Sikeres MD5 hamisítás

2008. december 30. 18:40 - Csizmazia Darab István [Rambo]

Na jó, nem az SSL-t, hanem egészen pontosan sikeresen hamisították a biztonságos weboldalak egyik aláírási módját. Kétszáz darab clusterbe kötött PS3 és két éles eszű hacker kellett a mostani mutatványhoz.

Alex Sotirov és Jacob Appelbaum a 25. Chaos Communication Congress keretében bemutatott előadásában rukkolt elő azzal, hogy sikeresen hamisítottak olyan SSL (Secure Socket Layer) tanúsítványt, melyet a manapság széles körben használt modern böngésző kliensek teljességgel megbízhatónak ítéltek. Módszerük a jelenleg alkalmazott CA (Certificate Authority) MD5 kódolási algoritmus gyengeségét használta ki, és ezzel sikerült a hamis tanúsítványt elfogadtatni például a Microsoft Internet Explorerben és a Mozilla Firefoxban.

Man in the Middle módszerrel már eddig is lehetett trükközni a tanúsítvánnyal, de ilyenkor még leleplező volt az ujjlenyomat, ami árulkodott a buherálásról.

Hosszú távon valószínűleg a tanúsítványoknál nem fognak többé MD5 algoritmust használni, hanem a sokkal erősebb SHA-2, illetve a közelgő SHA-3 nyújtja majd a megfelelő megoldást. És hogy addig mi vár ránk? Biztosan lesz még részünk pár kellemetlen meglepetésben.

43 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

sajt · http://sajt.tumblr.com 2008.12.30. 20:53:44

Ez a kulcs nem a debianos problémából volt? Mert úgy könnyű... Ha meg nem, akkor ez tényleg elég ciki. Kérdés, hogy ez az egy eszköz eddig is megfelelő biztonságot nyújtott-e? Ugyebár tökéletes védekezés nincsen, a lényeg az, hogy a töréshez szükséges erőforrások ára több legyen, mint a megszerezhető javak összege.

kékféltégla 2008.12.30. 20:55:41

asszem kimegyek a garázsba, azt behozom a 200 PS3-am, úgy néz ki jó még valamire..

terran 2008.12.30. 21:03:52

a ps3 egyébként rohadt jó cucc kutatásokhoz használt számítógépeknek a benne lévő sokmagos, sok célra felhasználható chipek miatt.
az én egyetemen ha jól tudom kettőt használnak ilyen célokra.

Noinfo (törölt) 2008.12.30. 21:06:46

"Feltörték az SSL-t". Ujságiró-e vagy? Illene kicsit pontosabban és talán kevésbé szenzációhajhászan fogalmazni. MD5 collision gyártás meg már régóta ismert.

AzHofi 2008.12.30. 21:13:37

Nem baj, az éles eszű hecklerek letöltötték a scriptet, lefuttatták a haveroktól kölcsönvett játékautomatákon, és a végén kiírta, hogy hacking.... done. Végefőcím.

Lóri Vérkutya · http://lorimennimaraton.com 2008.12.30. 21:24:06

Nem az SSL-t törték fel, csak az egyik olyan algoritmust törték fel, amit használ. Az MD5 gyengeségére meg már 2004-ben felhívták a figyelmet, 2006-ban pedig sikerült olyan kettő darab azonos md5 hash-el rendelkező file-okat előállítani. Aki ezek után még bármilyen olyan alkalmazásban használja, ahol a biztonság szempont, az meg is érdemli. A jelenlegi SSL szabványban a tanusítványoknál nyugodtan lehet használni az SHA-1 algoritmust, amihez jelenleg nincs még semmilyen "törés", tehát az ilyen tanusítványok használata teljesen biztonságos.

Legközelebb talán legyen egy kicsit kevésbé "kamu" a cím...

Szőke kisfiú 2008.12.30. 21:37:14

Most találtam 20 millát az ágy alatt... legalább már tudom, hogy mire költsem. Veszek 200 ps3-at, és már marháskodhatok is.

