12月30日消息,安全研究人员已经在数字认证系统中发现了一个重大安全漏洞,令人吃惊的是数字认证系统是被银行及其他在线商业广泛使用的安全系统。
这个漏洞将使黑客更加方便地伪造银行、在线交易等可信任网站,从而可以从用户那里钓取个人信息。这次的研究方称在漏洞公之于众之前已就此事通知了主要的浏览器制造商。这个消息是在本周四时由一家国际的独立安全研究机构宣布的,他们发现网络电子认证系统被许多网络商业站点所采用,而这个系统内存在重大漏洞。网络黑客可以利用这个漏洞仿造站点,这个漏洞使得黑客可以冒充安全的web站点和email服务器来发起不易察觉的“钓鱼”攻击。
所涉及的安全漏洞的关键技术在于我们所熟知的Secure Sockets Layer(SSL见文末注释),它被银行及其他在线商业机构如在线零售、电子商务所采用,维护网络事务的安全。
“我们已经就我们的发现通知了主要的浏览器制造商如Mozila、微软等,有些已经采取了措施来更好地保护用户,”这次研究的负责人、EPFL实验室的老大Cryptologic Algorithms说道。“如果要避免任何的危害,实际这种认证的有效期只有一个月——也即2004年8月失效,如今已失效四年多了。我们这次研究的{wy}目的就是为了激发更好的网络安全措施来保护广大用户的安全。”
经常上网的用户可能会注意到当我们要访问特定站点时,在浏览器的底部会出现一个小的padlock图标。这个图标告诉用户他们访问的网站的电子认证是被几家认证机构(Certification Authorities)认可的。电子认证就像证人一样,它使用标准的密码算法来证明用户的信息。
这也正是研究发现的问题所在之处。其中的一个算法叫做MD5,可以明显地被用来伪造认证。用研究方的话来说就是:“网络基础架构的一个核心部分是不安全的。”
实际上MD5并非{dy}次引起xx。在2004年,一队中国的研究人员证实这会引起“相遇航向截击”(collision attack),研究发现两个任意的hashes相冲突的测试值,能够用一个电子签名创建出两个独立的信息。中国研究人员的这次发现引起不小的波动,另有研究机构在此基础上于2007年五月宣布发现了更加强大的冲突结构。
Gartner的分析师Avivah Litan称,“这个问题已经四年了(从中国研究人员2004年发现至今),网上消费者要告诫自己任何站点都不可信。”她还告诉记者,即使没有认证,黑客也能够成功地部署“钓鱼”攻击,“他们并不需要借助认证,他们会利用其他方法来伪造站点(伪造SSL认证),这实在不是安全领域的好消息。”
Litan表示她将召开会议来促使网络更加安全。现阶段,消费者自身也可以采取一些简单的措施来保护他们的财务数据。“最基本的是不要落入黑客的陷阱中,机灵点,永远不要将你的PIN(个人身份证号码)和银行账户散步出去。”
同时,网络消费者应当具有安全意识来识别假的网站,“没有商业站点会经常向你索要身份证号码、账户号码、出生日期等;确保你所在的网银有保护政策;不要在你闻所未闻的站点买东西;不要在加油站输入你的身份证;不要随便使用ATM机,如机场、便利店等地;直到我所在的商业站点证明他们是安全的,我才输入身份证号码……”
注:
SSL(Secure Sockets Layer)叫安全套接字层,是一种国际标准的加密及身份认证通信协议,是由美国Netscape公司提出来的基于 WEB 应用的安全协议,后来成为了Internet网上安全通讯与交易的标准。
SSL 协议指定了一种在应用程序协议(如 HTTP 、 Telenet 、 NMTP 和 FTP 等)和 TCP/IP 协议之间提供数据安全性分层的机制,它为 TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。通过通讯双方的客户证书以及CA根证书,允许客户/服务器应用以一种不能被偷听的方式通讯,在通讯双方间建立起了一条安全的、可信任的通讯通道。主要采用公开密钥体制和X.509数字证书技术来提供安全保证。对于电子商务应用,它具备以下基本特征:信息保密性、信息完整性、相互鉴定。
银行、金融、电子商务等系统常采用SSL协议来加强网络通讯安全,以保证帐号、密码或其它关键信息,在数据传输过程中不被他人所截获。
原文地址:
