Ahamed△Nafeez
一位安全研究人员Ahamed△Nafeez上周同时于黑帽(Black△Hat△)与Def△Con会议上展示了VOracle攻击,攻陷基于OpenVPN协议的VPN服务,快速取得VPN服务的Session△ID。
虚拟私有网络(Virtual△Private△Networks,VPN)理应是用来保障用户隐私的安全服务,而Nafeez则利用神谕攻击(Oracle△Attack)的概念发展出VOracle。
VOracle锁定的是基于OpenVPN的VPN服务,破解了OpenVPN的压缩演算法,由于OpenVPN的预设值是先将资料压缩再加密,骇客可在执行这两项任务前不断输入个别的文字,借由观察加密之后的档案大小的变化来找出重要的文字,例如当加密后的档案变小时,即可得知该文字原本就存在其中。
Nafeezs在台上以OpenVPN进行展示时,不到一分钟就找出了该服务的7位数Session△ID,意谓着他能接管使用者的帐号,也有机会变更使用者帐号的密码。
尽管所有基于OpenVPN且未变更先压缩之预设值的VPN服务都会受到牵连,但VOracle攻击其实有不少限制,包括它只能在使用者造访HTTP网站时展开攻击,以及它并不适用于目前市占率最高的Chrome浏览器,Nafeezs展示时所使用的浏览器为Firefox。
Nafeezs已于GitHub释出VOracle原始码。
I 相关 / Other
图片来源: Intel 自今年初爆出Meltdown与Spectre两款针对处理器的推测执行旁路攻击手法之后,来自鲁汶大学、以色列理工学院、密西根大学、阿德雷得大学及CSIRO△Data△61的研究人员于今年1月再度向英特尔(Intel)与
图片来源: 微软 今年5月时,微软推出了自家内容交付网络(Content△Delivery△Networks,CDNs),让自家云端服务可以更快在他地扩充。而在近日,微软也宣布,Azure△CDN新增了8个网络连接点(Point△of△Presence,P
Samsung Galaxy Watch 智能手表 LTE 网络+42/46mm大表面 | 香港 UNWIRE.HK 玩生活.乐科技 | 有趣科技产品新闻、评测
Samsung 发表 Galaxy Watch 智能手表以取代其 Gear 系列,将提供 42mm 玫瑰金、42mm 午夜黑,以及更大的 46mm 银色表款。用户除可自由选择表带,也可从官方渠道下载各种各样近 60,000 种的表面。为方便用户充电,Sam
看好2022资料应用潜在市场商机,英特尔揭露网络、储存、运算这三大产品线的最新发展蓝图
图片来源: 李宗翰摄影 【美国圣塔克拉拉市现场报道】跨足多项IT基础架构领域的英特尔,面对当红的云端服务、人工智能、边缘运算等重大趋势,持续发展对应的技术应用,在本周特别举行了“以资料为中心的高峰会(Data-
示意图,与新闻事件无关。 图片来源: FCC 还记得去年5月美国联邦通信委员会(Federal△Communications△Commission,FCC)电子评论文件系统(Electronic△Comment△Filing△System,ECFS)的当机事件吗?当时FCC对