问题是,OpenSSL和Safari浏览器都包含错误,导致他们接受“RSA出口级按键即使客户没有要求出口级RSA。”

网站,只有一般来说创建每个会话建立一个出口级RSA密钥。他们,如Apache与mod_ssl的,然后再使用该键,直到Web服务器重新启动。因此,如果你打破一个网站一次,机会是你已经数天,数周,甚至数月破了进去。

许多是“FREAKable”的网站似乎是在内容分发网络(CDN)■如Akamai的。这就是为什么,例如,美国国家安全局网站是弱势的原因。 Akamai的正在努力修复它的Web服务器。

OpenSSL的问题,CVE-2015-0204,已经修补了最新的OpenSSL发行。 1.02。如果你还没有打补丁的OpenSSL最近,做到这一点。现在就这样做。请与您的操作系统的分销商或自己编译的代码。

苹果据报工作的问题,但没有补丁已经发布但对于Safari浏览器。现在,使用Chrome或Firefox浏览器。如果你使用的是Android设备上,你应该使用Android浏览器的Chrome浏览器,而不是在补丁程序之前,因为此时它已被释放。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章