绿盟安全月刊->第35期->安全新闻 网络交易协定SSL漏洞百出 黑客容易破解

出处：新浪科技
日期：2002-09-16

一名电脑专家周一表示，广受网络银行和电子商务采用的安全性软件可以轻易避过，因此瑞典数家大型银行的顾客帐户仍有遭入侵的危险。

　　这位不愿具名的瑞典黑客专家展示了如何在数分钟内便突破微软网络服务器软件的安全防护。该名专家也展示如何破解网络银行的安全系统，并迅速连续入侵瑞典四大银行中的三家。随后他又展示如何隐藏自己的路径，让事后难以侦查。


　　虽然突破顾客帐户后仅短暂停留，但该名专家表示，入侵者可以隐藏将存款转至他户的指令，当用户动用其网络银行帐户时，指令就会被启动。

　　微软装置的安全插座层(Secure Socket Layer，SSL)两周前暴露出的弱点就是专家所藉以突破的点。SSL是在网络上传输信用卡号码以及帐户密码的业界标准。这位不愿具名的专家表示，“SSL通讯协定很容易破解，不像人们所想的那样安全。”

　　他还说，黑客利用各种破绽发动攻击，但微软能掌握的漏洞只有部分。大部分的责任应该归咎于银行或组织内部的网络管理人员，因为他们并未适当地安装微软的软件。

　　藉由这种方式，黑客就能够以网站用户的身分登入、进入网站根目录后就可以进入组织的内部网络。

　　微软与银行业淡化迫切的威胁

　　针对最近有关SSL漏洞的报告，微软在回应中承认这些漏洞确实存在，也正在开发修补程序；但该公司也淡化这些瑕疵将导致安全威胁扩大的说法。微软在瑞典的分公司也否认，SSL能够被上述专家所展示的那种方法破解。

　　“理论上来说都不可能，”微软瑞典分公司安全部门主管林克维斯特说。

　　该未具名的专家表示，黑客可以经由数百部电脑渗透安全系统，而警方光追踪10部电脑的路径就可能需耗费四至五个月的时间，因此要侦查这类犯罪是难上加难。这四家瑞典银行并非特例。根据电脑专家，多数全球主要的金融机构几乎同样脆弱，因为它们也采用SSL通讯协定。

　　Swedbank公关主任表示，“人类都可以上太空了，迟早总会有人有办法打赢安全系统的。”Handelsbanken资讯主管也称，“没有哪个系统是百分之百安全的。”

　　冰山一角

　　但是，电脑专家说，银行还是极为脆弱。

　　硅谷智库SRI International首席科学家纽曼表示，盲目地接受加上技术方面的无知，形成这些安全漏洞。“银行说，我们没事，这根本是胡扯。基本上一切都很脆弱的，”他说。

　　瑞典安全机构Deprotect的安全专家古特克指出，该公司曾经利用暗藏指令，自一家重量级欧系银行转走数千万美元。该行要求Deprotect测试其安全系统。两周后，古特克告知银行这桩未被察知的转帐。主要原因在于，秘密转走的金额还不够大到足以启动警报系统。

　　古特克说，银行花大笔的钱装修客户看得到的一面；但是却忽略内部系统。纽曼也同意指出，离职的知情员工可能是更大的威胁。(王冠中／沈以文)