חוקרים גילו התקף פישינג בלתי נגלה

גרפיקה: דייגו אגיררה בעזרתם של כ -200 Sony PlayStations, צוות בינלאומי של חוקרי אבטחה פיתח דרך לערער את האלגוריתמים המשמשים להגנה על אתרי אינטרנט מאובטחים ולהפעיל התקפת פישינג כמעט בלתי ניתנת לגילוי.

כדי לעשות זאת, הם ניצלו באג ב- את האישורים הדיגיטליים המשמשים אתרי אינטרנט כדי להוכיח שהם מי הם טוענים להיות. על ידי ניצול של ליקויים ידועים באלגוריתם MD5 hashing המשמש ליצירת כמה אישורים אלה, החוקרים היו מסוגלים לפרוץ את הסמכה של RapidSSL.com אישור של Verisign וליצור אישורים דיגיטליים מזויפים עבור כל אתר אינטרנט באינטרנט.

Hashes משמשים כדי ליצור "טביעת אצבע" עבור מסמך, מספר שאמור לזהות באופן ייחודי מסמך נתון והוא מחושב בקלות כדי לוודא כי המסמך לא השתנה במהלך המעבר. האלגוריתם MD5 hashing, לעומת זאת, הוא פגום, מה שמאפשר ליצור שני מסמכים שונים בעלי ערך חשיש אותו. כך יכול אדם ליצור אישור עבור אתר התחזות עם אותה טביעת אצבע של האישור של האתר המקורי.

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows]

באמצעות החווה של מכונות פלייסטיישן 3, החוקרים בנו "הסמכה תעודת נוכלים", כי אז יכול להנפיק תעודות מזויפות כי יהיה אמון על ידי כמעט כל דפדפן. מעבד ה- Cell של הפלייסטיישן פופולרי בקרב מפסקי קוד, משום שהוא טוב במיוחד בביצוע פונקציות הצפנה.

הם מתכוונים להציג את ממצאיהם בכנס האקרים של חברת הקאוס לתקשורת, שהתקיים בברלין ביום שלישי, בשיחה שכבר היתה הנושא של כמה ספקולציות בקהילת אבטחת האינטרנט.

עבודת המחקר נעשתה על ידי צוות בינלאומי שכלל את החוקרים העצמאיים יעקב אפלבאום ואלכסנדר סוטירוב, וכן מדעני מחשבים ממרכז ויסקונדה ואינפורמטיקה, מרכז הפוליטכני של הפדרלה דה לוזאן, אוניברסיטת Aindhoven של טכנולוגיה באוניברסיטת קליפורניה, ברקלי. למרות שהחוקרים מאמינים כי התקפה בעולם האמיתי באמצעות הטכניקות שלהם סביר, הם אומרים כי העבודה שלהם מראה כי האלגוריתם MD5 hashing לא צריך עוד לשמש על ידי חברות אשר מעניקות תעודות דיגיטליות. "זוהי קריאת השכמה עבור כל אחד שעדיין משתמש ב- MD5", אומר דיוויד מולנר, סטודנט לתואר שני בברקלי שעבד על הפרויקט.

בנוסף ל- Rapidssl.com, TC TrustCenter AG, RSA Data Security, Thawte ו- Verisign.co. Jp כל MD5 להשתמש כדי ליצור את האישורים שלהם, אומרים החוקרים. שיגור התקפה קשה, כי הרעים חייבים תחילה להונות קורבן לתוך ביקור באתר זדוני המארח את התעודה הדיגיטלית מזויפת. אבל זה יכול להיעשות באמצעות מה שנקרא התקפת אדם באמצע. בחודש אוגוסט האחרון, חוקר האבטחה דן קמינסקי הראה כיצד פגם גדול במערכת ה- Domain Name System של האינטרנט יכול לשמש להשיק התקפות של אדם באמצע. בעזרת מחקר זה, עכשיו זה הופך להיות קל יותר להשיק סוג זה של התקפה נגד אתרי אינטרנט מאובטחת באמצעות SSL (Secure Sockets Layer) הצפנה, אשר מסתמך על תעודות דיגיטליות אמין.

"אתה יכול להשתמש באגים DNS של kaminsky, בשילוב עם זה כדי לקבל דיוג כמעט בלתי ניתן לגילוי ", אומר מולנר," זה לא דיבור על מה שקורה או מה שמישהו יכול לעשות, זה הפגנה של מה שהם עשו עם על מנת להוכיח את זה ", כתב HD מור, מנהל מחקר אבטחה ב- BreakingPoint Systems, בבלוג שפורסם בשיחה.

Cryptographers כבר בהדרגה צולף משם האבטחה של MD5 מאז 2004, כאשר צוות בראשות שאנדונג אוניברסיטת וואנג שיאו-יון הפגין פגמים באלגוריתםבהינתן מצב המחקר ב- MD5, על רשויות האישור לשדרג לאלגוריתמים מאובטחים יותר כמו SHA-1 (Secure Hash Algorithm-1) "לפני שנים", אמר ברוס שנייר, מומחה לקריפטוגרפיה, RapidSSL.com תפסיק להנפיק תעודות MD5 עד סוף ינואר, ותראה כיצד לעודד את לקוחותיה לעבור לאישורים דיגיטליים חדשים לאחר מכן, אמר טים קליאן, סגן נשיא לשיווק מוצרים בחברת Verisign. אבל קודם כל, החברה רוצה לקבל מבט טוב על מחקר זה האחרון. מולנר וצוותו העבירו את הממצאים לוריסיין בעקיפין, באמצעות מיקרוסופט, אך הם לא דיברו ישירות עם וריסין, מחשש שהחברה תנקוט פעולה משפטית כדי לשבור את הדיבור שלהם. בעבר, חברות קיבלו לפעמים צווי בית משפט כדי למנוע מחוקרים לדבר על כנסים פריצה.

Callan אמר כי הוא היה רוצה Verisign קיבל מידע נוסף. "אני לא יכול לבטא כמה מאוכזב אני בלוגרים ועיתונאים מתודרכים על זה אבל אנחנו לא, בהתחשב בעובדה שאנחנו האנשים שצריכים להגיב באמת."

בעוד שנייר אמר שהוא התרשם מתמטיקה שמאחורי המחקרים האחרונים, אמר כי יש כבר הרבה בעיות אבטחה חשובות באינטרנט - חולשות שחושפות מסדי נתונים גדולים של מידע רגיש, למשל.

"זה לא משנה אם אתה מקבל אישור MD5 מזויף, כי אתה אף פעם לא לבדוק את certs שלך בכל מקרה, "הוא אמר. "יש עשרות דרכים לזייף את זה וזה עוד אחד."