研究人員聲稱，一種名為“BREACH”的新型黑客技術熱辣出爐，能夠提取登錄令牌、會話ID以及其它來自SSL/TLS加密網絡流量的敏感信息。

機密數據如今已經成為網上銀行與在線購物體系的重要基礎，但新技術的出現能夠在短短30秒之內解讀其具體內容。

BREACH(全稱為‘超文本自適應壓縮瀏覽器勘測與滲透’)針對常見Deflate數據壓縮算法展開攻擊，這種算法正是網絡通信帶寬的主要保護手段。新技術的靈感源自早期壓縮比信息泄露一點通(簡稱CRIME)機制，二者都會對用戶的加密網絡請求進行壓縮。

安全研究人員Angelo Prado、Neal Harris與Yoel Gluck在拉斯維加斯舉辦的黑帽大會上，披露了BREACH背后的代碼破譯調查結果。

三位研究人員發現，無論實際采用哪種加密算法或者密碼機制，BREACH都能給所有版本的TLS/SSL帶來巨大威脅。

攻擊者只需要提前通過欺詐標記引導用戶在其控制下訪問網站，就能夠不斷窺探受害者與網絡服務器之間的加密流量。

攻擊者利用陷阱網站中托管的腳本來推動第二階段攻勢：受害者的瀏覽器會被迫反復訪問目標網站數千次，且每一次都會追加不同的額外數據組合。只要攻擊者控制下的字節與數據流中的任何原始加密字節相匹配時，瀏覽器的壓縮機制將介入以降低數據傳輸量，這個過程相當于向攻擊者發出“已經得手”的通知信號。

這種數據泄露威脅屬于甲骨文攻擊的一種，意味著竊聽者能夠以字節為單位將HTTPS交換中的電子郵件地址或者安全令牌拼湊出來。Ars Technica網站表示，至于整個攻擊過程需要耗時多久、發送多少請求才能成功，這取決于目標機密信息的大小。

泄露出的數據中包含大量數據，足以支持攻擊者解密用戶想要保護的cookies或者其它目標內容。只要成功恢復機密驗證cookies，就相當于為攻擊者打開了一道偽裝成受害者并組織Web會話劫持等攻擊活動的大門，英國計算機協會(簡稱BCS)在一篇博文中指出。

新技術實際效果驚人，一切經由SSL連接發出的令牌及其它敏感信息——包括電子郵件加密內容以及電子商務網站上的一次性訂單指令——都可被破解并成為攻擊者的囊中之物。Prado、Harris和Gluck還發布了幾款工具，幫助大家測試自己的網站是否會被BREACH攻克。當然，他們也在本屆黑帽大會上拿出抵御這類攻勢的技術。

安全工作不能依靠運氣

BREACH還只是不斷擴張的HTTPS(目前被視為互聯網安全通信的黃金標準)加密攻擊手段中的一種，其它攻擊方案還包括CRIME、BEAST、Lucky 13等等。

在黑帽大會的討論環節中，安全研究人員們表示了自己的擔憂，認為RSA及Diffie-Hellman等流行算法會由于機密分析及BREACH等攻擊手段的發展下而日漸孱弱。

“盡管目前跡象還不是很明顯，但為了保障安全，未來兩到五年內RSA與非ECC Diffie-Hellman將很可能無法提供值得信賴的保護效果，”iSEC Partners業務部門Artemis Internet的Alex Stamos提醒道。“但這種情況并不一定會出現。”

卡巴斯基實驗室的Threatpost博客針對這套攻擊機制展開了更多討論。Stamos并不是惟一一位對現有加密工具及技術表示擔憂的專家。雖然其執行效果仍然可圈可點，但像RSA算法這樣的機制已經存在了40年之久，未來的生命周期恐怕不會太長。

Adi Shamir(RSA三大創始人中的‘S’)曾在今年三月的RSA大會密碼破譯者小組會議上，敦促安全研究人員盡早拿出可行的“后加密時代”安全保障方案。