安全研究人员展示如何入侵VPN网络的HTTP流量,,虚拟私有网络（Vir

原标题：安全研究人员展示如何入侵VPN网络的HTTP流量

图片来源: Ahamed△Nafeez 一位安全研究人员Ahamed△Nafeez上周同时于黑帽（Black△Hat△）与Def△Con会议上展示了VOracle攻击，攻陷基于OpenVPN协议的VPN服务，快速取得VPN服务的Session△ID。虚拟私有网络（Virtua...

图片来源:

Ahamed△Nafeez

一位安全研究人员Ahamed△Nafeez上周同时于黑帽（Black△Hat△）与Def△Con会议上展示了VOracle攻击，攻陷基于OpenVPN协议的VPN服务，快速取得VPN服务的Session△ID。

虚拟私有网络（Virtual△Private△Networks，VPN）理应是用来保障用户隐私的安全服务，而Nafeez则利用神谕攻击（Oracle△Attack）的概念发展出VOracle。

VOracle锁定的是基于OpenVPN的VPN服务，破解了OpenVPN的压缩演算法，由于OpenVPN的预设值是先将资料压缩再加密，骇客可在执行这两项任务前不断输入个别的文字，借由观察加密之后的档案大小的变化来找出重要的文字，例如当加密后的档案变小时，即可得知该文字原本就存在其中。

Nafeezs在台上以OpenVPN进行展示时，不到一分钟就找出了该服务的7位数Session△ID，意谓着他能接管使用者的帐号，也有机会变更使用者帐号的密码。

尽管所有基于OpenVPN且未变更先压缩之预设值的VPN服务都会受到牵连，但VOracle攻击其实有不少限制，包括它只能在使用者造访HTTP网站时展开攻击，以及它并不适用于目前市占率最高的Chrome浏览器，Nafeezs展示时所使用的浏览器为Firefox。

Nafeezs已于GitHub释出VOracle原始码。

橙山网（Csnd.net）简评：虚拟私有网络（Virtua...图片来源: Ahamed△Nafeez 一位安全研究人员Ahamed△Nafeez上周同时于黑帽（Black△Hat△）与Def△Con会议上展示了VOracle攻击，