Webové aplikace

Graphic: Diego AguirreWith pomohlo asi 200 Sony PlayStations, mezinárodní tým výzkumníků v oblasti bezpečnosti navrhl způsob, jak podkopat algoritmy používané k ochraně bezpečných webových stránek a spustit téměř nedetekovatelný phishingový útok.

Za tímto účelem využili chybu v digitální certifikáty používané webovými stránkami k prokázání toho, že jsou to, o které tvrdí, že jsou. Využitím známých nedostatků v algoritmu hašování MD5, který byl použit při vytváření některých certifikátů, byli vědci schopni hackovat certifikační autoritu RapidSSL.com společnosti Verisign a vytvořit falešné digitální certifikáty pro všechny webové stránky na Internetu. vytvořit "otisk prstu" pro dokument, číslo, které má jednoznačně identifikovat daný dokument a snadno se vypočítá, aby ověřilo, že dokument nebyl změněn v tranzitu. Algoritmus hashování MD5 je však chybný, což umožňuje vytvořit dva různé dokumenty, které mají stejnou hodnotu hash. Takto by mohl někdo vytvořit certifikát pro phishingové stránky se stejným otiskem prstu jako certifikát pro skutečné stránky.

[Další informace: Jak odstranit malware z vašeho počítače se systémem Windows]

Použití farmy se zařízeními Playstation 3, vědci vybudovali "neoprávněnou certifikační autoritu", která by mohla vydat falešné certifikáty, které by byly důvěryhodné prakticky všem prohlížečům. Procesory Playstation's Cell jsou oblíbené při rušení kódů, protože jsou obzvláště dobré při provádění kryptografických funkcí.

Plánují prezentovat své závěry na hackerské konferenci Chaos Communication Congress, která se konala v Berlíně v úterý, v diskusi, která již byla předmětem některých výzkumů v komunitě bezpečnosti internetu

Výzkumná práce byla provedena mezinárodním týmem, který zahrnoval nezávislé výzkumníky Jacob Appelbaum a Alexander Sotirov, stejně jako počítačové vědce z Centra Wiskunde & Informatica, Ecole Polytechnique Federale de Lausanne, Technologická univerzita v Eindhovenu a Kalifornská univerzita v Berkeley.

Ačkoli vědci věří, že útok v reálném světě s použitím jejich technik je nepravděpodobný, říkají, že jejich práce ukazuje, že by algoritmus hashování MD5 již neměl používat společnosti vydávající certifikáty, které vydávají digitální certifikáty. "Je to probuzení pro každého, kdo stále používá MD5," uvedl David Molnar, student Berkeley, který na projektu pracoval.

Kromě služeb Rapidssl.com, TC TrustCenter AG, RSA Data Security, Thawte a Verisign.co. jp všichni používají MD5 k vygenerování svých certifikátů, říkají výzkumníci.

Spuštění útoku je těžké, protože špatní kluci musí nejprve vytrhnout oběti do návštěvy škodlivého webu, který hostí falešný digitální certifikát. Toho lze dosáhnout použitím toho, co se nazývá útok člověka ve středu. Minulý srpen bezpečnostní výzkumník Dan Kaminsky ukázal, jak by mohla být použita hlavní chyba v systému doménového jména v síti Internet, aby se mohly spustit útoky typu "man-in-the-middle". Díky tomuto nejnovějšímu výzkumu je nyní snadnější spustit tento typ útoku proti webovým stránkám zabezpečeným pomocí šifrování SSL (Secure Sockets Layer), které se opírá o důvěryhodné digitální certifikáty.

"Můžete použít chybu DNS kaminsky v kombinaci s tímto aby se dosáhlo prakticky nezjistitelného phishingu, "říká Molnar.

Nejedná se o rozhovor o tom, co se může stát nebo co může někdo dělat, je to ukázka toho, co vlastně udělali výsledky to dokazují, "napsal HD Moore, ředitel bezpečnostního výzkumu společnosti BreakingPoint Systems, v blogu, který zveřejnil rozhovor.

Cryptographers se od roku 2004 postupně zbavují bezpečnosti MD5, když tým vedl Shandong Univerzita Wang Xiaoyun prokázala nedostatky v algoritmu

Vzhledem k stavu výzkumu MD5 by certifikační autority měly před lety vylepšit bezpečnostní algoritmy, jako například SHA-1 (Secure Hash Algorithm-1), "řekl Bruce Schneier, známý expert na kryptografii a vedoucí bezpečnostní techniky s BT.

Společnost RapidSSL.com přestane vydávat certifikáty MD5 do konce ledna a zkoumá, jak povzbudit své zákazníky k tomu, aby se přestěhovali do nových digitálních certifikátů, říká Tim Callan, viceprezident produktového marketingu společnosti Verisign

Ale nejprve se chce společnost dobře podívat na tento nejnovější výzkum. Molnar a jeho tým oznámili své zjištění společnosti Verisign nepřímo prostřednictvím společnosti Microsoft, ale s Verisignem nemluvili přímo ze strachu, že by společnost mohla podniknout právní kroky, aby zrušila svůj rozhovor. V minulosti občas někdy získaly soudní příkazy, aby zabránili vědcům, aby mluvili na hackerských konferencích.

Callan řekl, že si přeje, aby Verisign dostal více informací. "Nemohu vyjádřit, jak jsem zklamaný, že blogery a novináři jsou o tom informováni, ale my nejsme, vzhledem k tomu, že jsme lidé, kteří musí skutečně reagovat."

Zatímco Schneier řekl, že byl ohromen matematika za tímto nejnovějším výzkumem uvedla, že na internetu jsou již mnohem důležitější bezpečnostní problémy - slabiny, které vystavují například velké množství citlivých informací.

"Nezáleží na tom, zda dostanete falešný certifikát MD5, protože nikdy nezkontrolujete své cvrlikání, "řekl. "Existují desítky způsobů, jak to falešně a to je ještě jiné."