网络安全大型专题片《第五空间》第三集《真实的较量》:权威披露我国遭受“海莲花”侵袭和窃密
Leviathan Security Group首席执行官Frank Heidt说,他的“通用”概念验证代码可以用来攻击各种网站。虽然这种攻击非常难以实现 - 黑客首先必须首先实施中间人攻击,运行危害受害者网络的代码 - 这可能造成毁灭性后果。
攻击利用SSL(安全套接字层)身份验证差距错误,该错误最早在11月5日公布.SSH漏洞的发现者之一Marsh Ray在PhoneFactor说他看到了Heidt攻击的演示,并且他相信它可以工作。 “他确实向我展示了它,这是真正的交易,”Ray说。
[更多阅读:如何从Windows PC删除恶意软件]
SSL身份验证漏洞为攻击者提供了一种更改发送数据的方法到SSL服务器,但仍然无法读取返回的信息。 Heidt发送的数据导致SSL服务器返回重定向消息,然后将Web浏览器发送到另一个页面。然后,他使用该重定向消息将受害者移动到一个不安全的连接,在该连接中,Heidt的计算机可以将网页重写,然后将其发送给受害者。“Frank已经展示了一种利用这种盲目纯文本注入攻击的方法这是对浏览器与安全站点之间的连接的彻底折衷,“Ray说,”一个由互联网公司组成的联盟一直致力于解决这个漏洞,因为PhoneFactor开发者几个月前首次发现它。当错误被无意中披露在讨论列表中时,他们的工作变得更加迫切。上周,IBM研究人员Anil Kurmus展示了这个漏洞是如何欺骗浏览器发送包含用户密码的Twitter消息的。
上周,IBM安全专家一直在讨论这个最新的SSL漏洞的严重性。 Heidt说,这个最新的攻击表明,这个漏洞可能被用来从安全的网站窃取各种敏感信息。
易受攻击的网站需要在SSL下做一些称为客户端重新谈判的事情,可以生成特定的302重定向消息的安全网页。
许多备受瞩目的银行和电子商务网站都不会以可被利用的方式返回此重定向消息,但“大量的”网站可能会“海德特说,”由于有这么多网站冒着这个漏洞,Heidt说他不打算立即发布他的代码。“从受害者的角度来看,攻击期间唯一明显的变化是浏览器没有nger看起来好像连接到了SSL站点。此攻击类似于今年早些时候在安全会议上由Moxie Marlinspike [cq]演示的SSL Strip攻击。
Leviathan Security Group创建了一项工具,网站管理员可以使用该工具查看其网站是否存在SSL认证差距攻击
由于SSL及其替代标准TLS广泛用于互联网技术,因此这个漏洞具有深远影响。
G-Sec的安全顾问Thierry Zoller说,理论上,该漏洞可能被用来攻击邮件服务器。 “在即时消息访谈中,攻击者可能会通过安全的SMTP [简单邮件传输协议]连接发送邮件,即使这些邮件是通过私人证书进行身份验证的。”
Zoller没有看到Leviathan的代码,说,如果攻击是按照广告的形式进行的,那么只需要几天的时间,其他人就可以知道如何去做。