日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
“歷史遺留”漏洞:淺析新型SSL/TLS漏洞FREAK

最近安全研究人員發(fā)現(xiàn)一種新型SSL/TLS漏洞。預(yù)計(jì)在十年內(nèi),數(shù)以百萬(wàn)計(jì)的蘋果、安卓用戶訪問HTTPS網(wǎng)站時(shí)將可能遭受中間人進(jìn)而被竊取賬號(hào)和密碼,即使這些網(wǎng)站使用了加密傳輸也無(wú)濟(jì)于事。

目前成都創(chuàng)新互聯(lián)公司已為上千多家的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)頁(yè)空間、網(wǎng)站改版維護(hù)、企業(yè)網(wǎng)站設(shè)計(jì)、烏審網(wǎng)站維護(hù)等服務(wù),公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略,正道將秉承"和諧、參與、激情"的文化,與客戶和合作伙伴齊心協(xié)力一起成長(zhǎng),共同發(fā)展。

這個(gè)漏洞編號(hào)為CVE-2015-0204,人們將它命名為FREAK(Factoring Attack on RSA-EXPORT Keys)。黑客或情報(bào)機(jī)構(gòu)能借此強(qiáng)迫客戶端使用低版本且包含漏洞的加密方式,包括美國(guó)的出口級(jí)密鑰——512位的RSA密鑰。

FREAK漏洞是由法國(guó)國(guó)家信息與自動(dòng)化研究所(Inria)和微軟的研究人員共同發(fā)現(xiàn)的。為此,他們?cè)芯苛薕penSSL v1.01k及之前的協(xié)議版本,以及蘋果的安全傳輸機(jī)制。

90年代的暗箱操作

90年代,美國(guó)政府要求在貨物出口前,要求出口產(chǎn)品和設(shè)備進(jìn)行“暗箱操作”——必須使用弱加密的“出口級(jí)”加密方式,這種加密方式可以便于情報(bào)機(jī)構(gòu)和特殊機(jī)構(gòu)破解利用。當(dāng)時(shí)只有美國(guó)本土的產(chǎn)品才能使用更強(qiáng)壯的加密方式。

雖然后來(lái)這一“政治需求”間諜手段已被廢棄,但是多少年過去了,這種弱加密的“出口級(jí)”加密方式依然存在,于是形成了FREAK漏洞。

現(xiàn)在,F(xiàn)REAK漏洞讓黑客能夠輕松解密網(wǎng)站的私鑰和加密密碼,登錄cookie,以及其他HTTPS傳輸?shù)臋C(jī)密數(shù)據(jù)(比如賬號(hào)、密碼)。

約翰·霍普金斯大學(xué)-信息安全研究所的研究助理教授,在博客里總結(jié)了關(guān)于FREAK漏洞相關(guān)情況,并給我們展示了黑客如何借此施展中間人攻擊:

1.在客戶端發(fā)出的Hello消息中,它會(huì)請(qǐng)求標(biāo)準(zhǔn)的RSA加密

2.中間人攻擊者會(huì)改變請(qǐng)求內(nèi)容,轉(zhuǎn)而請(qǐng)求“出口級(jí)的RSA加密”

3.服務(wù)端會(huì)回饋一個(gè)512比特位的出口級(jí)的RSA密鑰,并使用自己的密鑰簽名

4.由于OpenSSL/Secure傳輸?shù)腷ug,客戶端會(huì)接受這個(gè)存在漏洞的密鑰

5.黑客通過分析RSA模量還原相應(yīng)的RSA密鑰

6.當(dāng)客戶端加密“pre-master secret”這樣的消息,并發(fā)送給服務(wù)端時(shí),黑客便可以通過獲得的RSA密鑰解密,改為“master secret”

7.從這一步起,黑客可以看見明文,然后對(duì)其內(nèi)容任意進(jìn)行修改

36%的SSL/TLS網(wǎng)站受到影響

當(dāng)我們對(duì)超過1.4億支持SSL/TLS的網(wǎng)站進(jìn)行掃描后,發(fā)現(xiàn)其中至少有36%的個(gè)體存在該漏洞,并支持出口級(jí)RSA加密。

在上世紀(jì)90年代,破解512位的密鑰需要出動(dòng)超級(jí)電腦。而今天,我們只需要花費(fèi)7小時(shí)+約100美金,就可以輕松搞定這種加密機(jī)制。

如果用戶正在使用一個(gè)含有漏洞的設(shè)備,我們可以嘗試?yán)肍REAK漏洞對(duì)它進(jìn)行攻擊?,F(xiàn)在像安卓、蘋果手機(jī),以及運(yùn)行OS X系統(tǒng)的蘋果Mac電腦,如果該設(shè)備含有SSL/TLS協(xié)議漏洞,即使使用HTTPS網(wǎng)站后依然可能遭受中間人攻擊。好在Windows和Linux用戶,目前并未受到該漏洞影響。

FREAK漏洞與POODLE(貴賓犬)漏洞的相似性

FREAK與POODLE這兩個(gè)漏洞還是有一定的相似性的,POODLE是利用安全套件進(jìn)行降級(jí)回退攻擊,強(qiáng)迫終端使用低版本SSL/TLS;而FREAK則只影響那些使用出口級(jí)RSA加密算法的版本。

安全研究人員們正在維護(hù)一個(gè)含有漏洞的網(wǎng)站列表,并鼓勵(lì)網(wǎng)站管理員啟用向前保密(一對(duì)一限制訪問),并且禁用對(duì)出口級(jí)套件的支持,其中包括所有已知的不安全加密機(jī)制。

您也可以使用在線SSL FREAK測(cè)試攻擊,檢測(cè)網(wǎng)站是否存在漏洞。

蘋果和谷歌計(jì)劃修復(fù)FREAK漏洞

谷歌公司表示安卓已經(jīng)把補(bǔ)丁下發(fā)到合作廠商。同時(shí)谷歌也號(hào)召所有網(wǎng)站管理員,禁用對(duì)出口級(jí)認(rèn)證的支持。而蘋果公司也對(duì)此進(jìn)行了回應(yīng),并表示:“我們下周進(jìn)行軟件升級(jí)時(shí),會(huì)對(duì)iOS和OS X系統(tǒng)進(jìn)行相應(yīng)的漏洞修復(fù)?!?/p>
網(wǎng)站欄目:“歷史遺留”漏洞:淺析新型SSL/TLS漏洞FREAK
文章地址:http://www.5511xx.com/article/cdcjihs.html