Tutkijat kehittävät huomaamatonta tietojenkalastelun hyökkäystä

Graphic: Diego AguirreWith noin 200 Sonyn PlayStationin, kansainvälisen tietoturva-alan tutkijoiden apu on kehittänyt tapaa heikentää algoritmeja, joita käytetään suojaamaan suojattuja verkkosivustoja ja käynnistämään lähes huomaamatonta phishing-hyökkäystä.

Tätä varten he ovat hyödyntäneet virheen verkkosivustojen käyttämät digitaaliset sertifikaatit todistaa, että he ovat niitä, jotka he väittävät olevansa. Hyödyntämällä tunnettuja puutteita MD5-hajautusalgoritmissa, jota käytetään näiden todisteiden luomiseen, tutkijat pystyivät hakemaan Verisignin RapidSSL.com-todistuksen viranomaiselta ja luomaan väärennettyjä digitaalisia varmenteita mille tahansa Web-sivustolle Internetissä.

Hashes käytetään luodaan "sormenjälki" asiakirjalle, jonka on tarkoitus yksilöidä tietyn asiakirjan yksilöivä, ja se voidaan helposti laskea sen varmistamiseksi, että asiakirjaa ei ole muokattu kauttakuljetettaessa. MD5-hajautusalgoritmi on kuitenkin virheellinen, joten on mahdollista luoda kaksi eri asiakirjaa, joilla on sama hash-arvo. Näin käyttäjä voi luoda todistuksen phishing-sivustolle, jolla on sama sormenjälki kuin aito sivuston todistus.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Playstation 3 -koneiden tilan käyttö, tutkijat rakensivat "väärennetyn varmenneviranomaisen", joka voisi sitten antaa väärennettyjä todistuksia, joiden luotettavuus olisi lähes millä tahansa selaimella. Playstationin soluprosessori on suosittu koodinpurkulaitteiden kanssa, koska se on erityisen hyvä kryptografisten toimintojen suorittamiseen.

He aikovat esitellä havainnoistaan ​​Berliinissä tiistaina pidetyssä Chaos Communication Congress käämikongressissa keskustelussa, joka on jo ollut aiheena jotain spekulointia Internet-turvallisuusyhteisössä.

Tutkimustyötä tekivät kansainvälinen tiimi, johon kuului riippumattomia tutkijoita Jacob Appelbaum ja Alexander Sotirov, sekä tietotekniikan tutkijoita Centrum Wiskunde & Informatica, Ecole Polytechnique Federale de Lausanne, Eindhovenin teknillinen yliopisto ja Kalifornian yliopisto, Berkeley.

Vaikka tutkijat uskovat, että niiden tekniikoita käyttävä reaalimaailmallinen hyökkäys on epätodennäköistä, he sanovat, että heidän työnsä osoittaa, että MD5-hajautusalgoritmia ei enää pitäisi käyttää sertifikaattien myöntäjät, jotka myöntävät digitaalisia todistuksia "Se on herätyspyyntö kaikille, jotka vielä käyttävät MD5: tä," sanoi David Molnar Berkeley-valmistuneelta opiskelijalta, joka työskenteli projektissa.

Rapidssl.com, TC TrustCenter AG, RSA Data Security, Thawte ja Verisign.co. jp käyttävät MD5: tä kaikkia todistustensa tuottamiseen, tutkijat sanovat.

Hyökkäyksen käynnistäminen on kovaa, koska pahikset joutuvat ensin huijata uhri käymään väärennettyä digitaalista varmentamaa haittaohjelmasta. Tämä voitaisiin tehdä kuitenkin käyttämällä sitä, mitä kutsutaan "mies-in-the-middle" -hyökkäykseksi. Viime elokuussa tietoturva-tutkija Dan Kaminsky osoitti, kuinka suurta puutetta Internetin verkkotunnuksen järjestelmässä voitaisiin käyttää man-in-the-middle-hyökkäyksiin. Tämän viimeisimmän tutkimuksen avulla on nyt helpompi käynnistää tällainen hyökkäys verkkosivustojen suojaamiseen käyttäen SSL (Secure Sockets Layer) -salausta, joka perustuu luotettaviin digitaalisiin sertifikaatteihin.

"Voit käyttää kaminskyn DNS-vikaa yhdistettynä tähän "Molnar sanoi:" Tämä ei ole pie-in-the-sky-puhetta siitä, mitä voi tapahtua tai mitä joku voisi tehdä, tämä on osoitus siitä, mitä he todellisuudessa tekivät tulokset osoittavat sen ", kirjoitti BreakingPoint Systemsin tietoturvatutkimuksen johtaja HD Moore blogikirjoituksessa.

Salaustekijät ovat vähitellen hajoittaneet MD5: n turvallisuuden vuodesta 2004, jolloin Shandongin johtama johtaja Yliopiston Wang Xiaoyun osoitti virheitä algoritmissa.

MD5: n tutkimustilanteen johdosta sertifikaattien viranomaisten olisi pitänyt päivittää turvallisempia algoritmeja, kuten SHA-1 (Secure Hash Algorithm-1) "vuosi sitten", kertoi Bruce Schneier, tunnettu salausasiantuntija ja BT: n turvallisuuspäällikkö.

RapidSSL.com lopettaa MD5-sertifikaattien myöntämisen tammikuun loppuun mennessä ja tutkii, miten kannustaa asiakkaitaan siirtymään uusiin digitaalisiin sertifikaatteihin sen jälkeen, sanoi Verisignilla tuotemarkkinoinnin varatoimitusjohtaja Tim Callan.

Ensinnäkin yritys haluaa tutustua tähän viimeisimpään tutkimukseen. Molnar ja hänen tiimensä olivat välittäneet löydöksensä Verisignille epäsuorasti Microsoftin välityksellä, mutta he eivät ole puhuneet suoraan Verisignin kanssa pelkäämättä, että yritys voisi ryhtyä oikeudellisiin toimiin poistaakseen puheensa. Aiemmin yritykset ovat joskus saaneet tuomioistuimen päätöksiä estää tutkijoita puhumasta hakkerointikokouksissa.

Callan sanoi, että hän halusi, että Verisignille oli annettu lisätietoja. "En voi sanoa, kuinka pettynyt olen, että bloggaajia ja toimittajia tiedotetaan tälle, mutta emme ole sitä mieltä, että me olemme ihmisiä, joiden on todella vastattava."

Schneier sanoi, että hän oli vaikuttunut hän totesi, että Internetissä on jo nyt paljon tärkeämpiä tietoturvaongelmia - heikkouksia, jotka paljastavat esimerkiksi arkaluonteisten tietojen suuret tietokannat.

"Ei ole väliä, jos saat fake MD5-todistuksen, koska et koskaan tarkista sertettejä joka tapauksessa ", hän sanoi. "On olemassa kymmeniä tapoja väärentää tämä ja tämä on vielä yksi."