【大纪元7月30日报导】(中央社拉斯维加斯30日美联电)美国研究员发现,即便网路用户使用安全连线连上银行、网路商店或其他私密网站,歹徒仍有新手法能监视其一举一动。
专家在骇客大会(Black Hat)现场展示不死心的骇客如何在加密网路传输边缘打探,进而取得关于其目标猎物动向的线索。
这类似监听电话交谈,听到的声音模糊,但透露出对话的口气。
根据韩森(Robert Hansen)与索科(Josh Sokol)对全场数百名网路安全专家所说,问题在于网路浏览器处理SSL加密技术的方式。
加密机制在浏览者与网站服务器之间建立一种管道,这种机制会扰乱资料,让窥伺者难以破译。
SSL广泛使用在传送诸如信用卡卡号等敏感资料的网站,浏览器的网址栏会以锁的符号显示。
SSL也是普遍受攻击的技术,但韩森与索科采取的方式并非将其破解。他们反倒想看看,从浏览器在安全连线上网遗留下来的蛛丝马迹纪录中,骇客能追踪发现到什么。
骇客攻击可取得各种资讯,内容可能相对轻微,例如浏览器设定或浏览过的网页数量等,但也可能十分严重,包括某人是否有储存使用名称与密码的cookies弱点,骇客可盗用这些资料登入加密网站。
韩森表示,主要浏览器或多或少都受到部分这类问题影响。
他在会前受访时指出:“这点出一个重大问题,我们需要重新思考电子商务的模式。”这场年度会议旨在揭露最新的电脑安全漏洞。
对一般网路使用者而言,这项研究则提高在公用Wi-Fi无线网路上要小心的重要性,骇客可能在此入侵,窥伺你的流量。如要有效攻击,攻击者必须先连到受害者的网路。
韩森与索科列举出他们发现的24个问题,并坦承利用这些弱点发动的攻击难以解除。
韩森指出,漏洞来自网友可同时在浏览器打开多个网页,其中一个未加密的流量可影响另一个安全连线流量。韩森是网路安全咨询公司SecTheory执行长,索科则是国家仪器公司(National Instruments Corp)的安全主管。
两人研究有心人士如何在安全网路流量中,搜寻加密帷幕背后的有用线索,这并非专家首次尝试,但结果确实对扩充现有研究具关键作用。(译者:中央社林仟懿)
