До конца года ожидается появление практических атак по подбору коллизий для

До конца года ожидается появление практических атак по подбору коллизий для

Брюс Шнайер, известный эксперт в области компьютерной безопасности, сообщил, что данный им три года назад прогноз стойкости алгоритма хэширования SHA-1 оказался излишне оптимистичным и появление первой практической атаки по подбору коллизий для SHA-1 можно ждать не в 2018 году, а до конца текущего года.

Напомним, что по прогнозу Шнайера в 2012 году затраты на подбор коллизии в SHA-1 оценивались в 2 млн долларов, в 2015 году прогнозировалось уменьшение стоимости до 700 тысяч, к 2018 году до 173 тысяч, а к 2021 до 43 тысяч долларов.

Группа исследователей из научных учреждений Голландии, Франции и Сингапура разработала оптимизированный метод подбора коллизий для функции сжатия, используемой в SHA-1 (не сам алгоритм SHA-1), который существенно сокращает время атаки и стоимость её проведения. При проведении эксперимента представленный алгоритм позволил осуществить подбор префикса за 9-10 дней на кластере из 64 GPU. При этом, стоимость вычислений, с учётом создания такого кластера на базе вычислительной мощности на Amazon EC2, составила всего 2 тысячи долларов. Время подбора реальной коллизии для произвольного хэша SHA-1 оценивается в 49 до 78 дней при вычислениях на кластере из 512 GPU, стоимость работы которого на базе Amazon EC2 составит 75-120 тысяч долларов, сообщает opennet.ru.

С учётом того, что работающие атаки могут стать реальностью в ближайшие несколько месяцев исследователи рекомендуют пересмотреть сроки перевода SHA-1 в разряд устаревших технологий. Принятый ранее план предусматривает отказ от SHA-1 начиная с 2017 года, в то время как исследователи безопасности настаивают, что с учётом увеличения эффективности проведения атак, SHA-1 должен прекратить своё существование уже в январе 2016 года. Ситуацию усугубляет то, что около 28% сайтов в сети пользуются SHA-1 для заверения своих HTTPS-сертификатов и отрасль оказалась не готова к экстренному отказу от SHA-1. 

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Совет ЕС принял единый регламент по безопасности IoT

Евросовет принял единый регламент, который содержит требования по обеспечению кибербезопасности подключенных цифровых продуктов, относящихся к устройствам интернета вещей (IoT). Новый регламент вступит в силу 1 ноября 2024 года. Однако полностью он начнет применяться только через 3 года.

Впервые о данном документе объявила председатель Еврокомиссии Урсула фон дер Ляйен в сентябре 2021 года в обращении к членам ЕС.

15 сентября 2022 года Еврокомиссия представила предложения, дополняющие Акт о киберустойчивости, где содержались требования к обеспечению безопасности IoT-устройств.

Вышедший 10 октября 2024 года регламент (PDF) вводит единые для всего ЕС требования к кибербезопасности IoT-устройств. Они касаются всех стадий их жизненного цикла, включая проектирование, разработку, производство и предоставления на рынке аппаратных и программных продуктов.

Регламент будет распространяться на все девайсы, которые могут подключаться друг к другу или к разного рода публичным сетям, включая интернет. Однако предусмотрены исключения для изделий и продуктов, где требования к кибербезопасности регламентируются другими документами на уровне ЕС, в частности, ряда систем для автомобилей, авиации и медицинского оборудования.

Требования нового регламента направлены на то, чтобы поднять информированность потребителей о том, что выбираемые ими устройства содержать подключаемые компоненты и убедиться в их безопасности.

Пока уровень кибербезопасности IoT устройств остается низким. Атака на многие из них является тривиальной процедурой даже для низкоквалифицированных злоумышленников. Плюс ко всему, подключенные устройства, в том числе бытового назначения, собирают большие массивы довольно чувствительных данных, которые скрытно передаются производителю.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru