安全研究专家在使用保证互联网通信安全的SSL(加密套接字协议层)加密协议的软件中发现了一些严重的漏洞。专家称,此类攻击可以让攻击者窃取密码,劫持网络银行界面。
SSL (Secure Socket Layer)为Netscape所研发,用以保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截取及窃听。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。
SSL协议可分为两层:
SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。
SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
一位名为Moxie Marlinspike的安全专家向大家展示了使用一种零终止证书来截取SSL流量的方法。为了向大家展示攻击的发动过程,Marlinspike必须首先在本地区域网上安装它的软件。安装成功后,它会侦查SSL流量并出示他的零终止证书,以此来截取客户端和服务器之间的网络通信。
Marlinspike表示,这个问题非常普遍,它会影响到IE浏览器、虚拟个人网络软件、电子邮件客户端、即时信息软件和火狐浏览器版本3。不过迄今为止,火狐浏览器3.5版本是唯一打了零终止补丁的浏览器。