Bileşenler

Araştırmacılar Saptanamayan Kimlik Avı Saldırısı

Kimlik, Ehliyet ve Bankaya Tek Kart Olacak

Kimlik, Ehliyet ve Bankaya Tek Kart Olacak
Anonim

Grafik: Diego AguirreWith Uluslararası bir güvenlik araştırmacıları ekibi olan 200 Sony PlayStation'un yardımı, güvenli Web sitelerini korumak ve neredeyse tespit edilemeyen bir phishing saldırısı başlatmak için kullanılan algoritmaları zayıflatmak için bir yol tasarladı.

Bunu yapmak için, Web siteleri tarafından kullanıldığını iddia ettikleri dijital sertifikalar. Bu sertifikalardan bazılarını oluşturmak için kullanılan MD5 karma algoritmasında bilinen kusurlardan yararlanarak, araştırmacılar Verisign'ın RapidSSL.com sertifika yetkilisini hacklemeyi ve internetteki herhangi bir Web sitesi için sahte dijital sertifikalar oluşturmayı başardılar.

Karmalar kullanılıyor Belge için bir "parmak izi" oluşturmak için, belirli bir belgeyi benzersiz olarak tanımlaması gereken bir sayı ve belgenin geçişte değiştirilmediğini doğrulamak için kolayca hesaplanır. Bununla birlikte, MD5 karma algoritması kusurludur ve aynı karma değere sahip iki farklı belge oluşturulmasını mümkün kılar. Bu, bir kişinin, orijinal site için sertifikayla aynı parmak izine sahip bir kimlik avı sitesi için sertifika oluşturabilmesidir.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Kendi Playstation 3 makineleri çiftliğini kullanarak araştırmacılar, hemen hemen her tarayıcı tarafından güvenilecek sahte sertifikalar verebilecek bir "sahte sertifika yetkilisi" oluşturdular. Playstation'ın Hücre İşlemcisi kod kırıcıları ile popülerdir çünkü özellikle kriptografik işlevlerin yerine getirilmesinde iyidir.

Bulgularını şimdiden konuyla ilgili bir konuşmada Salı günü Berlin'de düzenlenen Kaos İletişim Kongresi hacker konferansında sunmayı planlıyorlar. İnternet güvenlik topluluğunda bazı spekülasyonların bulunması

Araştırma çalışmaları bağımsız araştırmacı Jacob Appelbaum ve Alexander Sotirov'un yanı sıra Centrum Wiskunde & Informatica, Ecole Polytechnique Federale de Lausanne bilgisayar bilimcilerini içeren uluslararası bir ekip tarafından yapıldı. Eindhoven Teknoloji Üniversitesi ve Kaliforniya Üniversitesi, Berkeley.

Araştırmacılar, tekniklerinin kullanıldığı gerçek bir dünya saldırısının olası olmadığına inansalar da, yaptıkları çalışmaların MD5 karma algoritmasının artık kullanılmaması gerektiğini gösterdiğini söylüyorlar. dijital sertifika veren sertifika yetkilisi şirketleri. Projede çalışan Berkeley lisansüstü öğrencisi David Molnar, “MD5'i kullanan herkes için bir uyandırma çağrısı” diyor.

Rapidssl.com, TC TrustCenter AG, RSA Data Security, Thawte ve Verisign.co'ya ek olarak. jp, sertifikalarını üretmek için MD5 kullanıyor, diyor.

Bir saldırının başlatılması zordur, çünkü kötü adamlar bir kurbanı sahte dijital sertifikaya ev sahipliği yapan kötü amaçlı Web sitesini ziyaret etmeleri için ilk kez kandırmalıdır. Ancak bu, ortadaki adam saldırısı olarak adlandırılan şeyi kullanarak yapılabilir. Geçtiğimiz Ağustos ayında, güvenlik araştırmacısı Dan Kaminsky, Internet'in Alan Adı Sistemindeki büyük bir kusurun ortadaki adam saldırılarını başlatmak için nasıl kullanılabileceğini gösterdi. Bu en son araştırmalarla, Web sitelerine karşı bu tür saldırıların başlatılması artık daha kolay hale geldi ve güvenilir dijital sertifikalara dayanan SSL (Güvenli Yuva Katmanı) şifrelemesi kullanılarak güven altına alındı.

"Kaminsky'nin DNS hatasını, bununla birlikte kullanabilirsiniz neredeyse tespit edilemeyen kimlik avı elde etmek için, "Molnar dedi.

" Bu, ne olabileceği ya da birisinin yapabilecekleri hakkında bir pasta-in-the-sky konuşma değil, aslında ne yaptığını gösteren bir gösteridir. Bunu kanıtlamak için sonuçlar, "BreakingPoint Systems'da güvenlik araştırması direktörü HD Moore, bir blog yazısı yazdı.

Kriptograflar, Shandong'un liderliğindeki bir ekip tarafından 2004'ten bu yana MD5'in güvenliğine giderek yavaş yavaş kırılıyor Üniversitenin Wang Xiaoyun algoritmasında kusurlar gösterdi.

MD5 ile ilgili araştırmaların durumu göz önünde bulundurulduğunda, sertifika yetkilileri, SHA-1 (Güvenli Karma Algoritma-1) gibi daha güvenli algoritmalara "yıllar önce" geçmesi gerektiğini belirtti, "dedi Bruce Schneier, BT ile bir şifreleme uzmanı ve baş güvenlik teknolojisi görevlisi

RapidSSL.com, Ocak ayı sonunda MD5 sertifikaları vermeyi durduracak ve bundan sonra müşterilerini yeni dijital sertifikalara geçmeye nasıl teşvik edeceklerini araştırdı, diyor Verisign ile ürün pazarlaması başkan yardımcısı Tim Callan.

Ama önce, şirket bu son araştırmaya iyi bakmak istiyor. Molnar ve ekibi bulgularını Microsoft aracılığıyla dolaylı olarak Verisign'a iletmişlerdi, ancak şirketin sözlerini kesmek için yasal işlem yapabileceklerinden korkarak doğrudan Verisign ile konuşmadılar. Geçmişte, şirketlerin araştırmacıları hacking konferanslarında konuşmalarını engellemek için mahkeme emirleri aldılar.

Callan, Verisign'a daha fazla bilgi verilmesini dilediğini söyledi. “Blogcuların ve gazetecilerin bu konuda bilgilendirilmelerini nasıl hayal kırıklığına uğrattığımı açıklayamıyorum ama aslında yanıt vermemiz gereken insanlar olduğumuzu düşünmüyoruz.”

Schneier, onun etkilendiğini söyledi. Bu son araştırmanın arkasındaki matematik, internette çok daha önemli güvenlik sorunlarının olduğunu söyledi - örneğin, büyük bilgilerin hassas veritabanlarını ortaya çıkaran zayıflıklar, örneğin.

"Sahte bir MD5 sertifikası almanız farketmez. Çünkü sen zaten hiçbir zaman cetvellerini kontrol etmedin "dedi. "Bunu yapmak için düzinelerce yol var ve bu da başka bir şey."