Vajon nagyker hozzá lehet jutni ekkora mennyiségnél?

de miért pont 200?
És ha valakinek csak 190 van otthon?

agyvihar · http://agyvihar.blog.hu/ 2008.12.30. 21:49:39

Nem kell ahhoz sok pénz. Elég ha van egy botneted zombigépekkel, és akkor azokon is futtathatod.

kyanzes (törölt) 2008.12.30. 21:53:11

Következő cél legyen mondjuk egy 1024 biten titkosított kulcs. Bár lehet, hogy a nap hamarabb fogy ki hidrogénből, semmint hogy feltörjék a nyavajások. Érdemes már vacsi előtt elkezdeni a faktorálást, hacsak nem akad a hátizsákban egy kvantumszámítógép.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.12.30. 22:10:48

Jogos a két pont, de "Az MD5 ütközés ismét újra előtérbe került vala ottan" nem lett volna elég ütős cím ; -)

A dolog az átlag juzer szemével nézve viszont azt jelenti, a továbbiakban nem elég bambán kulcsokat meg lakatokat vizslatni a böngészőben a biztonságos kapcsolathoz.

Akinek meg csak 190 PS3 van otthon, magára vessen :-)

rodimus_prime 2008.12.30. 22:16:47

Át lehet böngészőben valahogy állítani az MD5-öt valamilyen SHA-ra? Csak érdekelne, de nem tudom hol lehet, vagy hogyan FF alatt. Valaki tudna segíteni? Köszencs

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.12.30. 22:29:14

Akár ez, akár MITM támadás van, akkor vagyok én a Jani, ha mindig ellenőrzöm belépés előtt x plusz kattintással az SHA-1 ujjlenyomatot is. Szerintem az az igazi kérdés, hogy rajtad és rajtam kívül hány ÁTLAGFELHASZNÁLÓ fogja megtenni ugyanezt, ha egyáltalán érti ezt az egészet.

molnibalage · https://militavia.blog.hu/ 2008.12.30. 22:30:14

Mi az az SSL? El tudná valaki magyarázi egy nekem egyszerűen?

lolcode · http://isten.aldja.szalaiannamari.at 2008.12.30. 23:05:50

@molnibalage: secure sockets layer
vagyis egy titkos kapcsolati reteg a kommunikacioban ami olvashatatlanna teszi a kommunikaciot a harmadik fel szamara. roviden.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.12.30. 23:08:36

Ha egy weboldalon belépsz, ha nincs titkosítás (és nem használsz VPN-t sem), akkor az adatait clear textben közlekednek, ami nem szerencsés. Továbbá nem lehetsz biztos abban sem, hogy oda lépsz be, ahova szeretnél. Az SSL ebben segít: az adat mások számára nem olvasható, nem manipulálható, és hiteles.
wiki.hup.hu/index.php/SSL

Bambano 2008.12.30. 23:11:35

Melyik ssl-t törték fel? a 128 bitest vagy a 2048 bitest?

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.12.30. 23:14:00

Ilyen ARP poisoningos mókát én is csináltam már, és simán lehetett látni a megfelelő tanúsítványt is az "áldozat" gépén, csupán egy helyen lógott ki a lóláb: az újjlenyomat nem stimmelt, magyarul végig nullák szerepeltek benne. Ilyenkor még az ismert IP címet is hiába ellenőrzöm (pl. showip plugin), mert az akár stimmelhet is, egyedül az ujjlenyomat mutatja meg a csalást.

Machiavelli 2008.12.30. 23:46:38

Ha két hacker ilyet tud, akkor képzeljétek el, hogy pl az NSA mire képes, amikor majdhogynem korlátlanok az erőforrásai és a költségvetése több, mint a Magyar Államé...

