Komponenter

För att göra detta har de utnyttjat ett fel i De digitala certifikat som används av webbplatser för att bevisa att de är vem de hävdar vara. Genom att utnyttja kända brister i MD5-hash-algoritmen som används för att skapa några av dessa certifikat, kunde forskarna hacka Verisigns certifikatmyndighet RapidSSL.com och skapa falska digitala certifikat för alla webbplatser på Internet.

EL PHISHING

EL PHISHING
Anonim

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Använda deras gård av Playstation 3-maskiner, forskarna byggde en "rogue certifikat auktoritet" som kunde sedan utfärda falska certifikat som skulle vara betrodd av nästan alla webbläsare. Playstationens cellprocessor är populär bland kodbrytare eftersom det är särskilt bra att utföra kryptografiska funktioner.

De planerar att presentera sina fynd på Chaos Communication Congress-hackerkonferensen, som hölls i Berlin tisdagen, i ett tal som redan har varit föremål av vissa spekulationer i Internet-säkerhetsgemenskapen.

Forskningsarbetet gjordes av ett internationellt team som inkluderade oberoende forskare Jacob Appelbaum och Alexander Sotirov, samt datavetenskapare från Centrum Wiskunde & Informatica, Ecole Polytechnique Federale de Lausanne, Eindhoven University of Technology och University of California, Berkeley.

Även om forskarna tror att det är osannolikt att ett verkligt angrepp med sina tekniker säger att deras arbete visar att MD5 hash-algoritmen inte längre ska användas av certifikatmyndighetsföretag som utfärdar digitala certifikat. "Det är ett väckarklocka för alla som fortfarande använder MD5," sa David Molnar en kandidatstudent i Berkeley som arbetade med projektet.

Förutom Rapidssl.com, TC TrustCenter AG, RSA Data Security, Thawte och Verisign.co. jp alla använder MD5 för att generera sina certifikat, säger forskarna.

Det är svårt att starta en attack, eftersom de dåliga killarna först måste lura ett offer för att besöka den skadliga webbplatsen som är värd för det falska digitala certifikatet. Detta kan dock ske genom att använda det som kallas en man-i-mitten attack. I augusti visade säkerhetsforskare Dan Kaminsky hur en stor fel i internetets domännamnssystem skulle kunna användas för att starta man-i-mitten attacker. Med den senaste forskningen är det nu lättare att starta denna typ av attack mot webbplatser säkrade med SSL (Secure Sockets Layer) -kryptering, som bygger på pålitliga digitala certifikat.

"Du kan använda kaminsky's DNS-fel i kombination med detta för att få praktiskt taget odetekterbar phishing ", säger Molnar.

" Det här är inte en tjuv i himmelen om vad som kan hända eller vad någon kan göra, det här är en demonstration av vad de faktiskt gjorde med Resultaten för att bevisa det, "skrev HD Moore, chef för säkerhetsforskning vid BreakingPoint Systems, i en bloggpostering på samtalet.

Kryptografer har gradvis chippat bort vid MD5s säkerhet sedan 2004, när ett lag som leddes av Shandong Universitetets Wang Xiaoyun visade brister i algoritmen.

Med tanke på undersökningsgraden för MD5 borde certifikatmyndigheterna ha uppgraderat till säkrare algoritmer som SHA-1 (Secure Hash Algorithm-1) "år sedan", säger Bruce Schneier, en noterad kryptografisk expert och chefsäkerhetstekniker med BT

RapidSSL.com kommer sluta utfärda MD5-certifikat i slutet av januari och tittar på hur man uppmuntrar sina kunder att flytta till nya digitala certifikat efter det, säger Tim Callan, vice vd för produktmarknadsföring med Verisign.

Men först vill företaget få en bra titt på den senaste forskningen. Molnar och hans team hade indirekt, via Microsoft, kommunicerat sina resultat till Verisign, men de har inte talat direkt med Verisign, av rädsla för att företaget kan vidta rättsliga åtgärder för att stoppa sitt samtal. Tidigare har företagen ibland erhållit domstolsordningar för att förhindra att forskare pratar vid hackningskonferenser.

Callan sa att han önskade att Verisign hade fått mer information. "Jag kan inte uttrycka hur besviken jag är att bloggar och journalister informeras om detta men vi är inte med tanke på att vi är de människor som faktiskt måste svara."

