又一重大漏洞現(xiàn)身 “瘋怪”危及世界互聯(lián)網(wǎng)安全

責(zé)任編輯:editor006

2015-03-05 14:51:45

摘自:51CTO

攻擊者在加密連接的建立過程中進(jìn)行中間人攻擊,可以繞過SSL TLS協(xié)議的保護(hù),完成密鑰降級。上世紀(jì)90年代,破解512位密鑰需要大量計算;如今利用亞馬遜彈性計算云,則只需要大約7小時,花費(fèi)100美元。

安全專家警告,一個潛伏多年的安全漏洞將危及計算機(jī)與網(wǎng)頁間的加密連接,導(dǎo)致蘋果和谷歌產(chǎn)品的用戶在訪問數(shù)十萬網(wǎng)站時遭到攻擊,包括白宮、國家安全局和聯(lián)邦調(diào)查局的網(wǎng)站,并危及世界互聯(lián)網(wǎng)安全。

該漏洞被稱為“瘋怪”(Freak),是一個針對安全套接層協(xié)議(SSL)以及傳輸層安全協(xié)議(TSL)的漏洞。通過它,攻擊者將得以實(shí)施中間人竊聽攻擊。該漏洞危及到大量網(wǎng)站、蘋果的Safari瀏覽器、谷歌的Android操作系統(tǒng),以及使用早于1.0.1k版本的OpenSSL的用戶。

問題起源于美國在上世紀(jì)90年代早期施行的出口限制政策,它禁止了美國的軟件制造商向海外出口帶有高級加密功能的產(chǎn)品。當(dāng)出口限制政策放寬后,由于有些軟件仍舊依賴于舊版加密協(xié)議,出口版產(chǎn)品的加密功能依然沒有得到升級。瘋怪使得攻擊者能夠?qū)踩院軓?qiáng)的加密連接降級成“出口級”,從而使其易于攻破。

很多谷歌和蘋果的產(chǎn)品,以及嵌入式系統(tǒng)都使用OpenSSL協(xié)議,這些服務(wù)器和設(shè)備都將受到威脅。使用RSA_EXPORT加密套件的設(shè)備均有風(fēng)險,瘋怪(FREAK)漏洞的名稱正取自于“RSA_EXPORT素數(shù)攻擊”的英文首字母(Factoring attack on RSA-EXPORT Keys)。

攻擊者在加密連接的建立過程中進(jìn)行中間人攻擊,可以繞過SSL/TLS協(xié)議的保護(hù),完成密鑰降級。降級后的512位密鑰可以被性能強(qiáng)大的電腦破解。

又一重大漏洞現(xiàn)身 “瘋怪”危及世界互聯(lián)網(wǎng)安全

當(dāng)今的協(xié)議使用更長的加密密鑰,比如作為加密標(biāo)準(zhǔn)的2048位RSA。512位密鑰在20年前屬于安全的加密方法,但今天的攻擊者利用公有云服務(wù)將很容易破解這些短密鑰。

上世紀(jì)90年代,破解512位密鑰需要大量計算;如今利用亞馬遜彈性計算云,則只需要大約7小時,花費(fèi)100美元。

企業(yè)在修補(bǔ)漏洞方面動作迅速。蘋果和谷歌均表示,已經(jīng)開發(fā)了補(bǔ)丁,并將很快向用戶推送。CDN服務(wù)商Akamai公司的負(fù)責(zé)人表示,已經(jīng)對其網(wǎng)絡(luò)進(jìn)行修補(bǔ),但是很多客戶端仍暴露在風(fēng)險中。“我們沒辦法修補(bǔ)客戶端,但是我們可以通過禁用‘出口級’密碼來解決該問題。這個漏洞的起源在客戶端,我們已經(jīng)在和客戶聯(lián)系,讓他們進(jìn)行變更了”。

該漏洞由微軟研究院和法國國家信息與自動化研究所共同發(fā)現(xiàn)。關(guān)于瘋怪漏洞的學(xué)術(shù)論文將在今年五月份舉行的IEEE安全與隱私會議上發(fā)表。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號