新型攻击技术可从HTTPS网站中窃取用户的社保号和

新型攻击技术可从HTTPS网站中窃取用户的社保号和

据外媒最新动态，安全科学研究权威专家节目于纽约时间本周三通过在nytimes.com网站投放广告的方式，向外界展示了如何攻击其他使用HTTPS协议的网站。

HTTPS数据加密方案可以合理地维护数以千万计的互联网技术网站的安全，防止它们被大多数新的互联网攻击所迷惑。然而，最近安全科学研究领域的一个权威专家产品开发了一种新的攻击方法，使得攻击者即使无法监管终端产品用户的通信网络数据，也可以在数据加密后窃取整体目标客户的邮箱地址、社保号等敏感数据。

其中隐藏的安全隐患相当突出，网络黑客可以不依赖中介完成入侵。事实上，攻击者只需在网页广告或网页中隐藏一个看似无害的JavaScript文件，就可以进行攻击。JS文档中的恶意程序可以检索到许多由安全套接字层或网络层安全协议维护的网页，并精确测量此类网页传输的加密数据(文档)的大小。顾名思义(HEISTtechnology)，攻击者可以根据TCP协议窃取HTTP数据加密信息。HTTPS的响应信息将根据传输控制协议(TCP)推送，TCP是目前互联网技术中广泛使用的网络层协议之一。

当攻击者知道响应信息的大小(已经通过数据加密解决)时，他们可以通过使用设计良好的系统漏洞利用方法，从响应数据中获取密文信息。很多网站使用文件压缩技术来提高网页的加载速度，攻击者正好可以利用其设计方案的缺点来破译数据载荷(类似于BREACH攻击和CRIME攻击)。据统计，安全科学研究的权威专家可能会在拉斯维加斯的hat交流会(将于本周三举行)上首次在全球范围内尝试HEIST技术。

参与产品开发的权威安全专家之一TemVanGoethem在接受Ars采访时表示:“HEIST技术的存在可能会使许多其他攻击技术更容易实现。在此之前，为了更好地实施一些特殊类型的攻击(如犯罪攻击和突围攻击)，攻击者很可能不得不依靠中介攻击。然而现在，他们只需引诱整体目标客户浏览一个垃圾网站，就能成功完成攻击。”

根据HEIST和BREACH攻击技术的相互应用，攻击者可以从数据加密后的响应数据中获取并破译电子邮件地址、社会安全号等零散数据。在再次详细介绍HEIST攻击之前，我们先回顾一下什么是BREACH攻击和CRIME攻击。

在2012年Ekoparty安全生产大会上，安全科学研究的权威专家ThaiDuong和胡利亚诺·里佐详细介绍了一种名为CRIME的攻击技术，但这种攻击并没有对安全套连接层/网络层安全(SSL/TLS)的安全系数造成严重危害。在2013年白帽黑客交流大会上，安全专家YoelGluck、NealHarris和AngeloPrado再次详细分析了SSL/TLS加密算法。他们尝试了一种新的攻击方式，即使用带有响应HTML文件的计算机浏览器来收集和渗透信息。这种攻击技术上也叫BREACH攻击，比犯罪攻击对SSL/TLS的危害更大。

为了成功地破译客户数据的加密数据，裂口攻击的目的是缩小HTTPS的报头。这种数据归约处理方法对于很多公司来说都是非常重要的。因为可以大大降低网络带宽成本，提高网页加载率。基于现有两种攻击技术的结合，漏洞攻击可以窃取HTTPS网站传输数据的加密信息。这两类攻击是:通过跨站点请求伪造来改变传输的数据(CSRF)；通过使用中介攻击将附加数据引入HTTPS报头。攻击者可以根据引入的数据分析出这个请求响应的变化。这样，攻击者就可以弄清楚数据加密对话中使用的字节数，然后利用这些信息来解密数据。

HTTPreduction使用Deflate优化算法。这种优化算法可以将HTML文档中重复的字符串数组存储为案例，改变小数据流占用的室内空。当编码必须使用这个字符串数组时，系统软件会自动使用指针对数据库进行索引，这样可以很大程度上节省空间空。一般来说，如果一个数据流中有大量重复的字符串数组，那么就意味着数据占用的室内空空间在减少后可以明显减少。特别是，Deflate优化算法是一种使用LZ77优化算法和霍夫曼编码的高质量数据压缩算法。

到目前为止，如果我们想要使用突破技术来完成攻击，攻击者必须能够主动伪造Web服务器和最终产品用户之间的互联网数据。如果HEIST和BREACH这两种攻击技术可以一起使用，攻击者就可以清除这个限制。攻击者可以利用TCP协议的特性来精确测量HTTPS响应信息的大小。TCP会将块数据切割成更小的数据块(固定大小)，这些数据块也称为帧。数据分层后，TCP会对传输帧进行排序，形成TCP对话框，一次推送一个对话框。当最终产品用户接受一个对话框时，它将返回到相关对话框的确认信息。TCP只有在接受上一个对话框的返回信息后，才能推送下一个对话框。

HEIST技术可以使用新的API(资源计时和获取)来计算整体目标服务器推送的传输帧和对话框的总数。在所有的处理方法中，科学研究人员可以使用JavaScript代码来指定HTTPS响应信息的具体大小。然后，故意HEIST编码可以与BREACH技术合作，从客户需要的数据中获取数据加密信息。

现阶段，Ven·戈瑟姆和马蒂·范霍夫已经将他们的研究成果提交给了谷歌和微软中国的安全科学研究人员。这意味着周三演讲的内容可能不会让他们感到意外。

当被问及现阶段有哪些方法可以用来减轻这类攻击时，Vengoehem表明:“现在我只知道一种方法可以减轻这类攻击带来的危害，那就是禁止使用第三方cookie。这样一来，HTTPSURL推送的回复信息就与整体目标客户无关了。”目前大多数浏览器工具都会默认打开第三方cookie。而且有些在线客服还必须要求客户开通第三方cookie，否则服务无法正常工作。

据统计，在周三的整个测试过程中，安全科学研究人员可能会利用《纽约日报》官网上的意向广告，测试如何准确测量数据加密后的响应信息量。在整个过程中，安全科研人员可能使用虚拟的第三方网站(targetwebsite.com)推送数据加密信息。此外，他们还可能演示如何从用于避免跨站点网络钓鱼攻击的安全令牌中推断数据信息。

目前，许多网站已经部署了一些基本的安全措施，但这种安全保护系统并不能合理地避免漏洞攻击。因此，可以断定，在不久的将来，很可能会出现许多与BREACH攻击和HEIST攻击相关的安全事件。

欢迎分享，转载请注明来源：内存溢出

原文地址: http://outofmemory.cn/zz/771768.html