Connect with us

technokrata

Dögvész sújtja a böngészőket

Dotkom

Dögvész sújtja a böngészőket

Szakértők súlyos hibát fedeztek fel a böngészők titkosításának biztonságában.

A hiba korábban is ismert volt, ám az hogy ennyire súlyos, az nem volt világos. It-biztonsági szakemberek és tudományos kutatók nemzetközi csoportja szerint a böngészők fejlesztőinek és a digitális tanúsítványokat kiadó szervezeteknek nem szabadna továbbra is támogatni az MD5-alapú minősítéseket, miután bebizonyosodni látszik, hogy ezek a minősítések hamisíthatók.

A 25. berlini Chaos Communications Conference című rendezvényen bemutatott kutatási eredmények szerint az MD5 rendszer már eddig is ismert gyengeségeit gyakorlati támadásokra is ki lehet használni az internetes nyilvános kulcsú infrastruktúra (PKI) ellen. Az előadásban elhangzott, hogy a kutatók sikeresen hoztak létre olyan tanúsító rendszereket, melyek a böngészők által széles körben használt hamis, de valódinak látszó Secure Socket Layer (SSL) tanúsítványokat képesek generálni.

Az amerikai és európai biztonsági szakemberekből álló csoport megtalálta a módját annak, hogy az MD5 ismert gyengeségét kihasználva olyan “rouge” CA (Certification Authority) tanúsítványt hozzon létre, amelyben megbízik az összes modern böngésző. A hamis kulcsok generálásához kétszáz darab Sony PlayStation 3 játékkonzolból álló cluster számítási teljesítményét és körülbelül 700 dollár értékű teszt digitális tanúsítványt használtak fel a kutatók – írta meg a hup.hu.

Ha az internetes bűnözők is képesek lesznek hasonlóra, akkor létrehozhatják azokat a saját digitális tanúsítványokat kiadó rendszereiket, amelyek – egy beékelődéses (man-in-the-middle) támadás során – gyakorlatilag érzékelhetetlen adathalász támadásokra lesznek felhasználhatók, hiszen egy látszólag legitim SSL-titkosítással védett kapcsolat segítségével lehetne hozzájutni az érzékeny felhasználói adatokhoz – írja a VirusBuster hírlevele a Security Focusra hivatkozva.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek