Na jó, nem az SSL-t, hanem egészen pontosan sikeresen hamisították a biztonságos weboldalak egyik aláírási módját. Kétszáz darab clusterbe kötött PS3 és két éles eszű hacker kellett a mostani mutatványhoz.
Alex Sotirov és Jacob Appelbaum a 25. Chaos Communication Congress keretében bemutatott előadásában rukkolt elő azzal, hogy sikeresen hamisítottak olyan SSL (Secure Socket Layer) tanúsítványt, melyet a manapság széles körben használt modern böngésző kliensek teljességgel megbízhatónak ítéltek. Módszerük a jelenleg alkalmazott CA (Certificate Authority) MD5 kódolási algoritmus gyengeségét használta ki, és ezzel sikerült a hamis tanúsítványt elfogadtatni például a Microsoft Internet Explorerben és a Mozilla Firefoxban.
Man in the Middle módszerrel már eddig is lehetett trükközni a tanúsítvánnyal, de ilyenkor még leleplező volt az ujjlenyomat, ami árulkodott a buherálásról.
Hosszú távon valószínűleg a tanúsítványoknál nem fognak többé MD5 algoritmust használni, hanem a sokkal erősebb SHA-2, illetve a közelgő SHA-3 nyújtja majd a megfelelő megoldást. És hogy addig mi vár ránk? Biztosan lesz még részünk pár kellemetlen meglepetésben.
EZT IS NÉZD MEG KISPOFÁM......... (törölt) · http://tudtad.blog.hu 2008.12.30. 20:32:21
sajt · http://sajt.tumblr.com 2008.12.30. 20:53:44
kékféltégla 2008.12.30. 20:55:41
terran 2008.12.30. 21:03:52
az én egyetemen ha jól tudom kettőt használnak ilyen célokra.
Noinfo (törölt) 2008.12.30. 21:06:46
AzHofi 2008.12.30. 21:13:37
Szőke Kapitány 2008.12.30. 21:22:03
Lóri Vérkutya · http://lorimennimaraton.com 2008.12.30. 21:24:06
Legközelebb talán legyen egy kicsit kevésbé "kamu" a cím...
Szőke kisfiú 2008.12.30. 21:37:14
Vajon nagyker hozzá lehet jutni ekkora mennyiségnél?
de miért pont 200?
És ha valakinek csak 190 van otthon?
agyvihar · http://agyvihar.blog.hu/ 2008.12.30. 21:49:39
kyanzes (törölt) 2008.12.30. 21:53:11
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.12.30. 22:10:48
A dolog az átlag juzer szemével nézve viszont azt jelenti, a továbbiakban nem elég bambán kulcsokat meg lakatokat vizslatni a böngészőben a biztonságos kapcsolathoz.
Akinek meg csak 190 PS3 van otthon, magára vessen :-)
rodimus_prime 2008.12.30. 22:16:47
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.12.30. 22:29:14
molnibalage · https://militavia.blog.hu/ 2008.12.30. 22:30:14
lolcode · http://isten.aldja.szalaiannamari.at 2008.12.30. 23:05:50
vagyis egy titkos kapcsolati reteg a kommunikacioban ami olvashatatlanna teszi a kommunikaciot a harmadik fel szamara. roviden.
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.12.30. 23:08:36
wiki.hup.hu/index.php/SSL
Bambano 2008.12.30. 23:11:35
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.12.30. 23:14:00
Machiavelli 2008.12.30. 23:46:38
rodimus_prime 2008.12.30. 23:47:20
lifelike 2008.12.30. 23:50:06
msn chat szovegek+kepek+videochat, meg jelszavak orrbaszajba
szeretnem elkerulni ezt
Ralesk 2008.12.30. 23:58:23
Bambano 2008.12.31. 00:06:24
molnibalage · https://militavia.blog.hu/ 2008.12.31. 01:32:35
PuruttyaIrto (törölt) 2008.12.31. 01:45:43
Szenzációhajhász módon elferdíti a valóságot ez a kis komisz denisz. De te csak nyalj be neki ha jól esik.
heliox 2008.12.31. 01:47:17
Az MD5 *nem* titkosítási algoritmus, hanem lenyomatkészítő.
