How To Crack Hash With Hash Exploit
Folosind ferma lor de jocuri Playstation 3, cercetătorii au construit o "autoritate de certificare necinstiți" care ar putea emite apoi certificate false care ar fi de încredere practic în orice browser. Procesorul Cell de la Playstation este popular în cazul distrugătorilor de coduri, deoarece este deosebit de bun în efectuarea funcțiilor criptografice.
Ei intenționează să-și prezinte concluziile la conferința de hackeri a Congresului de comunicare al Chaos, care a avut loc marți la Berlin, într-o discuție care a făcut deja obiectul a unor speculații în comunitatea de securitate pe Internet.
Deși cercetătorii cred că un atac în lumea reală folosind tehnicile lor este puțin probabil, ei spun că munca lor demonstrează că algoritmul hash de MD5 nu mai trebuie utilizat de companiile autorității de certificare care emite certificate digitale. "Este un apel de trezire pentru oricine utilizează încă MD5", a spus David Molnar un student absolvent Berkeley, care a lucrat la proiect.
În plus față de Rapidssl.com, TC TrustCenter AG, RSA Data Security, și Thawte Verisign.co. jp toate folosesc MD5 pentru a-și genera certificatele, spun cercetătorii.
Lansarea unui atac este greu, pentru că băieții răi trebuie să trișeze mai întâi o victimă în vizitarea site-ului Web rău intenționat care găzduiește certificatul digital fals. Acest lucru se poate face, totuși, prin utilizarea a ceea ce se numește atac de tip "om-în-mijloc". În august anul trecut, cercetătorul de securitate Dan Kaminsky a arătat cum un defect major în sistemul de nume de domeniu al internetului ar putea fi folosit pentru a lansa atacuri de tip "man-in-the-middle". Cu această ultimă cercetare, acum este mai ușor să lansați acest tip de atac împotriva site-urilor Web sunt securizate folosind criptarea SSL (Secure Sockets Layer), care se bazează pe certificate digitale demne de încredere.
"Puteți utiliza bug-ul DNS al lui kaminsky, combinat cu pentru a obține phishing practic nedetectabil ", a spus Molnar.
" Nu este vorba despre o poveste despre ce se poate întâmpla sau despre ce ar putea face cineva, aceasta este o demonstrație a ceea ce au făcut cu Rezultatele pentru a dovedi acest lucru ", a scris HD Moore, director de cercetare de securitate la BreakingPoint Systems, într-un blog postat pe discuție.
Criptografii s-au retras treptat la securitatea MD5 din 2004, când o echipă condusă de Shandong Universitatea Wang Xiaoyun a demonstrat defecte în algoritmul
Având în vedere stadiul de cercetare al MD5, autoritățile de certificare ar fi trebuit să fie modernizate la algoritmi mai siguri, cum ar fi SHA-1 (Secure Hash Algorithm-1) "cu ani în urmă", a declarat Bruce Schneier, expert în criptografie și ofiter de securitate.
RapidSSL.com va opri emiterea certificatelor MD5 până la sfârșitul lunii ianuarie și se va gândi cum să-i încurajeze pe clienții săi să se mute la noi certificate digitale după aceea, a declarat Tim Callan, vicepreședinte al marketingului produselor cu Verisign. Dar, în primul rând, compania dorește să se uite la această ultimă cercetare. Molnar și echipa lui au comunicat constatările sale către Verisign indirect, prin intermediul Microsoft, dar nu au vorbit direct cu Verisign, din teama că compania ar putea lua măsuri legale pentru a-și înlătura discuțiile. În trecut, companiile au obținut uneori ordine de judecată pentru a împiedica cercetătorii să vorbească la conferințe de hacking.
Callan a spus că dorea ca Verisign să fi primit mai multe informații. "Nu pot să-mi exprim cât de dezamăgit faptul că bloggerii și jurnaliștii sunt informați despre acest lucru, dar nu suntem, considerând că suntem oamenii care trebuie să răspundă efectiv."
În timp ce Schneier a spus că a fost impresionat de matematica din spatele acestei ultime cercetări, el a spus că există deja probleme de securitate mult mai importante pe Internet - punctele slabe care expun baze de date mari de informații sensibile, de exemplu.
"Nu contează dacă primiți un certificat MD5 fals, pentru că nu verificați niciodată certele dvs. ", a spus el. "Există zeci de moduri de a falsifica acest lucru și acest lucru este altul."
Qwest a anunțat luni că a convenit să încheie contracte cu muncitorii de comunicații din America (CWA) și cu Frăția Internațională a Lucrătorilor Electrotehnici (IBEW). Contractul CWA acoperă aproape 20.000 de membri ai sindicatelor pe teritoriul Qwest, iar contractul IBEW acoperă aproximativ 200 de membri din Montana.
Un contract CWA, care a expirat duminică, a avut potențialul de a perturba ambele convenții ale principalelor părți ale SUA care se află în orașe cu servicii de telecomunicații Qwest. Convenția Națională Democrată este de la 25 la 28 august în Denver, iar Convenția Națională Republicană este de la 1 la 4 septembrie în St. Paul, Minnesota.
Până vineri cercetătorii în domeniul securității au identificat un nou vierme numit Gimmiv care a exploatat vulnerabilitatea. hacker-ul a publicat un eșantion timpuriu de cod care ar putea fi folosit pentru a exploata defectele de pe Web
Microsoft a emis patch-ul mai mult de două săptămâni înainte de următoarele actualizări de securitate, deoarece eroarea ar putea fi utilizată pentru a crea un atac de vierme pe Internet Microsoft a văzut deja un număr mic de atacuri care au exploatat defectul.
Nintendo Wii este pretul redus necesar? cel mai bine vândut consolă Wii ar putea fi scăderea prețului său până la sfârșitul lunii septembrie, potrivit zvonurilor. Site-ul de jocuri video Site-ul Web Kotaku a publicat un instantaneu neclar al unui jucator de la Toys R Us, care publica o reducere de 50 $ la pretul consolei - pana la 200 $ de la 250 $. Dat fiind că Xbox 360 și PlayStation 3 ale Sony au suferit reduceri ale prețurilor, mișcarea ar putea fi citită ca un pas reacționar și o modalitate
