SSL/TLS協議是一個被廣泛使用的加密協議，而研究人員近日了曝出一個名為“受誡禮”的新型攻擊手段，能夠竊取通過SSL和TLS協議傳輸的機密數據，諸如銀行卡號碼，密碼和其他敏感信息。

這種攻擊利用了一個RC4加密算法中的一個長達13年的漏洞。眾所周知RC4算法不怎么安全，但事實讓人大跌眼鏡——互聯網上30%的TLS流量加密使用的都是RC4算法。

受誡禮(BAR-MITZVAH)攻擊

這種攻擊方法被取名為“受誡禮(Bar-Mitzvah)”，與之前多數的SSL攻擊手段不同，這種攻擊甚至不需要在客戶端和服務器間實施中間人攻擊。

安全公司Imperva的研究員Itsik Mantin周四在新加坡舉行的Black Hat亞洲安全會議上展示了他的研究，題為《對使用RC4算法的SSL進行攻擊》。

Bar Mitzvah攻擊實際上是利用了"不變性漏洞"，這是RC4算法中的一個缺陷，它能夠在某些情況下泄露SSL/TLS加密流量中的密文，從而將賬戶用戶名密碼，信用卡數據和其他敏感信息泄露給黑客。

研究人員在其報告中寫道：

"RC4算法的安全性已經被質疑了很多年了，特別是它的初始化機制。但是，直到最近幾年我們才呼吁棄用RC4。這次的研究中，我們跟進2013年RC4的研究，并且發現它對于很多使用了RC4的系統上的已知漏洞的影響很顯然被低估了。"

Bar Mitzvah攻擊是首個僅僅需要被動嗅探和監聽SSL/TLS連接就可以進行攻擊的方法，它不需要中間人攻擊。不過研究人員稱，要劫持會話可能還是要用到中間人攻擊。

安全建議

在等候"RC4全面廢棄"的同時，管理員們也應該考慮如下的步驟防止這類的攻擊:

1、Web應用管理員們應該在應用TLS配置中禁止RC4

2、Web用戶(特別是超級用戶組)應該在瀏覽器TLS配置中禁止RC4

3、瀏覽器廠家應該考慮移除RC4的支持。

SSL漏洞“高發季”

過去一年，SSL協議中多個重大漏洞被爆出，包括BEAST, POODLE和CRIME。