职业IT人论坛

 找回密码
 注册

扫一扫,访问微社区

搜索
2019PMP认证备考培训项目管理之家专场百度自然排名1-15天上首页,达标计费,无效退款.500+微信公众号程序模块,免费使用!
查看: 425|回复: 0

Freak漏洞攻击曝光 普通网民受影响不大

[复制链接]
qtmbmr 发表于 2015-3-5 19:43 | 显示全部楼层 |阅读模式
  根据360网络攻防实验室发布的漏洞预警,一个新发现的漏洞出现在一些SSL和TLS实现中——包括Apple Safari以及谷歌安卓AOSP(安卓开源项目)浏览器,允许攻击者强制客户使用加密安全性弱的旧版加密算法,黑客可利用漏洞以“中间人攻击”方式截获加密通讯内容。
  
  

  利用这些漏洞的攻击被称作FREAK(Factoring RSA Export Keys,分解RSA导出密钥)。该攻击利用了NSA在20世纪90年代早期加密战争期间授权支持但已被弃用很久的“出口级”加密算法。《华盛顿邮报》报道称,当时NSA试图覆盖可被出口至其他国家的软件的加密强度,强制工程师们设计出加密库能够同时接收来自加密性较强的国内客户端以及加密性较弱的国外客户端连接。
  当今的协议使用更长的加密密钥,比如作为加密标准的2048位RSA。512位密钥在20年前属于安全的加密方法,但今天的攻击者可以利用公有云服务破解512位的短密钥。
  360网络攻防实验室安全专家安扬介绍说,攻击者在加密连接的建立过程中进行中间人攻击,可以绕过SSL/TLS协议的保护,完成密钥降级。降级后的512位密钥可以被性能强大的电脑破解。
  不过广大网民不必恐慌,“中间人攻击”往往需要在同一个局域网内进行,黑客攻击有一定局限性;而且512位密匙的破解成本高、时间长。即便利用利用亚马逊弹性计算云,仍需要大约7小时,花费100美元才能破解。普通网民一般不会受到此漏洞攻击的影响。
  尽管如此,受到Freak漏洞攻击影响的网站还是应该及时进行安全更新。目前,苹果和谷歌也已经计划向iOS/OS X、安卓的用户推送系统补丁,从而彻底消除此漏洞隐患。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|手机版|网站帮助|职业IT人 ( 粤ICP备12053935号 )

GMT+8, 2019-1-17 19:51 , Processed in 0.078531 second(s), 25 queries , Gzip On.

Powered by Discuz! X3.2

© 2001-2018 Comsenz Inc.

快速回复 返回顶部 返回列表