Az MD5 algoritmus 2008. január 1-óta Magyarországon nem használható tanúsítványokban.
Ha eltekintünk a cikkíró hozzá nem értésétől a cikk (vagy inkább az esemény) üzenete a következő:
Volt egy algoritmus, amit már elavultnak tekintett a szakma, mert úgy gondolták, hogy hamarosan gyerekek is képesek lesznek törni, ezért be lett tiltva a használata hivatalos tanúsítványokban. És most tényleg tudják törni.
Csak ámulunk és bámulunk, hogy tényleg meg lehet csinálni, amire mindenki azt mondta, hogy hamarosan meg lehet csinálni. "Hogy mire nem képes a modern tudomány!?!"
Megjegyzem: 2009. január 1-tól már az SHA algoritmus eddig szokásos legkisebb lenyomat mérete sem használható, csak míg az MD5 rögzített mérettel dolgozott, addig az SHA-ban ez paraméter.
the as · http://thelongestlistofthelongeststuffatthelongestdomainnameatlonglast.com/ 2008.12.31. 03:52:54
atleta.hu · http://www.atleta.hu 2008.12.31. 03:54:23
> vala ottan" nem lett volna elég ütős cím ; -)
Marpedig az a feltetel az index fooldalra kikeruleshez. Valahogy te mindig ilyen felrevezeto cimekkel kerulsz ki veletlenul. :( Miert kell hulyiteni a nepet? Arra ott vannak a hozza nem erto, jol megfizetett indexes ujsagirok. Aki meg nem erti, az akkor sem erti, ha nem hivod titkositasi algoritmusnak az MD5-ot. Sot, az eddig sem ertette, es ez utan sem fogja. Az ilyen bejegyzesek meg csak novelik a katyvaszt a fejukben.
klacus 2008.12.31. 04:00:28
Mi annak idején azért tanultunk a vírusok lélektanáról, hogy jobban tudjunk védekezni ellene, a fél osztály 3 hét múlva már képes volt olyan kódot írni amit az akkori keresők nem vettek észre. Nem tudom, hogy ez hova vezet...
atleta.hu · http://www.atleta.hu 2008.12.31. 04:13:30
@klacus: > Nem tudom, hogy ez hova vezet...
Pl. az ocska viruskergetok fejlodesehez. Ha az osztalytarsaid nulla tanulassal kepesek voltak valamire, akkor a kifejezetten ezzel foglalkozo szakemberek evekkel, vagy evtizedekkel azelott tudtak ezt. Mellesleg a bank, ahova elbattyogsz az pont ugyanezekkel a modszerekkel kapcsolodik a tobbi bankhoz. Raadasul az alairasodat meg a szemelyidet meg mindig nagysagrendekkel olcsobb es egyszerubb hamisitani. De mindenki abban hisz, ami neki kenyelmes.
klacus 2008.12.31. 05:08:03
Amit írsz részben igaz. A virtuális dolgokkal azért csak pont annyi a baj, hogy virtuálisak. A mai világban az emberek 99,9 %-a nincs felkészülve a számítógépes csalások ellen.
A rendőrség pl képtelen ezt helyi szinten kezelni, ahogy a dolgok fejlődnek még vagy 20 év kell, hogy valami legyen. Továbbá írni olvasni a nagy többség tud
De ezzel a többség, a teljesség igénye nélkül, mit kezd?
mov edx,len
mov ecx,msg
mov ebx,1
mov eax,4
int 0x80
mov eax,1
int 0x80
section .data
msg db 'Hello, world!',0xa
len equ $ - msg
Üdv.
Amadeo 2008.12.31. 05:40:02
mavo · http://polmavo.blog.hu 2008.12.31. 06:37:26
Ott a pont, igen. Teljesen mellékesen megjegyzem, hogy kb. két, de lehet, hogy inkább már három éve olvastam először arról a hibáról, amit valószínűleg most felhasználtak, csak akkor még nem volt hozzá megfelelő mennyiségű megfelelő sebességű eszköz egy kupacban.
A címmel egyébként nem az a baj, hogy blikkfangos, vagy hogy csúsztat, ugyanis egyáltalán nem csúsztat.
