【大紀元7月30日報導】(中央社拉斯維加斯30日美聯電)美國研究員發現,即便網路用戶使用安全連線連上銀行、網路商店或其他私密網站,歹徒仍有新手法能監視其一舉一動。
專家在駭客大會(Black Hat)現場展示不死心的駭客如何在加密網路傳輸邊緣打探,進而取得關於其目標獵物動向的線索。
這類似監聽電話交談,聽到的聲音模糊,但透露出對話的口氣。
根據韓森(Robert Hansen)與索科(Josh Sokol)對全場數百名網路安全專家所說,問題在於網路瀏覽器處理SSL加密技術的方式。
加密機制在瀏覽者與網站伺服器之間建立一種管道,這種機制會擾亂資料,讓窺伺者難以破譯。
SSL廣泛使用在傳送諸如信用卡卡號等敏感資料的網站,瀏覽器的網址欄會以鎖的符號顯示。
SSL也是普遍受攻擊的技術,但韓森與索科採取的方式並非將其破解。他們反倒想看看,從瀏覽器在安全連線上網遺留下來的蛛絲馬跡紀錄中,駭客能追蹤發現到什麼。
駭客攻擊可取得各種資訊,內容可能相對輕微,例如瀏覽器設定或瀏覽過的網頁數量等,但也可能十分嚴重,包括某人是否有儲存使用名稱與密碼的cookies弱點,駭客可盜用這些資料登入加密網站。
韓森表示,主要瀏覽器或多或少都受到部份這類問題影響。
他在會前受訪時指出:「這點出一個重大問題,我們需要重新思考電子商務的模式。」這場年度會議旨在揭露最新的電腦安全漏洞。
對一般網路使用者而言,這項研究則提高在公用Wi-Fi無線網路上要小心的重要性,駭客可能在此入侵,窺伺你的流量。如要有效攻擊,攻擊者必須先連到受害者的網路。
韓森與索科列舉出他們發現的24個問題,並坦承利用這些弱點發動的攻擊難以解除。
韓森指出,漏洞來自網友可同時在瀏覽器打開多個網頁,其中一個未加密的流量可影響另一個安全連線流量。韓森是網路安全諮詢公司SecTheory執行長,索科則是國家儀器公司(National Instruments Corp)的安全主管。
兩人研究有心人士如何在安全網路流量中,搜尋加密帷幕背後的有用線索,這並非專家首次嘗試,但結果確實對擴充現有研究具關鍵作用。(譯者:中央社林仟懿)
