網(wǎng)絡(luò)安全問題已成為信息時代人們面臨的一個重要挑戰(zhàn)。網(wǎng)上犯罪和黑客活動日益猖獗,目前認(rèn)為較安全的SSL安全證書也在黑客攻擊下出現(xiàn)嚴(yán)重漏洞,那些人們認(rèn)為安全的網(wǎng)站不再安全。
安全漏洞
這種新式的可怕黑客攻擊發(fā)生在用戶電腦和網(wǎng)站之間。美聯(lián)社8月1日形容它“如同電話竊聽”。
7月30日在美國拉斯韋加斯舉行的年度“黑帽”大會上,黑客技術(shù)研究人員莫克西馬林斯派克、丹卡明斯基和倫薩薩曼演示了網(wǎng)絡(luò)瀏覽器在對可疑網(wǎng)站進(jìn)行攔截方面的弱點。
三名研究人員得出一致結(jié)論:網(wǎng)絡(luò)瀏覽器與SSL安全證書合作存在嚴(yán)重漏洞。SSL安全證書使用密鑰對傳送數(shù)據(jù)加密,目前廣泛應(yīng)用于銀行、電子商務(wù)和其他一些涉及個人機(jī)密的網(wǎng)站中。
美國國土安全部顧問杰夫莫斯說,黑客必須進(jìn)入受侵計算機(jī)網(wǎng)絡(luò)才能實施這種新式的黑客攻擊,這種攻擊方式減緩了攻擊有效性。
但他同時警告說,一旦攻擊成功,后果不堪設(shè)想!斑@種攻擊可謂致命。你可以獲取計算機(jī)中所有信息,對整個產(chǎn)業(yè)而言,這是一個巨大的警鐘”。
運(yùn)作原理
如果這種新式黑客攻擊成功滲透到聯(lián)網(wǎng)計算機(jī)中,就能利用計算機(jī)和用戶認(rèn)為可靠的網(wǎng)站建立一個竊取系統(tǒng),并獲得信用卡賬號、密碼等關(guān)鍵數(shù)據(jù)。
更可怕的是,黑客可以控制侵入計算機(jī)的自動更新系統(tǒng),然后令計算機(jī)自動安裝來自黑客網(wǎng)站的惡意代碼,而計算機(jī)會默認(rèn)這是生產(chǎn)商提供的軟件進(jìn)行自動更新。
SSL安全證書在用戶訪問網(wǎng)站時會進(jìn)行驗證,如果沒有通過驗證瀏覽器會阻止打開網(wǎng)站。但黑客行為可以使瀏覽器誤認(rèn)為進(jìn)入安全站點,使安全證書失去意義。
這種新式黑客攻擊屬于“中間人攻擊”的一種。中間人攻擊指黑客將自己植入受侵入計算機(jī)和合法網(wǎng)站之間,通過計算機(jī)與網(wǎng)站的聯(lián)系竊取數(shù)據(jù)。
廣泛使用的安全證書使人們確信那些涉及個人機(jī)密的網(wǎng)站安全,但這種新式黑客攻擊讓安全性大打折扣。
各方反應(yīng)
瀏覽器制造商和出售SSL安全證書的公司正在紛紛采取緊急措施彌補(bǔ)漏洞。
美國微軟公司稱正在調(diào)查這個漏洞。微軟生產(chǎn)的IE瀏覽器在全世界應(yīng)用范圍最廣。生產(chǎn)火狐瀏覽器的Mozilla公司則稱最新版本的火狐瀏覽器已將漏洞修補(bǔ),其他火狐瀏覽器的防漏洞補(bǔ)丁將在幾日內(nèi)發(fā)布。
作為最大SSL安全證書生產(chǎn)商之一,美國VeriSign公司聲稱自己的安全證書不易受黑客攻擊。公司產(chǎn)品市場經(jīng)理蒂姆卡倫說,黑客無法攻擊增強(qiáng)型SSL(EV SSL)安全證書,它采用更為嚴(yán)格驗證方式,價錢也更貴。
SSL專家喬恩米勒預(yù)計未來幾個月這種新式黑客攻擊會展開,利用偽造網(wǎng)站騙取用戶機(jī)密的犯罪也會隨之增多。
“這還不是世界上最可怕的網(wǎng)絡(luò)攻擊,”他說,“它會變成一個極為嚴(yán)重的問題。”
Copyright ©1999-2024 chinanews.com. All Rights Reserved