Środa, 31 grudnia 2008, 13:07
Niebezpieczny Internet
Niezależni kalifornijscy specjaliści ds. bezpieczeństwa, we współpracy z ekspertami z holenderskiego Centrum Wiskunde & Informatica (CWI), uniwersytetu technicznego w Eindhoven (TU/e) oraz szwajcarskiego EPFL odkryli lukę w powszechnie wykorzystywanych w Internecie cyfrowych certyfikatach.Dziura umożliwia takie podrobienie certyfikatu, że zostanie on zaakceptowany przez każdą przeglądarkę. Pozwala to atakującemu na przygotowanie witryny lub serwisu pocztowego, który bez najmniejszego problemu podszyje się pod prawdziwą stronę. Przestępca może wówczas niezauważenie dokonać ataku phishingowego.
Eksperci poinformowali o swoim odkryciu podczas odbywającej się właśnie w Berlinie konferencji 25C3. Mają nadzieję, że dzięki ich ostrzeżeniu upowszechnią się bezpieczniejsze algorytmy.
Mowa tutaj o sytuacji, gdy korzystamy z powszechnie stosowanego protokołu https. Przeglądarka informuje nas o tym fakcie wyświetlając zamkniętą kłódkę, co oznacza, że witryna, którą odwiedzamy, została zabezpieczona szyfrowanym certyfikatem. W takich wypadkach stosuje się kilka algorytmów, a jednym z najpowszechniejszych jest MD5. I to w nim właśnie znaleziono lukę.
O pierwszych problemach z MD5 poinformowali Chińczycy w 2005 roku. Byli oni w stanie znaleźć kolizję dla tego algorytmu i przeprowadzić atak polegający na wysłaniu dwóch różnych wiadomości chronionych tym samym podpisem cyfrowym. Chińska metoda była jednak bardzo trudna do wykonania. W maju 2007 roku uczeni z CWI, EPFL i TU/e pokazali, że podczas podobnego ataku można wykorzystać dowolne wiadomości.
Obecnie ci sami eksperci dowiedli, że możliwe jest podrobienie dowolnego certyfikatu tak, że zostanie on zaakceptowany przez wszystkie popularne przeglądarki internetowe. Co więcej, do podrobienia certyfikatu wystarczy moc obliczeniowa ponad 200 współczesnych konsoli do gier.
Specjaliści zwracają uwagę, że połączenie podrobionego certyfikatu ze znanymi słabościami systemu DNS pozwala na przeprowadzenie niewykrywalnego ataku phishingowego.
Firmy produkujące popularne przeglądarki internetowe zostały już powiadomione o tym problemie.
Odkrywcy luki uważają, że instytucje wydające certyfikaty bezpieczeństwa powinny zrezygnować z używania MD5 i korzystać z innych algorytmów, takich jak np. SHA-2.
Mariusz Błoński
Wersja do druku
Podobne tematy
Oszuści coraz częściej rozprzestrzeniają wiadomości spamowe i phishingowe z legalnych stron internetowych firm
, 25.08.2019 r.
Zainteresowanie sklepami internetowymi wśród dzieci rośnie trzykrotnie wraz ze zmianą sposobu wyszukiwania towarów
, 15.06.2019 r.
Liczba szkodliwego oprogramowania atakującego urządzenia Internetu Rzeczy wzrosła ponad dwukrotnie w 2017 r.
, 19.09.2017 r.
Portale (nie)społecznościowe: zazdrość o znajomych internetowych pogarsza samopoczucie użytkowników
, 24.02.2017 r.
10 praktycznych porad w Dniu Bezpiecznego Internetu
, 09.02.2017 r.
Phishing niebezpieczny dla wszystkich
, 18.11.2009 r.
Niebezpieczny Flash
, 13.11.2009 r.
Niebezpieczny YouTube
, 15.09.2008 r.
Niebezpieczny GPS
, 22.07.2008 r.Starsze
LG KS660 oraz GD910 - ciekawe telefony, 13:00
Microsoft proponuje nowy model korzystania z peceta, 16:32
Nowsze
Ciekawostki w licencji Windows 7 Beta 1, 13:10
OpenOffice w stagnacji, 17:47
Redakcja nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego.
Brak komentarzy. Może warto dodać swój własny?
Copyright © 2002-2024 | Prywatność | Load: 2.11 | SQL: 18 | Uptime: 29 days, 17:05 h:m |
Wszelkie uwagi prosimy zgłaszać pod adresem eddy@heh.pl