SSL/TLS協(xié)議是一個(gè)被廣泛使用的加密協(xié)議，而研究人員近日了曝出一個(gè)名為“受誡禮”的新型攻擊手段，能夠竊取通過SSL和TLS協(xié)議傳輸?shù)臋C(jī)密數(shù)據(jù)，諸如銀行卡號(hào)碼，密碼和其他敏感信息。

這種攻擊利用了一個(gè)RC4加密算法中的一個(gè)長達(dá)13年的漏洞。眾所周知RC4算法不怎么安全，但事實(shí)讓人大跌眼鏡——互聯(lián)網(wǎng)上30%的TLS流量加密使用的都是RC4算法。

受誡禮(BAR-MITZVAH)攻擊

這種攻擊方法被取名為“受誡禮(Bar-Mitzvah)”，與之前多數(shù)的SSL攻擊手段不同，這種攻擊甚至不需要在客戶端和服務(wù)器間實(shí)施中間人攻擊。

安全公司Imperva的研究員Itsik Mantin周四在新加坡舉行的Black Hat亞洲安全會(huì)議上展示了他的研究，題為《對使用RC4算法的SSL進(jìn)行攻擊》。

Bar Mitzvah攻擊實(shí)際上是利用了"不變性漏洞"，這是RC4算法中的一個(gè)缺陷，它能夠在某些情況下泄露SSL/TLS加密流量中的密文，從而將賬戶用戶名密碼，信用卡數(shù)據(jù)和其他敏感信息泄露給黑客。

研究人員在其報(bào)告中寫道：

"RC4算法的安全性已經(jīng)被質(zhì)疑了很多年了，特別是它的初始化機(jī)制。但是，直到最近幾年我們才呼吁棄用RC4。這次的研究中，我們跟進(jìn)2013年RC4的研究，并且發(fā)現(xiàn)它對于很多使用了RC4的系統(tǒng)上的已知漏洞的影響很顯然被低估了。"

Bar Mitzvah攻擊是首個(gè)僅僅需要被動(dòng)嗅探和監(jiān)聽SSL/TLS連接就可以進(jìn)行攻擊的方法，它不需要中間人攻擊。不過研究人員稱，要劫持會(huì)話可能還是要用到中間人攻擊。

安全建議

在等候"RC4全面廢棄"的同時(shí)，管理員們也應(yīng)該考慮如下的步驟防止這類的攻擊:

1、Web應(yīng)用管理員們應(yīng)該在應(yīng)用TLS配置中禁止RC4

2、Web用戶(特別是超級用戶組)應(yīng)該在瀏覽器TLS配置中禁止RC4

3、瀏覽器廠家應(yīng)該考慮移除RC4的支持。

SSL漏洞“高發(fā)季”

過去一年，SSL協(xié)議中多個(gè)重大漏洞被爆出，包括BEAST, POODLE和CRIME。