来自Gmail、汇丰的邮件真的安全吗 ?
2012-11-02 13:17
323 查看
Gmail最近被发现邮件系统出现保安漏洞,类似的漏洞也出现在 PayPal、Yahoo、Amazon、eBay、Apple、Dell、LinkedIn、Twitter、SBCGlobal、HP、 Match.com 和汇丰(HSBC)身上出现,令入侵者可假冒上述网站的员工向任何人发出邮件。Gmail表示已经马上修正了问题,其他公司的状况未明。
故事要由一位Linux专家兼数学家Zachary Harris说起,某天他收到一封声称来自Google招聘部门的邮件,询问他是否有兴趣到Google工作。Harris却认为自己是数学家,并不是该 职位的合适对象。他怀疑这是一封垃圾邮件,于是他检查了邮件信头,并意外地发现Google 使用了一个脆弱的密钥证书,来证明这封邮件真的来自Google。换言之只要有人能够破解密钥,就能够假装Google员工发出邮件了。
Google在Gmail上使用的是DKIM认证技术,正常来说DKIM应该采用 1024位元密钥的,但是Google使用的却是512位元密钥。照理Google不可能如此粗心大意,于是他得出了一个结论:这是考验应征者是否有能力 胜任该职位的一个测试。Harris表示对Google的工作不感兴趣,但他却压抑不住好奇心,于是决定破解这个密钥,然后假装自己是Sergey Brin,向Larry Page发了一封邮件,里面含有一条Harris自家网址的URL。然后将邮件回覆地址设为自己的邮箱,令Brin和Page看罢后可以与他联络。
及后Harris没有收到任何回覆,两天后他发现Google的密钥突然变成了2048位元,他的网站出现了大量来自Google公司IP位址的存 取,他才意识到自己发现的是一个真正的漏洞。Harris开始观察其它网站,结果发现了同样的安全问题。eBay、Yahoo、Twitter和 Amzon用的同样是512位元密钥,PayPal、LinkdedIn、US Bank和HSBC用的则是768位元密钥。Harris说他可以在24小时内,利用他的笔记本电脑破解384位元密钥,512位元则可利用Amazon AWS在72小时内破解,成本只是75美元。768位元密钥虽然不是他能力所及,但只要有一个庞大团队,要破解只是时间上的问题。
要修正问题其实很容易,只要重新生成一条1024位元或以上的密钥放在DNS记录上就可以了,但还要紧记将旧有的密钥移除,因为只要这条密钥仍然在 DNS记录上,就有被攻击者利用的可能。加密机制其实和软体一样,需要定期更新,特别是容易成为攻击对象的银行和金融机构,绝对应用加强这方面的安全性。
整件事最讽刺的,是Harris根本不是保安专家,在开始研究那封怀疑是来自Google的垃圾邮件之前,他甚至不知道DKIM是什么,证明只要是一个稍为细心、又有一点技术根底的话,绝对有发现这这个漏洞的可能。
来自:http://www.linuxpilot.net/industry/news/20121031Gmail-HSBC-DKIM
故事要由一位Linux专家兼数学家Zachary Harris说起,某天他收到一封声称来自Google招聘部门的邮件,询问他是否有兴趣到Google工作。Harris却认为自己是数学家,并不是该 职位的合适对象。他怀疑这是一封垃圾邮件,于是他检查了邮件信头,并意外地发现Google 使用了一个脆弱的密钥证书,来证明这封邮件真的来自Google。换言之只要有人能够破解密钥,就能够假装Google员工发出邮件了。
Google在Gmail上使用的是DKIM认证技术,正常来说DKIM应该采用 1024位元密钥的,但是Google使用的却是512位元密钥。照理Google不可能如此粗心大意,于是他得出了一个结论:这是考验应征者是否有能力 胜任该职位的一个测试。Harris表示对Google的工作不感兴趣,但他却压抑不住好奇心,于是决定破解这个密钥,然后假装自己是Sergey Brin,向Larry Page发了一封邮件,里面含有一条Harris自家网址的URL。然后将邮件回覆地址设为自己的邮箱,令Brin和Page看罢后可以与他联络。
及后Harris没有收到任何回覆,两天后他发现Google的密钥突然变成了2048位元,他的网站出现了大量来自Google公司IP位址的存 取,他才意识到自己发现的是一个真正的漏洞。Harris开始观察其它网站,结果发现了同样的安全问题。eBay、Yahoo、Twitter和 Amzon用的同样是512位元密钥,PayPal、LinkdedIn、US Bank和HSBC用的则是768位元密钥。Harris说他可以在24小时内,利用他的笔记本电脑破解384位元密钥,512位元则可利用Amazon AWS在72小时内破解,成本只是75美元。768位元密钥虽然不是他能力所及,但只要有一个庞大团队,要破解只是时间上的问题。
要修正问题其实很容易,只要重新生成一条1024位元或以上的密钥放在DNS记录上就可以了,但还要紧记将旧有的密钥移除,因为只要这条密钥仍然在 DNS记录上,就有被攻击者利用的可能。加密机制其实和软体一样,需要定期更新,特别是容易成为攻击对象的银行和金融机构,绝对应用加强这方面的安全性。
整件事最讽刺的,是Harris根本不是保安专家,在开始研究那封怀疑是来自Google的垃圾邮件之前,他甚至不知道DKIM是什么,证明只要是一个稍为细心、又有一点技术根底的话,绝对有发现这这个漏洞的可能。
来自:http://www.linuxpilot.net/industry/news/20121031Gmail-HSBC-DKIM
相关文章推荐
- 来自Gmail、汇丰的邮件真的安全吗 ?
- 用 Gmail 的 SMTP 发送邮件
- TurboMail 邮件系统解决企事业单位邮件信息安全问题
- CRM 收Gmail 邮件设置
- gmail 安全检查步骤zz from lihlii
- 分享来自zoomla!逐浪CMS的五种常见的ASP.NET安全缺陷
- 使用Python (3.2.2) 的poplib收取GMAIL的邮件
- 忘记密码功能的安全实现(邮件方式)
- 监控和安全运维 1.7 nagios配置邮件告警
- 邮件系统常见的安全问题有哪些?
- 扫盲,什么是graphic core--来自qualcomm的一篇邮件
- 导出gmail邮件
- 在 SQL Server 2005/2008 中,使用 Gmail 帐号配置数据库邮件功能
- Ubuntu下配置用msmtp发送gmail邮件
- 使用Gmail发送邮件心得
- 在ASP.NET2.0中通过Gmail发送邮件的代码
- MyCnCart和OpenCart如何设置Gmail的SMTP发送邮件
- python模块之smtplib: 用python发送SSL/TLS安全邮件
- VS2005中使用webBrowser控件实现自动登录Gmail邮件的实例