13岁的SSL/TLS弱点以明文形式暴露敏感数据
相关标签: # 漏洞# 研究# 攻击# 信息# 黑客
这次袭击利用了一个13岁的弱点,在不太安全的地方Rivest Cipher 4(RC4)加密算法,这是目前最常用的流密码,用于保护互联网上30%的TLS流量。
成年礼袭击
这次袭击被称为“成年礼“,即使不在客户端和服务器之间进行中间人攻击(MITM),也可以执行,就像以前的大多数SSL攻击一样。
安防公司Imperva的研究员伊茨克·曼廷在一项名为在使用RC4时攻击SSL“在周四于新加坡举行的黑帽亚洲安全会议上。
成年礼攻击实际上利用了不变性弱点,“RC4密钥中使用的弱密钥模式从加密的SSL/TLS通信中泄漏纯文本数据在某些情况下,可能会将帐户凭据、信用卡数据或其他敏感信息暴露给黑客。
RC4伪随机流的不变性弱点使攻击者能够区分RC4流和随机性,并增加以明文形式泄漏敏感数据的概率。
"多年来,RC4[算法]的安全性一直受到质疑,尤其是其初始化机制,研究人员在一篇研究论文(pdf)中写道。
"然而,直到最近几年,这种理解才开始转变为要求退出RC4。在这项研究中,我们跟踪了[2013年RC4的研究],发现许多已知漏洞对使用RC4的系统的影响明显被低估。"
成年礼是第一个实际的Mantin说,对SSL的攻击只需要被动嗅探或窃听SSL/TLS加密连接,而不是中间人攻击。不过,研究人员表示,MITM攻击也可用于劫持会话。
如何保护自己
在等待一个“RC4的全面退役“管理员应该考虑以下步骤来保护自己免受RC4弱点的影响:
- Web应用程序管理员应在其应用程序的TLS配置中禁用RC4。
- 网络用户(尤其是超级用户)应该在浏览器的TLS配置中禁用RC4。
- 浏览器提供者应该考虑从他们的TLS密码列表中删除RC4。
在过去的许多年里,利用RC4的弱点,在SSL协议中发现了几个重要的漏洞,包括BEAST、POODLE和CRIME。尽管如此,互联网上仍有大量网站依赖RC4。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
