世界上最堅(jiān)固的網(wǎng)站,也有可能被攻擊

責(zé)任編輯:editor007

作者:史中·方槍槍

2016-03-03 21:25:22

摘自:雷鋒網(wǎng)

早在90年代“https”協(xié)議被網(wǎng)景公司創(chuàng)立以來(lái),就有安全研究員開(kāi)發(fā)出了一種方法,這種方法的原理大概是:正是這個(gè)被無(wú)數(shù)黑客研究的全球最大的密碼庫(kù)被曝出漏洞,這個(gè)漏洞讓黑客輕松破解加密協(xié)議。

即使是世界上最堅(jiān)固的網(wǎng)站,也有可能被攻擊。

最近,三大運(yùn)營(yíng)商劫持流量的事情讓很多互聯(lián)網(wǎng)公司群情激憤。面對(duì)傷痕累累的友商,阿里巴巴卻在一旁作壁上觀。因?yàn)槠湓谌ツ昃蛦?dòng)了淘寶、天貓等全站的協(xié)議加密。利用https協(xié)議讓網(wǎng)站和用戶之間的溝通全部采用密文傳輸。作為中間人的運(yùn)營(yíng)商看不懂雙方交流的內(nèi)容,自然沒(méi)有辦法插足了。

世界上最堅(jiān)固的網(wǎng)站,也有可能被攻擊

  【采用https協(xié)議加密的淘寶網(wǎng)】

不過(guò),一個(gè)最新爆出的漏洞顯示:即使是加密的網(wǎng)絡(luò)協(xié)議,仍然可以被破解。

加密協(xié)議的原理很簡(jiǎn)單,它的原理和二戰(zhàn)時(shí)的密碼電報(bào)類似。誰(shuí)知道密鑰,誰(shuí)就可以成功翻譯出訊息的內(nèi)容。于是,想方設(shè)法破解密碼,從而攻破加密協(xié)議一直是很多黑客的追求。早在90年代“https”協(xié)議被網(wǎng)景公司創(chuàng)立以來(lái),就有安全研究員開(kāi)發(fā)出了一種方法,這種方法的原理大概是:

1、黑客發(fā)送諸多請(qǐng)求,“拷問(wèn)”服務(wù)器,

2、服務(wù)器只需要回答“是”或“否”,

3、程序根據(jù)服務(wù)器的回答來(lái)猜出正確的密鑰。

不過(guò),這種方法隨著網(wǎng)絡(luò)協(xié)議的升級(jí)而變得不太靈光。

顯而易見(jiàn),加密協(xié)議的密鑰必須使用一個(gè)密碼庫(kù)。而加密協(xié)議使用的密碼庫(kù)名為“OpenSSL”。正是這個(gè)被無(wú)數(shù)黑客研究的全球最大的密碼庫(kù)被曝出漏洞,這個(gè)漏洞讓黑客輕松破解加密協(xié)議。

世界上最堅(jiān)固的網(wǎng)站,也有可能被攻擊

  【作為中間人,一旦破解加密協(xié)議,可以任意劫持雙方通信內(nèi)容】

這個(gè)漏洞的威力巨大,它可以直接干掉三分之一的全球最堅(jiān)固網(wǎng)站,有1150萬(wàn)臺(tái)服務(wù)器受到影響。包括阿里巴巴、雅虎、微博在內(nèi)的諸多網(wǎng)站都沒(méi)有幸免。使用這個(gè)漏洞,可以任意劫持網(wǎng)站和用戶之間的通信內(nèi)容。雙方究竟會(huì)看到什么信息,中間人是可以隨意決定的。例如:

如果你想下載一個(gè)應(yīng)用,攻擊者可以讓你看到中國(guó)移動(dòng)的廣告。

如果你想瀏覽一個(gè)網(wǎng)頁(yè),攻擊者可以讓你看到中國(guó)聯(lián)通的廣告。

如果你想使用一個(gè)App,攻擊者可以讓你看到中國(guó)電信的廣告

幸虧這個(gè)致命漏洞是被安全研究員發(fā)現(xiàn)的,如果它被中國(guó)的運(yùn)營(yíng)商發(fā)現(xiàn)。天吶,后果不堪設(shè)想。。。。。

研究人員的描述稱:

利用這個(gè)漏洞攻擊一個(gè)網(wǎng)站,整個(gè)攻擊過(guò)程不會(huì)超過(guò)八個(gè)小時(shí),攻擊成本大約在440美金左右。

而實(shí)際上,還沒(méi)有黑客利用這個(gè)漏洞發(fā)動(dòng)過(guò)真正的攻擊,而 OpenSSL 已經(jīng)發(fā)布了最新版本,修復(fù)了這個(gè)漏洞。鑒于無(wú)數(shù)黑客晝夜不眠地研究,加密協(xié)議很可能還會(huì)爆出新的漏洞。

所謂世界上最堅(jiān)固的網(wǎng)站,也許只存在于我們的想象之中吧。

世界上最堅(jiān)固的網(wǎng)站,也有可能被攻擊

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)