Счупихме интернет… пак
December 31st, 2008 от singu
…за последно през 2008 г.
На 25С3 – двадесет и петата хакерска конференция Chaos Communication Congress, няколко изследователя откриха нов начин да счупят фундаментално интернет.
От ляво надясно: Benne de Weger, Arjen Lenstra, Marc Stevens, Jacob Appelbaum, David Molnar, Александър Сотиров. Фотография: Alexander Klink (CC-BY)
По същество те са открили начин, по който да създадат валидно Certificate Authority или Сертификационен Доставчик ( като нашите мили родни Инфонотари, Би-тръст и т.н. ). Ключовото е, че тяхнотото СА всъщност е подписано с фалшифициран сертификат, издаден от някое от основните CA – тези които са заложени във всеки браузър. Използвайки техният собствен CA, хората от горната снимка могат да издадат валиден сертификат за абсолютно всеки сайт – например ubb.bg, fibank.bg, microsoft.com. Този сертификат се използва за удостоверяване на “самоличността” на сайта пред вашият браузър и за изграждане на криптирана ( SSL / TLS ) връзка. Ако подобен сертификат се инсталира на фалшиф сайт, когато потребителите се логнат в него, те няма да забележат нищо необичайно – браузъра ще си има катинарчето, връзката ще е SSL, всичко ще е криптирано – идеалната MitM атака, при която нито подслушваният, нито доставчика му на услуги могат да установят подслушването, а човекът по средата ще може да прехване целият комуникационен обмен.
Други интересни факти – използван е клъстер от 200 PlayStation 3 системи, за да направят нужните изчисления в разумен срок ( в рамките на два дни ), което е първото практическо приложени на игровата конзола за хакване, единият от изследователите е българин.
Използваните Playstation 3
Атаката се базира на т.нар. колизия на MD5, като доразвива идеята на група китайски учени, представена през 2004-та и използва предсказуемият начин на генериране на сертификати от едният от основните СА – последователни серийни номера и фиксирано време от подаване на заявката. За повече информация – посетете сайта на Александър Сотиров или прочетете подробната статия по въпроса.
Подобни статии:
