Nejlepší potravina pro hladký porod
Za tímto účelem využili chybu v digitální certifikáty používané webovými stránkami k prokázání toho, že jsou to, o které tvrdí, že jsou. Využitím známých nedostatků v algoritmu hašování MD5, který byl použit při vytváření některých certifikátů, byli vědci schopni hackovat certifikační autoritu RapidSSL.com společnosti Verisign a vytvořit falešné digitální certifikáty pro všechny webové stránky na Internetu. vytvořit "otisk prstu" pro dokument, číslo, které má jednoznačně identifikovat daný dokument a snadno se vypočítá, aby ověřilo, že dokument nebyl změněn v tranzitu. Algoritmus hashování MD5 je však chybný, což umožňuje vytvořit dva různé dokumenty, které mají stejnou hodnotu hash. Takto by mohl někdo vytvořit certifikát pro phishingové stránky se stejným otiskem prstu jako certifikát pro skutečné stránky.
[Další informace: Jak odstranit malware z vašeho počítače se systémem Windows]
Plánují prezentovat své závěry na hackerské konferenci Chaos Communication Congress, která se konala v Berlíně v úterý, v diskusi, která již byla předmětem některých výzkumů v komunitě bezpečnosti internetu
Výzkumná práce byla provedena mezinárodním týmem, který zahrnoval nezávislé výzkumníky Jacob Appelbaum a Alexander Sotirov, stejně jako počítačové vědce z Centra Wiskunde & Informatica, Ecole Polytechnique Federale de Lausanne, Technologická univerzita v Eindhovenu a Kalifornská univerzita v Berkeley.
Ačkoli vědci věří, že útok v reálném světě s použitím jejich technik je nepravděpodobný, říkají, že jejich práce ukazuje, že by algoritmus hashování MD5 již neměl používat společnosti vydávající certifikáty, které vydávají digitální certifikáty. "Je to probuzení pro každého, kdo stále používá MD5," uvedl David Molnar, student Berkeley, který na projektu pracoval.
Kromě služeb Rapidssl.com, TC TrustCenter AG, RSA Data Security, Thawte a Verisign.co. jp všichni používají MD5 k vygenerování svých certifikátů, říkají výzkumníci.
Spuštění útoku je těžké, protože špatní kluci musí nejprve vytrhnout oběti do návštěvy škodlivého webu, který hostí falešný digitální certifikát. Toho lze dosáhnout použitím toho, co se nazývá útok člověka ve středu. Minulý srpen bezpečnostní výzkumník Dan Kaminsky ukázal, jak by mohla být použita hlavní chyba v systému doménového jména v síti Internet, aby se mohly spustit útoky typu "man-in-the-middle". Díky tomuto nejnovějšímu výzkumu je nyní snadnější spustit tento typ útoku proti webovým stránkám zabezpečeným pomocí šifrování SSL (Secure Sockets Layer), které se opírá o důvěryhodné digitální certifikáty.
"Můžete použít chybu DNS kaminsky v kombinaci s tímto aby se dosáhlo prakticky nezjistitelného phishingu, "říká Molnar.
Nejedná se o rozhovor o tom, co se může stát nebo co může někdo dělat, je to ukázka toho, co vlastně udělali výsledky to dokazují, "napsal HD Moore, ředitel bezpečnostního výzkumu společnosti BreakingPoint Systems, v blogu, který zveřejnil rozhovor.
Cryptographers se od roku 2004 postupně zbavují bezpečnosti MD5, když tým vedl Shandong Univerzita Wang Xiaoyun prokázala nedostatky v algoritmu
Vzhledem k stavu výzkumu MD5 by certifikační autority měly před lety vylepšit bezpečnostní algoritmy, jako například SHA-1 (Secure Hash Algorithm-1), "řekl Bruce Schneier, známý expert na kryptografii a vedoucí bezpečnostní techniky s BT.
Společnost RapidSSL.com přestane vydávat certifikáty MD5 do konce ledna a zkoumá, jak povzbudit své zákazníky k tomu, aby se přestěhovali do nových digitálních certifikátů, říká Tim Callan, viceprezident produktového marketingu společnosti Verisign
Ale nejprve se chce společnost dobře podívat na tento nejnovější výzkum. Molnar a jeho tým oznámili své zjištění společnosti Verisign nepřímo prostřednictvím společnosti Microsoft, ale s Verisignem nemluvili přímo ze strachu, že by společnost mohla podniknout právní kroky, aby zrušila svůj rozhovor. V minulosti občas někdy získaly soudní příkazy, aby zabránili vědcům, aby mluvili na hackerských konferencích.
Callan řekl, že si přeje, aby Verisign dostal více informací. "Nemohu vyjádřit, jak jsem zklamaný, že blogery a novináři jsou o tom informováni, ale my nejsme, vzhledem k tomu, že jsme lidé, kteří musí skutečně reagovat."
Zatímco Schneier řekl, že byl ohromen matematika za tímto nejnovějším výzkumem uvedla, že na internetu jsou již mnohem důležitější bezpečnostní problémy - slabiny, které vystavují například velké množství citlivých informací.
"Nezáleží na tom, zda dostanete falešný certifikát MD5, protože nikdy nezkontrolujete své cvrlikání, "řekl. "Existují desítky způsobů, jak to falešně a to je ještě jiné."
Recenze: Užijte si na ploše úhledné webové aplikace pomocí aplikace Cubiez
Cubiez odstraňuje webové aplikace z prohlížeče a přenese je na pracovní plochu , které si můžete kdykoli vychutnat.
Aplikace pro webové stránky vám umožní otevřít webové stránky pomocí aplikace nebo prohlížeče
Aplikace pro webové stránky je novou funkcí v systému Windows 10, umožňuje ovládat chování různých odkazů a přidružených aplikací, které mohou otevřít webové odkazy.
Aplikace Aplikace Aplikace Aplikace Aplikace pro volání je skvělá pro základní editaci fotografií
Jednou z hlavních věcí, které Microsoft tlačí v systému Windows 10 je Obchod . Od uvedení Windows do provozu před 8 lety jsme zjistili, že je těžké najít něco, co je k dispozici.