研究人員聲稱，一種名為“BREACH”的新型黑客技術(shù)熱辣出爐，能夠提取登錄令牌、會(huì)話ID以及其它來(lái)自SSL/TLS加密網(wǎng)絡(luò)流量的敏感信息。

機(jī)密數(shù)據(jù)如今已經(jīng)成為網(wǎng)上銀行與在線購(gòu)物體系的重要基礎(chǔ)，但新技術(shù)的出現(xiàn)能夠在短短30秒之內(nèi)解讀其具體內(nèi)容。

BREACH(全稱為‘超文本自適應(yīng)壓縮瀏覽器勘測(cè)與滲透’)針對(duì)常見Deflate數(shù)據(jù)壓縮算法展開攻擊，這種算法正是網(wǎng)絡(luò)通信帶寬的主要保護(hù)手段。新技術(shù)的靈感源自早期壓縮比信息泄露一點(diǎn)通(簡(jiǎn)稱CRIME)機(jī)制，二者都會(huì)對(duì)用戶的加密網(wǎng)絡(luò)請(qǐng)求進(jìn)行壓縮。

安全研究人員Angelo Prado、Neal Harris與Yoel Gluck在拉斯維加斯舉辦的黑帽大會(huì)上，披露了BREACH背后的代碼破譯調(diào)查結(jié)果。

三位研究人員發(fā)現(xiàn)，無(wú)論實(shí)際采用哪種加密算法或者密碼機(jī)制，BREACH都能給所有版本的TLS/SSL帶來(lái)巨大威脅。

攻擊者只需要提前通過(guò)欺詐標(biāo)記引導(dǎo)用戶在其控制下訪問(wèn)網(wǎng)站，就能夠不斷窺探受害者與網(wǎng)絡(luò)服務(wù)器之間的加密流量。

攻擊者利用陷阱網(wǎng)站中托管的腳本來(lái)推動(dòng)第二階段攻勢(shì)：受害者的瀏覽器會(huì)被迫反復(fù)訪問(wèn)目標(biāo)網(wǎng)站數(shù)千次，且每一次都會(huì)追加不同的額外數(shù)據(jù)組合。只要攻擊者控制下的字節(jié)與數(shù)據(jù)流中的任何原始加密字節(jié)相匹配時(shí)，瀏覽器的壓縮機(jī)制將介入以降低數(shù)據(jù)傳輸量，這個(gè)過(guò)程相當(dāng)于向攻擊者發(fā)出“已經(jīng)得手”的通知信號(hào)。

這種數(shù)據(jù)泄露威脅屬于甲骨文攻擊的一種，意味著竊聽者能夠以字節(jié)為單位將HTTPS交換中的電子郵件地址或者安全令牌拼湊出來(lái)。Ars Technica網(wǎng)站表示，至于整個(gè)攻擊過(guò)程需要耗時(shí)多久、發(fā)送多少請(qǐng)求才能成功，這取決于目標(biāo)機(jī)密信息的大小。

泄露出的數(shù)據(jù)中包含大量數(shù)據(jù)，足以支持攻擊者解密用戶想要保護(hù)的cookies或者其它目標(biāo)內(nèi)容。只要成功恢復(fù)機(jī)密驗(yàn)證cookies，就相當(dāng)于為攻擊者打開了一道偽裝成受害者并組織Web會(huì)話劫持等攻擊活動(dòng)的大門，英國(guó)計(jì)算機(jī)協(xié)會(huì)(簡(jiǎn)稱BCS)在一篇博文中指出。

新技術(shù)實(shí)際效果驚人，一切經(jīng)由SSL連接發(fā)出的令牌及其它敏感信息——包括電子郵件加密內(nèi)容以及電子商務(wù)網(wǎng)站上的一次性訂單指令——都可被破解并成為攻擊者的囊中之物。Prado、Harris和Gluck還發(fā)布了幾款工具，幫助大家測(cè)試自己的網(wǎng)站是否會(huì)被BREACH攻克。當(dāng)然，他們也在本屆黑帽大會(huì)上拿出抵御這類攻勢(shì)的技術(shù)。

安全工作不能依靠運(yùn)氣

BREACH還只是不斷擴(kuò)張的HTTPS(目前被視為互聯(lián)網(wǎng)安全通信的黃金標(biāo)準(zhǔn))加密攻擊手段中的一種，其它攻擊方案還包括CRIME、BEAST、Lucky 13等等。

在黑帽大會(huì)的討論環(huán)節(jié)中，安全研究人員們表示了自己的擔(dān)憂，認(rèn)為RSA及Diffie-Hellman等流行算法會(huì)由于機(jī)密分析及BREACH等攻擊手段的發(fā)展下而日漸孱弱。

“盡管目前跡象還不是很明顯，但為了保障安全，未來(lái)兩到五年內(nèi)RSA與非ECC Diffie-Hellman將很可能無(wú)法提供值得信賴的保護(hù)效果，”iSEC Partners業(yè)務(wù)部門Artemis Internet的Alex Stamos提醒道。“但這種情況并不一定會(huì)出現(xiàn)。”

卡巴斯基實(shí)驗(yàn)室的Threatpost博客針對(duì)這套攻擊機(jī)制展開了更多討論。Stamos并不是惟一一位對(duì)現(xiàn)有加密工具及技術(shù)表示擔(dān)憂的專家。雖然其執(zhí)行效果仍然可圈可點(diǎn)，但像RSA算法這樣的機(jī)制已經(jīng)存在了40年之久，未來(lái)的生命周期恐怕不會(huì)太長(zhǎng)。

Adi Shamir(RSA三大創(chuàng)始人中的‘S’)曾在今年三月的RSA大會(huì)密碼破譯者小組會(huì)議上，敦促安全研究人員盡早拿出可行的“后加密時(shí)代”安全保障方案。