Hanem konkrétan nem igaz. Egy antivírus szakértőtől egyébként tulajdonképpen nem is gáz, ha nem tudja, mi a pontos különbség egy layer és egy algoritmus között, de azért jobban tette volna, ha legalább egy picit elgondolkodik a dolgon, mielőtt az év egyik legdurvább baromságát írja ki címbe.
Ha valami olyasmit ad címnek, hogy "Vigyázat, sikeresen hamisították a biztonságos weboldalak egyik aláírási módját", az is ölég blikkfangos cím, és még fedi is a valóságot, maximum arról lehetne vitázni, hogy az egyik legelavultabbat, mert attól a veszély még kvázi valós.
Juzo 2008.12.31. 08:58:56
kikezekazemberek 2008.12.31. 10:00:47
Asszem 2008.12.31. 10:54:29
szilárdan... · http://www.flickr.com/photos/haazee 2008.12.31. 11:45:25
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.12.31. 11:50:47
Köszi a hozzászólást, építőnek érzem, és hallgattam is a véleményedre.
BUÉK!
z8 2008.12.31. 11:54:41
TBC 2009.01.01. 09:35:46
Ami a téma lényegét illeti: tény, hogy nincs feltörhetetlen rendszer. Nincs feltörhetetlen titkosítás, nincs hamisíthatatlan aláírás. Ráadásul minél összetettebb egy algoritmus, annál valószínűbb, hogy idővel találnak benne valami kiskaput.
A legnagyobb gond csak ott van, hogy a felhasználók tojnak rá, hogy pl. egy tanúsítvány érvénytelen, ugyanúgy folytatják tovább a böngészést. Erre már a fősulin is jól rászoktatják az embereket, amikor valamely rendszerüket - ETR, miegymás - érvénytelen tanúsítvánnyal üzemeltetik. Persze az útmutatóban szépen leírják, hogy ne törődjünk vele, ha nem érvényes, folytassuk nyugodtan... Akkor miről beszélünk?... Sokakban ez fog megmaradni, hogy "akkor nyomni kell egy folytatást", és az eszükbe sem jut, hogy épp így verik át őket. Mert egy szó nem esik ilyesmiről.
klacus 2009.01.02. 22:31:51
Nosza :-))
atleta.hu · http://www.atleta.hu 2009.01.05. 01:47:55
Ha csak reszben igaz, akkor vitatkozz vele. Ezt a filozofalgatast csak a vita (illetve a beismeres) eloli kibuvonak tudom tekinteni :). Ahogy irtam, digitalis alairast meg mindig nagysagrendekkel nehezebb hamisitani, mint valodi, nem 'virtualis' papirokat es alairasokat. Marpedig ha ez igaz, akkor ezek a megoldasok biztonsagosabbak. Persze a technika es a gepek (meg a matek) fejlodesevel mindig ujabb algoritmusokrol derul majd ki, hogy nem eleg erosek, de ez a Moore torveny ismereteben azert annyira nem meglepo.
> A virtuális dolgokkal azért csak pont annyi a baj, hogy virtuálisak.
Rizsa :). Az informacio mindig is informacio volt, csak a szamitogepes korszak elott kevesek ertettek meg, hogy a lenyeg ott rejtozik, hogy a bizonyitas, alairas, level, stb. az mind informacio, anyagtalan avagy 'virtualis' dolog. A penz is az, meg a kiralyi pecset is, csak nem latszik rajtuk elsore. Mi konnyu helyzetben vagyunk, nem kell nagyon okosnak lennunk, hogy ezt felismerjuk. A korabbi korok gondolkodoinak nehezebb dolga volt.
> A mai világban az emberek 99,9 %-a nincs felkészülve a számítógépes csalások ellen.
Az emberek nagy szazaleka semmilyen csalas ellen nincs felkeszulve, soha (ajanlott olvasmany Kevin Mitnick: A megtevesztes muveszete). Paradigma valtasok kozeleben pedig nyilvan tobbeket konnyeb beszopatni. (Gondolom a penz megjelenesekor konnyebb volt azt hamisitani, a mult szazad elejen ugyanez ment a valtokkal, itthon a bankkarya megjelenese utan egy szetszerelt atjatszos magnoval lehetett OTP kartyat masolgatni, stb.)