请选择 进入手机版 | 继续访问电脑版

ITIL,DevOps,ITSS,ITSM,IT运维管理-ITIL先锋论坛

 找回密码
 微信、QQ、手机号一键注册

扫描二维码登录本站

QQ登录

只需一步,快速开始

搜索
查看: 2839|回复: 1

[安全技术] Freak漏洞攻击曝光 普通网民受影响不大

[复制链接]
发表于 2015-3-5 21:55:39 | 显示全部楼层 |阅读模式
  根据360网络攻防实验室发布的漏洞预警,一个新发现的漏洞出现在一些SSL和TLS实现中——包括Apple Safari以及谷歌安卓AOSP(安卓开源项目)浏览器,允许攻击者强制客户使用加密安全性弱的旧版加密算法,黑客可利用漏洞以“中间人攻击”方式截获加密通讯内容。
  
  

  利用这些漏洞的攻击被称作FREAK(Factoring RSA Export Keys,分解RSA导出密钥)。该攻击利用了NSA在20世纪90年代早期加密战争期间授权支持但已被弃用很久的“出口级”加密算法。《华盛顿邮报》报道称,当时NSA试图覆盖可被出口至其他国家的软件的加密强度,强制工程师们设计出加密库能够同时接收来自加密性较强的国内客户端以及加密性较弱的国外客户端连接。
  当今的协议使用更长的加密密钥,比如作为加密标准的2048位RSA。512位密钥在20年前属于安全的加密方法,但今天的攻击者可以利用公有云服务破解512位的短密钥。
  360网络攻防实验室安全专家安扬介绍说,攻击者在加密连接的建立过程中进行中间人攻击,可以绕过SSL/TLS协议的保护,完成密钥降级。降级后的512位密钥可以被性能强大的电脑破解。
  不过广大网民不必恐慌,“中间人攻击”往往需要在同一个局域网内进行,黑客攻击有一定局限性;而且512位密匙的破解成本高、时间长。即便利用利用亚马逊弹性计算云,仍需要大约7小时,花费100美元才能破解。普通网民一般不会受到此漏洞攻击的影响。
  尽管如此,受到Freak漏洞攻击影响的网站还是应该及时进行安全更新。目前,苹果和谷歌也已经计划向iOS/OS X、安卓的用户推送系统补丁,从而彻底消除此漏洞隐患。




上一篇:安全团队组建
下一篇:DDOS的攻击原理与防范

本版积分规则

参加 ITIL 4 基础和中级专家认证、v3专家升级、DevOps专家认证、ITSS服务经理认证报名

QQ|小黑屋|手机版|Archiver|艾拓先锋网 ( 粤ICP备11099876号-1 )|网站地图

Baidu

GMT+8, 2020-8-14 00:53 , Processed in 0.153725 second(s), 23 queries .

Powered by Discuz! X3.4 Licensed

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表