コンポーネント

被験者は検出不能なフィッシング攻撃を検出する

Правила чтения во французском. Как читать букву "е"? Урок 3 / Часть 3. Тренировочные упражнения.

Правила чтения во французском. Как читать букву "е"? Урок 3 / Часть 3. Тренировочные упражнения.
Anonim

Graphic:Diego AguirreWithセキュリティ研究者の国際チームである約200のソニープレイステーションの助けが、安全なWebサイトを保護し、ほとんど検出できないフィッシング攻撃を開始するために使用されるアルゴリズムを損なう方法を考案しました。

Webサイトが彼らが誰であると主張しているかを証明するために使用されるデジタル証明書。これらの証明書の一部を作成するために使用されたMD5ハッシュアルゴリズムの既知の欠陥を利用して、研究者はVerisignのRapidSSL.com認証局をハックし、インターネット上の任意のWebサイトの偽のデジタル証明書を作成することができました。

特定の文書を一意に識別し、その文書が通過中に変更されていないことを検証するために容易に計算される、文書の「指紋」を作成する。しかし、MD5ハッシュアルゴリズムには欠陥があり、同じハッシュ値を持つ2つの異なるドキュメントを作成することができます。

[詳しい情報:Windows PCからマルウェアを削除する方法]

Playstation 3マシンファームを使用する方法研究者は「不正な認証局」を構築しました。この認証局は、事実上すべてのブラウザによって信頼される偽の証明書を発行する可能性があります。プレイステーションのCellプロセッサは、コード機能を実行する上で特に優れているため、コードブレーカでよく使われている。

彼らは火曜日にベルリンで開催されたChaos Communication Congressのハッカー会議で、独立した研究者であるJacob AppelbaumとAlexander Sotirovを含む国際的なチームとCentrum Wiskunde&Informatica、Ecole Polytechnique Federale de Lausanneのコンピュータサイエンスを含む国際的なチームによって研究活動が行われました。アイントホーフェン工科大学とカリフォルニア大学バークレー校。

彼らの技術を使った現実世界の攻撃は起こりそうもないと考えられていますが、彼らの研究ではMD5ハッシングアルゴリズムはもはやデジタル証明書を発行する認証局の企業。このプロジェクトに取り組んだバークレー大学の大学院生であるDavid Molnar氏は、「MD5を使用している人にとってはまだ起きていることだ」と語った。

Rapidssl.com、TC TrustCenter AG、RSA Data Security、Thawte、Verisign.co。

攻撃を開始するのは難しい。なぜなら悪意のある人は最初に偽のデジタル証明書をホストしている悪意のあるWebサイトに犠牲者を騙さなければならないからだ。しかし、これは、中間者攻撃(man-in-the-middle attack)を使って行うことができます。昨年8月、セキュリティ研究者のDan Kaminsky氏は、インターネットのドメインネームシステムの重大な欠陥が、中間者攻撃を開始するためにどのように使用できるのかを示しました。この最新の調査では、信頼性の高いデジタル証明書に依存するSSL(Secure Sockets Layer)暗号化を使用して、Webサイトに対するこの種の攻撃を安全にするようになっています。

"kaminskyのDNSバグを

「これは、何が起こるか、誰かができることができるかについてのパイの話ではありません。これは、彼らが実際に行ったことのデモです。 BreakingPoint Systemsのセキュリティ研究担当ディレクター、HDムーア氏はブログで語った。

暗号技術者は、山東省のチームリーダーである2004年以来、徐々にMD5のセキュリティを脅かすようになっている大学のWang Xiaoyunはアルゴリズムの欠陥を実証した。

暗号技術の専門家でありBTの最高セキュリティ技術責任者であるブルース・シュナイアー(Bruce Schneier)氏は、MD5の研究状況を考えると、証明機関はSHA-1(Secure Hash Algorithm-1)

RapidSSL.comは1月末までにMD5証明書の発行を中止し、その後顧客に新しいデジタル証明書への移行を促す方法を検討している、とVerisignの製品マーケティング担当副社長であるTim Callanは述べている。しかし、まず、この最新の研究をよく見たいと思っています。 Molnar氏と彼のチームは、マイクロソフトを経由して間接的にVerisignに調査結果を伝えましたが、Verisignと直接話したことはありませんでした。これまで、企業はハッキング会議で話をすることを防ぐために、法廷命令を取得することがありました。

Callan氏は、Verisignに詳細情報が提供されたことを願っています。 「私は実際に対応しなければならない人々だと考えて、ブロガーやジャーナリストにブリーフィングされているが、私たちはそうではない」とシュネイは語ったこの最新の研究の背後にある数学では、インターネット上ではるかに重要なセキュリティ上の問題があると述べています。例えば、機密情報の大きなデータベースを公開する脆弱性があります。

"偽のMD5証明書とにかくあなたの証明書をチェックすることは決してないからです」と彼は言いました。 「これを偽造するには数十の方法があり、これはもう一つの方法です」。