Андрей-001

Sony PlayStation 3 позволяет красть деньги

В этой теме 1 сообщение

Sony PlayStation 3 позволяет красть деньги

31 декабря 2008 года

Интернациональная группа специалистов в области криптографии и информационной безопасности впервые сумела реализовать сценарий, использующий известные недостатки алгоритма хэширования MD5. С помощью специального программного кода и кластера из двух сотен Sony PlayStation 3 исследователям удалось создать поддельный цифровой сертификат, которому доверяют все распространённые веб-браузеры.

С помощью такого сертификата может быть реализована более правдоподобная фишинговая схема, в процессе которой между пользователем и поддельным сайтом будет установлено защищённое SSL-соединение. Таким образом, пользователь может ослабить бдительность и стать жертвой мошенников.

Уязвимость затрагивает все сайты, которые для установки соединения по протоколу HTTPS используют цифровые сертификаты, подписанные с помощью MD5. Как выяснили исследователи, таких сайтов существует достаточно большое количество, причём ненадёжные сертификаты до сих пор выпускаются рядом сертификационных центров.

В качестве эксперимента в течение одной недели июня 2008 года было исследовано около 100 000 действующих SSL-сертификатов, из которых 30 000 были подписаны центрами, входящими в список доверенных сертификационных центров браузера Firefox. Из этого количества около 9000 были подписаны с помощью MD5. Львиную долю (97%) таких сертификатов выпустил RapidSSL, всего же таких сертификационных центров оказалось шесть.

Основной трудностью, с которой столкнулись исследователи, оказался подбор серийного номера сертификата: на генерирование фальшивого приватного ключа, имеющего то же значение хэша MD5, двести PS3 тратят около трёх дней, поэтому серийный номер нужно было предсказать заранее. Однако благодаря использующемуся в RapidSSL примитивному инкрементному алгоритму присвоения серийных номеров новым сертификатам эту проблему удалось решить путём покупки достаточно большого количества сертификатов.

Исследователи считают, что гипотетическая группа злоумышленников, обладающая необходимыми знаниями, а также средствами на приобретение нужного оборудования, сможет повторить их достижение, потратив около месяца. Более того, не исключено, хотя и маловероятно, что кто-то другой уже успел добиться такого результата.

Единственный выход, который предлагают специалисты — перестать использовать MD5, разработанный в далёком 1991 году, а перейти на более надёжные современные алгоритмы хэширования.

Источник: webplanet.ru. Автор: Игорь Крейн

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS