729
數學家發現 Gmail 安全漏洞
某 天,佛羅裏達州朱庇特鎮的數學家 Zachary Harris 收到了一封奇怪的郵件。這封郵件來自 Google 的招聘人員,問他是否對網站可靠性工程師的職位感興趣。“很顯然你對 Linux 和編程有激情”,信件中這樣寫道,”我希望知道,你是否對 Google 提供的機會保持開放的態度?“
這很起來很有意思,但是 Harris 卻有些疑惑。這封信完全是突然出現的,而且做為一個數學家,他似乎不是 Google 提供職位的合適對象。Harris 懷疑這是否是一封垃圾郵件,於是他檢查了郵件頭信息。出於預料的是,他竟然發現了一個廣為存在的網絡安全漏洞。Wired 網站給我們講述了這件事情的發生經過。
Zackery 發現,在向郵件接收方證明發送方身份的時候,Google 使用了一個弱密鑰證書。如果有人能夠破解密鑰,就能夠假裝 Google 員工發短信,包括假裝 Google 創始人。Google 在 Gmail 上使用了 DKIM (域密鑰識別郵件)技術,按照標準 DKIM 是需要 1024 位密鑰的,但是 Google 用的是 512 位,這使得密鑰更加容易破解。
Harris Zackery 認為 Google 不可能如此粗心,這可能是一個狡猾的測試題,用來檢測應聘人員發現漏洞的能力。雖然他對 Google 的工作不感興趣,但他決定破解這個密鑰,表示自己參與了他們的遊戲。
他假裝自己是 Sergey Brin,給 Larry Page 發了一封郵件。內容是這樣的:
嘿,Larry:
這裏有個非常有趣的想法,仍然處於初步開發階段:
https://www.everythingwiki.net/index.php/What_Zach_wants_regarding_wiki_technology
如果上麵的鏈接打不開,試試這個:
https://everythingwiki.sytes.net/index.php/What_Zach_wants_regarding_wiki_technology
我想我們應該看看 Google 是否應該以某種方式和這個家夥合作,你覺得呢?
-Sergey
他 把郵件的回複地址設為自己的郵箱,那樣的話,如果 Brin 和 Page 看到郵件,或許會問他是如何破解 Google 給出的問題的。但是,Harris 從未收到任何回複。兩天後,他發現 Google 的密鑰突然變成了 2048 位,而且他的網站出現了大量來自 Google 公司 IP 地址的訪問。他這才意識到自己發現了一個真正的漏洞。
Harris 開始觀察其它網站的情況,結果發現了同樣的安全問題。這包括 PayPal、Yahoo、亞馬遜、eBay、蘋果、戴爾、LinkedIn、Twitter、SBCGlobal、惠普、Match.com 和 HSBC。如果你有足夠技巧,完全可以在郵件中假裝自己是貝索斯或者梅耶爾。
在 Google 的郵件係統發現漏洞,顯得有些諷刺意味,因為 Google 一直在努力幫助 Gmail 用戶清理垃圾郵件。Google 的一位發言人對 Wired 網站說,Google 非常重視這個問題,很快就填補了漏洞。公司在所有受到影響的域名上更換了密鑰,並且都改成了高於 1024 位的密鑰。
弱 密鑰的破解需要多長時間?Harris Zackery 說,他可以在 24 小時內破解 384 位密鑰。至於 512 位的密鑰,如果使用亞馬遜的網絡服務,他可以在 72 小時內破解。768 位的密鑰就是他力所不及的了,不過一個大團隊可以做到。 他發現,eBay、Yahoo、Twitter 和亞馬遜用的都是 512 位密鑰,PayPal、LinkdedIn、US Bank 和 HSBC 用的是 768 位。
看起來涉及資金周轉的機構還是比較重視安全的。不過 Harris 認為,這仍然不夠,像 PayPal 這樣的網站,應該使用 1024 位的密鑰。他猜測大公司出現這種安全漏洞的原因是,他們設置密鑰後就忘記更新了,沒有跟上加密領域的進步。
Harris 並不是安全研究員。在開始研究那封奇怪的 Gmail 之前,他甚至不知道 DKIM 是什麼。他說,”我在不了解 DKIM 的情況下做成這件事情,證明那些有足夠技術背景的人遲早發現這個漏洞“。
最後更新:2017-04-02 15:15:18