文章
  • 文章
科技

新发现的在线安全漏洞源于20世纪90年代

发布时间2015年3月5日上午9:22
更新时间:2015年3月5日上午10:59

美国华盛顿特区 - 研究人员周二在3月3日表示,由于20世纪90年代美国的加密标准较弱,新发现的互联网安全漏洞可能使许多网站容易受到黑客攻击。

根据法国和美国研究人员发布的文件,如果问题没有得到修补,被称为“FREAK”的漏洞可能会使成千上万的网站受到攻击。

这个漏洞是由巴黎INRIA的Karthikeyan Bhargavan领导的团队 - 法国计算机科学与自动化研究所发现的 - 由约翰霍普金斯大学密码学家马修格林协调发布的。

一份研究报告说,这个缺陷来自“一类故意弱出口密码套件......在美国政府机构的压力下引入,以确保NSA能够解密所有外国加密通信。”

格林在一篇博文中说,即使是国家安全局和联邦调查局维护的一些网站似乎也很脆弱。

“由于国家安全局是要求出口级加密的组织,因此它们应该是受此漏洞影响的第一个站点,这是恰当的,”格林说。

格林和其他研究人员表示,这一漏洞源于美国政府对出口软件加密的标准 - 这是一项短期的努力,允许美国能够访问出口到不友好政权的软件。

部分软件

普林斯顿大学计算机科学教授艾德·费尔滕(Ed Felten)表示,即使在出口强加密合法化之后,出口模式功能也没有被删除,因为一些软件仍然依赖它。

“这个漏洞本身就很重要,但它也是当政府要求在安全系统中建立弱点时可能出现问题的一个很好的例子,”Felten在博客文章中说。

“许多网站容易受到这种攻击,允许网络中的对手欺骗或监视流量到易受攻击的网站。”

Felten表示,NSA网站上的漏洞“本身并不是一个大的国家安全问题,因为NSA不会从其公共站点分发国家机密。但这里有一个关于加密策略决策后果的重要教训。”

格林表示,Facebook运营“喜欢”按钮的网站被认定为易受攻击,但后来又被打了补丁。

格林表示,大部分缺陷“很快就会被修补”,但在NSA为了国家安全原因寻求保持对加密软件和设备的访问时,这个缺陷很重要。

“这个故事的寓意非常简单:加密后门总会转过身,咬你的屁股,”他写道。 - Rob Lever,AFP / Rappler.com

通过Shutterstock “图像