研究人員聲稱，一種名為“BREACH”的新型黑客技術熱辣出爐，能夠提取登錄令牌、會話ID以及其它來自SSL/TLS加密網(wǎng)絡流量的敏感信息。

機密數(shù)據(jù)如今已經(jīng)成為網(wǎng)上銀行與在線購物體系的重要基礎，但新技術的出現(xiàn)能夠在短短30秒之內(nèi)解讀其具體內(nèi)容。

BREACH(全稱為‘超文本自適應壓縮瀏覽器勘測與滲透’)針對常見Deflate數(shù)據(jù)壓縮算法展開攻擊，這種算法正是網(wǎng)絡通信帶寬的主要保護手段。新技術的靈感源自早期壓縮比信息泄露一點通(簡稱CRIME)機制，二者都會對用戶的加密網(wǎng)絡請求進行壓縮。

安全研究人員Angelo Prado、Neal Harris與Yoel Gluck在拉斯維加斯舉辦的黑帽大會上，披露了BREACH背后的代碼破譯調(diào)查結果。

三位研究人員發(fā)現(xiàn)，無論實際采用哪種加密算法或者密碼機制，BREACH都能給所有版本的TLS/SSL帶來巨大威脅。

攻擊者只需要提前通過欺詐標記引導用戶在其控制下訪問網(wǎng)站，就能夠不斷窺探受害者與網(wǎng)絡服務器之間的加密流量。

攻擊者利用陷阱網(wǎng)站中托管的腳本來推動第二階段攻勢：受害者的瀏覽器會被迫反復訪問目標網(wǎng)站數(shù)千次，且每一次都會追加不同的額外數(shù)據(jù)組合。只要攻擊者控制下的字節(jié)與數(shù)據(jù)流中的任何原始加密字節(jié)相匹配時，瀏覽器的壓縮機制將介入以降低數(shù)據(jù)傳輸量，這個過程相當于向攻擊者發(fā)出“已經(jīng)得手”的通知信號。

這種數(shù)據(jù)泄露威脅屬于甲骨文攻擊的一種，意味著竊聽者能夠以字節(jié)為單位將HTTPS交換中的電子郵件地址或者安全令牌拼湊出來。Ars Technica網(wǎng)站表示，至于整個攻擊過程需要耗時多久、發(fā)送多少請求才能成功，這取決于目標機密信息的大小。

泄露出的數(shù)據(jù)中包含大量數(shù)據(jù)，足以支持攻擊者解密用戶想要保護的cookies或者其它目標內(nèi)容。只要成功恢復機密驗證cookies，就相當于為攻擊者打開了一道偽裝成受害者并組織Web會話劫持等攻擊活動的大門，英國計算機協(xié)會(簡稱BCS)在一篇博文中指出。

新技術實際效果驚人，一切經(jīng)由SSL連接發(fā)出的令牌及其它敏感信息——包括電子郵件加密內(nèi)容以及電子商務網(wǎng)站上的一次性訂單指令——都可被破解并成為攻擊者的囊中之物。Prado、Harris和Gluck還發(fā)布了幾款工具，幫助大家測試自己的網(wǎng)站是否會被BREACH攻克。當然，他們也在本屆黑帽大會上拿出抵御這類攻勢的技術。

安全工作不能依靠運氣

BREACH還只是不斷擴張的HTTPS(目前被視為互聯(lián)網(wǎng)安全通信的黃金標準)加密攻擊手段中的一種，其它攻擊方案還包括CRIME、BEAST、Lucky 13等等。

在黑帽大會的討論環(huán)節(jié)中，安全研究人員們表示了自己的擔憂，認為RSA及Diffie-Hellman等流行算法會由于機密分析及BREACH等攻擊手段的發(fā)展下而日漸孱弱。

“盡管目前跡象還不是很明顯，但為了保障安全，未來兩到五年內(nèi)RSA與非ECC Diffie-Hellman將很可能無法提供值得信賴的保護效果，”iSEC Partners業(yè)務部門Artemis Internet的Alex Stamos提醒道。“但這種情況并不一定會出現(xiàn)。”

卡巴斯基實驗室的Threatpost博客針對這套攻擊機制展開了更多討論。Stamos并不是惟一一位對現(xiàn)有加密工具及技術表示擔憂的專家。雖然其執(zhí)行效果仍然可圈可點，但像RSA算法這樣的機制已經(jīng)存在了40年之久，未來的生命周期恐怕不會太長。

Adi Shamir(RSA三大創(chuàng)始人中的‘S’)曾在今年三月的RSA大會密碼破譯者小組會議上，敦促安全研究人員盡早拿出可行的“后加密時代”安全保障方案。