Medan Schneier sa att han var imponerad av matematik bakom den senaste forskningen sa han att det redan finns mycket viktigare säkerhetsproblem på Internet - svagheter som exponerar stora databaser med känslig information, till exempel.

"Det spelar ingen roll om du får ett falskt MD5-certifikat, för att du aldrig kontrollerar dina certs, "sa han. "Det finns dussintals sätt att förfalska det och det här är ännu en annan."

Du har alla dessa digitala bilder stashed i hörnen på din hårddisk. De skulle göra en underbar gåva eller årsskifteseminne. Du kan skriva ut dem och skjuta dem in i ett fotoalbum - men det är så 2002, och vi är nere på ledningen för semestersjöfart som det är. Varför inte skapa ett smart online bildspel istället? Det finns flera program och webbtjänster som kan hjälpa till. Här är några av våra favoriter.

Du har alla dessa digitala bilder stashed i hörnen på din hårddisk. De skulle göra en underbar gåva eller årsskifteseminne. Du kan skriva ut dem och skjuta dem in i ett fotoalbum - men det är så 2002, och vi är nere på ledningen för semestersjöfart som det är. Varför inte skapa ett smart online bildspel istället? Det finns flera program och webbtjänster som kan hjälpa till. Här är några av våra favoriter.

Lägg till konst och animering med Smilebox

Om du arbetar med bilder har du förmodligen många redigeringsverktyg på din dator som täcker ett brett utbud av funktioner. Att gå fram och tillbaka mellan dessa program och ladda och ladda om samma bild tar upp tid och energi. Så vad händer om du kan göra bort alla dessa program och istället ha alla redigeringsfunktioner under ett tak? Det är vad Ashampoo Photo Converter 2 ($ 15, 40-dagars gratis provversion) försöker åstadkomma.

Om du arbetar med bilder har du förmodligen många redigeringsverktyg på din dator som täcker ett brett utbud av funktioner. Att gå fram och tillbaka mellan dessa program och ladda och ladda om samma bild tar upp tid och energi. Så vad händer om du kan göra bort alla dessa program och istället ha alla redigeringsfunktioner under ett tak? Det är vad Ashampoo Photo Converter 2 ($ 15, 40-dagars gratis provversion) försöker åstadkomma.

En sak att säga är att det här inte är en Photoshop-programvara. Långt ifrån. Om du vill ta bort en otrolig plats i slutet av någons näsa, är det här fel programvara för dig. Istället försöker Photo Converter 2 täcka alla grundläggande nitty-gritty redigeringsfunktioner som till exempel ändra storlek, lägga till ett vattenmärke, rotera, bläddra, ändra färgerna (ljusstyrka, kontrast osv) och konvertera till ett annat bildformat.

ÄVen om ditt jobb inte har något att göra med grafisk design, är chansen att du fortfarande måste producera enstaka diagram. Om du är uppmanad att skapa ett nätverksschema, ett flödesschema, ett gränssnittsmockup eller ett org-diagram, är Gliffy ett onlineverktyg som försöker göra processen så enkelt som möjligt. Det är inte specialiserat på någon typ av diagram, men det rika biblioteket med glyphs och ett brett urval av startmallar gör det enkelt att skapa nästan alla tvådimensionella diagram.

ÄVen om ditt jobb inte har något att göra med grafisk design, är chansen att du fortfarande måste producera enstaka diagram. Om du är uppmanad att skapa ett nätverksschema, ett flödesschema, ett gränssnittsmockup eller ett org-diagram, är Gliffy ett onlineverktyg som försöker göra processen så enkelt som möjligt. Det är inte specialiserat på någon typ av diagram, men det rika biblioteket med glyphs och ett brett urval av startmallar gör det enkelt att skapa nästan alla tvådimensionella diagram.

Gliffy låter dig komma till affärer utan att öppna ett konto . Skapa ditt diagram först, oroa dig för att spara det senare. Det första du ser när du börjar arbeta i Flash-gränssnittet är en stor dialogruta som bjuder in dig att välja en mall. Dessa är indelade i nio kategorier, som spänner mellan spalten från webbdesign och Venn-diagram till flödesschema och UML (Universal Modeling Language, som används i programmering).