rodimus_prime 2008.12.30. 23:47:20

Már bocs, csak azzal, hogy így elbeszélgettek egymással, mi addig nem leszünk okosabb. Mert kb. Nulla dedós leírást mondtatok most, hogyan is lehet ssl-nél sha algoritmust használni, meg ezt az ujjlenyomatot is megnézni :=(

lifelike 2008.12.30. 23:50:06

hogy lehet vpn-t csinalni? nemreg egy ingyenes wifit uzemelteto ismeros vigyorogva mutatta hogy snifferrel miket szed ossze a nala hotspotozo emberektol...
msn chat szovegek+kepek+videochat, meg jelszavak orrbaszajba

szeretnem elkerulni ezt

Ralesk 2008.12.30. 23:58:23

@rodimus_prime: a SHA-1 (vagy SHA-2...) használata nem a te dolgod, hanem azé, aki a tanúsítványt a weblap részére kiállítja. Ha valamely komoly website 2004-5-6 óta IS még mindig csak MD5-ös lenyomatú certtel rendelkezik, az hülye.

molnibalage · https://militavia.blog.hu/ 2008.12.31. 01:32:35

Akkor újabb amatőr kérdés. Honnan tudom, hogy akkor én most titkosított adatkapcsolattal nyomulok vagy sem?

PuruttyaIrto (törölt) 2008.12.31. 01:45:43

BushDoctor: miért ha egy közepes cég első embere mond valamit, akkor abban vakon bízni kell?

Szenzációhajhász módon elferdíti a valóságot ez a kis komisz denisz. De te csak nyalj be neki ha jól esik.

heliox 2008.12.31. 01:47:17

"MD5 titkosítási algoritmus gyengeségét használta ki"

Az MD5 *nem* titkosítási algoritmus, hanem lenyomatkészítő.

Az MD5 algoritmus 2008. január 1-óta Magyarországon nem használható tanúsítványokban.

Ha eltekintünk a cikkíró hozzá nem értésétől a cikk (vagy inkább az esemény) üzenete a következő:

Volt egy algoritmus, amit már elavultnak tekintett a szakma, mert úgy gondolták, hogy hamarosan gyerekek is képesek lesznek törni, ezért be lett tiltva a használata hivatalos tanúsítványokban. És most tényleg tudják törni.

Csak ámulunk és bámulunk, hogy tényleg meg lehet csinálni, amire mindenki azt mondta, hogy hamarosan meg lehet csinálni. "Hogy mire nem képes a modern tudomány!?!"

Megjegyzem: 2009. január 1-tól már az SHA algoritmus eddig szokásos legkisebb lenyomat mérete sem használható, csak míg az MD5 rögzített mérettel dolgozott, addig az SHA-ban ez paraméter.

the as · http://thelongestlistofthelongeststuffatthelongestdomainnameatlonglast.com/ 2008.12.31. 03:52:54

azok utan ez az egesz teljesen lenyegtelen, hogy mindenfele olcsossl szolgaltatok 15 perc alatt adnak tanusitvanyt akar paypal.com nevre is domain ellenorzes nelkul, amit boldogan lehet hasznalni, es teljesen valos, jol mukodo tanusitvany, browserekben elfogadott kiadotol.

atleta.hu · http://www.atleta.hu 2008.12.31. 03:54:23

> Jogos a két pont, de "Az MD5 ütközés ismét újra előtérbe került
> vala ottan" nem lett volna elég ütős cím ; -)

Marpedig az a feltetel az index fooldalra kikeruleshez. Valahogy te mindig ilyen felrevezeto cimekkel kerulsz ki veletlenul. :( Miert kell hulyiteni a nepet? Arra ott vannak a hozza nem erto, jol megfizetett indexes ujsagirok. Aki meg nem erti, az akkor sem erti, ha nem hivod titkositasi algoritmusnak az MD5-ot. Sot, az eddig sem ertette, es ez utan sem fogja. Az ilyen bejegyzesek meg csak novelik a katyvaszt a fejukben.

klacus 2008.12.31. 04:00:28

Nna ezért is érdemes a pénzért elbattyogni a bankba, az életednek a számítógép ne az értelme, hanem része, eszköze legyen.

Mi annak idején azért tanultunk a vírusok lélektanáról, hogy jobban tudjunk védekezni ellene, a fél osztály 3 hét múlva már képes volt olyan kódot írni amit az akkori keresők nem vettek észre. Nem tudom, hogy ez hova vezet...

atleta.hu · http://www.atleta.hu 2008.12.31. 04:13:30

Ehh, internal server error 500, bocs...

@klacus: > Nem tudom, hogy ez hova vezet...

Pl. az ocska viruskergetok fejlodesehez. Ha az osztalytarsaid nulla tanulassal kepesek voltak valamire, akkor a kifejezetten ezzel foglalkozo szakemberek evekkel, vagy evtizedekkel azelott tudtak ezt. Mellesleg a bank, ahova elbattyogsz az pont ugyanezekkel a modszerekkel kapcsolodik a tobbi bankhoz. Raadasul az alairasodat meg a szemelyidet meg mindig nagysagrendekkel olcsobb es egyszerubb hamisitani. De mindenki abban hisz, ami neki kenyelmes.

klacus 2008.12.31. 05:08:03

atleta.hu · www.atleta.hu 2008.12.31. 04:13:30

Amit írsz részben igaz. A virtuális dolgokkal azért csak pont annyi a baj, hogy virtuálisak. A mai világban az emberek 99,9 %-a nincs felkészülve a számítógépes csalások ellen.

A rendőrség pl képtelen ezt helyi szinten kezelni, ahogy a dolgok fejlődnek még vagy 20 év kell, hogy valami legyen. Továbbá írni olvasni a nagy többség tud

De ezzel a többség, a teljesség igénye nélkül, mit kezd?
mov edx,len
mov ecx,msg
mov ebx,1
mov eax,4
int 0x80
mov eax,1
int 0x80
section .data
msg db 'Hello, world!',0xa
len equ $ - msg
Üdv.

Amadeo 2008.12.31. 05:40:02

Nna. Én a címoldalról jöttem:) Nem bánom a kicsit átverős címet, megint megtudtam valamit. És igen, értem. Igaz, nem bölcsész vagyok:)

mavo · http://polmavo.blog.hu 2008.12.31. 06:37:26

"Ha valamely komoly website 2004-5-6 óta IS még mindig csak MD5-ös lenyomatú certtel rendelkezik, az hülye. "

Ott a pont, igen. Teljesen mellékesen megjegyzem, hogy kb. két, de lehet, hogy inkább már három éve olvastam először arról a hibáról, amit valószínűleg most felhasználtak, csak akkor még nem volt hozzá megfelelő mennyiségű megfelelő sebességű eszköz egy kupacban.

A címmel egyébként nem az a baj, hogy blikkfangos, vagy hogy csúsztat, ugyanis egyáltalán nem csúsztat.

Hanem konkrétan nem igaz. Egy antivírus szakértőtől egyébként tulajdonképpen nem is gáz, ha nem tudja, mi a pontos különbség egy layer és egy algoritmus között, de azért jobban tette volna, ha legalább egy picit elgondolkodik a dolgon, mielőtt az év egyik legdurvább baromságát írja ki címbe.

Ha valami olyasmit ad címnek, hogy "Vigyázat, sikeresen hamisították a biztonságos weboldalak egyik aláírási módját", az is ölég blikkfangos cím, és még fedi is a valóságot, maximum arról lehetne vitázni, hogy az egyik legelavultabbat, mert attól a veszély még kvázi valós.

Juzo 2008.12.31. 08:58:56

Nekem 2 éve tanították egyetemen az SSL működését, és az MD5 hibáját. Szóval az SSL nincs feltörve. Az MD5 van feltörve, de az meg már rég:)

kikezekazemberek 2008.12.31. 10:00:47

En is a fo oldalrol jottem, szerintem sincs baj a cimmel, nekem, mint laikusnak, teljesen ok, megint tanultam valamit.

Asszem 2008.12.31. 10:54:29

Én is. Laikus, címoldal, tanultam, asszem értem, bár én bölcsész voltam, de már elmúlt.

szilárdan... · http://www.flickr.com/photos/haazee 2008.12.31. 11:45:25

@klacus: azért ez durva volt, ugye tudod? Hozzak valami régi mainframe-es kódot még az ESZR időkből? ;)

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.12.31. 11:50:47

Szia Mavo!
Köszi a hozzászólást, építőnek érzem, és hallgattam is a véleményedre.
BUÉK!

z8 2008.12.31. 11:54:41

a blog cime tényleg rossz lett..

TBC 2009.01.01. 09:35:46

Ha ez lenne a legnagyobb ferdítés a címlapra kerülő blogok és cikkek címében, az már rég ideális lenne. Sajnos manapság nem az a lényeg, hogy korrekten informáljuk a népet, hanem az, hogy minél hangzatosabb címmel adjuk el művünket. A legtöbb hangzatos cím mögött már a cikk elolvasása nélkül is tudom, hogy a cikk pontosan a címnek az ellenkezőjéről szól. (Ezt úgy általánosságban mondtam, nem erre a posztra értve. Ez még az elnézhető kategória.)
Ami a téma lényegét illeti: tény, hogy nincs feltörhetetlen rendszer. Nincs feltörhetetlen titkosítás, nincs hamisíthatatlan aláírás. Ráadásul minél összetettebb egy algoritmus, annál valószínűbb, hogy idővel találnak benne valami kiskaput.
A legnagyobb gond csak ott van, hogy a felhasználók tojnak rá, hogy pl. egy tanúsítvány érvénytelen, ugyanúgy folytatják tovább a böngészést. Erre már a fősulin is jól rászoktatják az embereket, amikor valamely rendszerüket - ETR, miegymás - érvénytelen tanúsítvánnyal üzemeltetik. Persze az útmutatóban szépen leírják, hogy ne törődjünk vele, ha nem érvényes, folytassuk nyugodtan... Akkor miről beszélünk?... Sokakban ez fog megmaradni, hogy "akkor nyomni kell egy folytatást", és az eszükbe sem jut, hogy épp így verik át őket. Mert egy szó nem esik ilyesmiről.

klacus 2009.01.02. 22:31:51

szilárdan... 2008.12.31. 11:45:25

Nosza :-))

atleta.hu · http://www.atleta.hu 2009.01.05. 01:47:55

@klacus: > Amit írsz részben igaz.

Ha csak reszben igaz, akkor vitatkozz vele. Ezt a filozofalgatast csak a vita (illetve a beismeres) eloli kibuvonak tudom tekinteni :). Ahogy irtam, digitalis alairast meg mindig nagysagrendekkel nehezebb hamisitani, mint valodi, nem 'virtualis' papirokat es alairasokat. Marpedig ha ez igaz, akkor ezek a megoldasok biztonsagosabbak. Persze a technika es a gepek (meg a matek) fejlodesevel mindig ujabb algoritmusokrol derul majd ki, hogy nem eleg erosek, de ez a Moore torveny ismereteben azert annyira nem meglepo.

> A virtuális dolgokkal azért csak pont annyi a baj, hogy virtuálisak.

Rizsa :). Az informacio mindig is informacio volt, csak a szamitogepes korszak elott kevesek ertettek meg, hogy a lenyeg ott rejtozik, hogy a bizonyitas, alairas, level, stb. az mind informacio, anyagtalan avagy 'virtualis' dolog. A penz is az, meg a kiralyi pecset is, csak nem latszik rajtuk elsore. Mi konnyu helyzetben vagyunk, nem kell nagyon okosnak lennunk, hogy ezt felismerjuk. A korabbi korok gondolkodoinak nehezebb dolga volt.

> A mai világban az emberek 99,9 %-a nincs felkészülve a számítógépes csalások ellen.

Az emberek nagy szazaleka semmilyen csalas ellen nincs felkeszulve, soha (ajanlott olvasmany Kevin Mitnick: A megtevesztes muveszete). Paradigma valtasok kozeleben pedig nyilvan tobbeket konnyeb beszopatni. (Gondolom a penz megjelenesekor konnyebb volt azt hamisitani, a mult szazad elejen ugyanez ment a valtokkal, itthon a bankkarya megjelenese utan egy szetszerelt atjatszos magnoval lehetett OTP kartyat masolgatni, stb.)
süti beállítások módosítása