[摘要] 原标题:安全研究人员展示如何入侵VPN网络的HTTP流量 图片来源: Ahamed△Nafeez 一位安全研究人员Ahamed△Nafeez上周同时于黑帽(Black△Hat△)与Def△Con会议上展示了VOracle攻击,攻陷基于O
原标题:安全研究人员展示如何入侵VPN网络的HTTP流量
图片来源: Ahamed△Nafeez 一位安全研究人员Ahamed△Nafeez上周同时于黑帽(Black△Hat△)与Def△Con会议上展示了VOracle攻击,攻陷基于OpenVPN协议的VPN服务,快速取得VPN服务的Session△ID。虚拟私有网络(Virtua...
图片来源:Ahamed△Nafeez
一位安全研究人员Ahamed△Nafeez上周同时于黑帽(Black△Hat△)与Def△Con会议上展示了VOracle攻击,攻陷基于OpenVPN协议的VPN服务,快速取得VPN服务的Session△ID。
虚拟私有网络(Virtual△Private△Networks,VPN)理应是用来保障用户隐私的安全服务,而Nafeez则利用神谕攻击(Oracle△Attack)的概念发展出VOracle。
VOracle锁定的是基于OpenVPN的VPN服务,破解了OpenVPN的压缩演算法,由于OpenVPN的预设值是先将资料压缩再加密,骇客可在执行这两项任务前不断输入个别的文字,借由观察加密之后的档案大小的变化来找出重要的文字,例如当加密后的档案变小时,即可得知该文字原本就存在其中。
Nafeezs在台上以OpenVPN进行展示时,不到一分钟就找出了该服务的7位数Session△ID,意谓着他能接管使用者的帐号,也有机会变更使用者帐号的密码。
尽管所有基于OpenVPN且未变更先压缩之预设值的VPN服务都会受到牵连,但VOracle攻击其实有不少限制,包括它只能在使用者造访HTTP网站时展开攻击,以及它并不适用于目前市占率最高的Chrome浏览器,Nafeezs展示时所使用的浏览器为Firefox。
Nafeezs已于GitHub释出VOracle原始码。
橙山网(Csnd.net)简评:虚拟私有网络(Virtua...图片来源: Ahamed△Nafeez 一位安全研究人员Ahamed△Nafeez上周同时于黑帽(Black△Hat△)与Def△Con会议上展示了VOracle攻击,
网友评论