2013年11月21日 星期四

資安專家警告:HTTPS弱點浮現 終遭駭客攻陷!

資安專家警告:HTTPS弱點浮現 終遭駭客攻陷!

https不是網路安全的保證

資安專家Rohit Sethi於《今日美國》撰文指出,HTTPS 很脆弱,可以預期情況會在未來更為惡化。從現在開始的2-5年間,網路系統的安全結構將更輕易的被擊破,而且以犯罪的層級層出不窮的出現。

這並不意味著HTTPS已經徹底的被攻破─它仍舊可以應對許多網路威脅。然而,對於企業或是個人來說,這裡的教訓應該是資安防護不應該只靠HTTPS

電子商務、線上銀行,或是單純的帳號登入,這些事情沒有 HTTPS 就無法完成。同樣的,這些也適用在新崛起的雲端、行動支付、連網裝置等。

但這也凸顯了許多事情,那就是許多事情皆仰賴著它。但 HTTPS 面對「日新月益」的駭客技術,以及可能造成的廣大影響,未免有力有未逮之感。

而史諾登揭露的資料中,更顯示了美國國安局有能力去變更 HTTPS 有關安全的協定,也能夠去忽略它。

但關於HTTPS的二三事,也不是只有國安的問題而已,也還與一班普羅大眾有關。

其中一個例證,就是近來由美國國土安全部有提出來討論。這種攻擊能夠繞過 HTTPS 的加密,比方說你網路銀行的帳戶,讓駭客能夠在30秒內竊取你的資訊。過去幾年也有 3 起類似的攻擊事件發生,也有其他許許多多利用HTTPS缺陷來攻擊的情形發生。

與此同時,駭客也找出了如何欺騙、冒充、或是癱瘓整個網站─藉由侵入憑證的方式。近來也出現了攻擊RSA加密演算法的方法,這項極其複雜的加密技術,竟也出現了間隙,可謂不可不慎。

對於個人來說,人們應該利用更加保護自己的個資。最重要的一步包括使用 VPN ,來多加一道除了HTTPS之外的防護。而Wi-Fi的使用上,就是上上網看看臉書就好,如果要使用網路銀行的話,還是用寬頻連線較佳。或許可以考慮買一台便宜的筆墊單純拿來使用網路銀行,並且使用單一特定的信用卡來網路購物。

企業也必須全方位照顧好自己的資安,並且隨時升級維護,畢竟與客戶有關的事情可不能馬虎。

至於HTTPS的下一步要怎麼走,也必須好好考量。研究員相信,RSA加密演算法將在未來2-5年間被徹底攻略,因此資安業界必須想出替代方案才行。

現在有個方法,稱做橢圓曲線密碼學(Elliptic Curve Cryptography),問題在於它尚未普及,且許多憑證單位也尚未接受。未來幾年,企業應該要強迫資安界接受RSA之外的加密法,自身也必須開始加以應對。

轉載自《鉅亨網》