นักวิจัยค้นพบการโจมตีแบบฟิชชิ่งที่ไม่สามารถตรวจจับได้

Graphic: Diego AguirreWith ความช่วยเหลือจาก Sony PlayStation ประมาณ 200 แห่งซึ่งเป็นนักวิจัยด้านความปลอดภัยระดับนานาชาติได้วางแผนที่จะบ่อนทำลายอัลกอริทึมที่ใช้ในการปกป้องเว็บไซต์ที่ปลอดภัยและเปิดการโจมตีแบบฟิชชิ่งที่ไม่สามารถตรวจจับได้

การทำเช่นนี้พวกเขาใช้ประโยชน์จากข้อบกพร่องใน ใบรับรองดิจิทัลที่ใช้โดยเว็บไซต์เพื่อพิสูจน์ว่าพวกเขาเป็นผู้ที่พวกเขาอ้างว่าเป็น นักวิจัยสามารถเอาชนะเจ้าหน้าที่ด้านใบรับรองของ RapidSSL.com ของ Verisign และสร้างใบรับรองดิจิทัลปลอมสำหรับเว็บไซต์ใด ๆ บนอินเทอร์เน็ตได้

มีการใช้แฮชเอาไว้ใช้ประโยชน์จากข้อบกพร่องที่ทราบในขั้นตอนการแฮช MD5 ที่ใช้ในการสร้างใบรับรองเหล่านี้ เพื่อสร้าง "ลายนิ้วมือ" สำหรับเอกสารหมายเลขที่ควรจะระบุเอกสารที่ระบุและสามารถคำนวณได้โดยง่ายเพื่อยืนยันว่าไม่ได้มีการปรับเปลี่ยนเอกสารในระหว่างการขนส่ง อัลกอริทึมการแฮช MD5 มีข้อบกพร่องทำให้สามารถสร้างเอกสารสองแบบที่มีค่าแฮชเดียวกันได้ นี่เป็นวิธีที่ผู้อื่นสามารถสร้างใบรับรองสำหรับไซต์ฟิชชิ่งที่มีลายนิ้วมือเช่นเดียวกับใบรับรองสำหรับเว็บไซต์ของแท้

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

การใช้ฟาร์มของเครื่อง Playstation 3 นักวิจัยได้สร้าง "ผู้มีอำนาจในการหลอกลวง" ซึ่งจะสามารถออกใบรับรองปลอมซึ่งน่าเชื่อถือโดยแทบทุกเบราว์เซอร์ โปรเซสเซอร์ Cell ของ Playstation เป็นที่นิยมในหมู่ผู้เบรกเกอร์โค้ดเพราะมีความสามารถในการเข้ารหัสลับได้ดีโดยเฉพาะ

พวกเขาวางแผนที่จะนำเสนอผลงานของพวกเขาในการประชุมแฮ็กเกอร์ Chaos Communication Congress ซึ่งจัดขึ้นที่เบอร์ลินในวันอังคาร ของการคาดเดาบางอย่างในชุมชนความปลอดภัยของอินเทอร์เน็ต

งานวิจัยนี้ได้ดำเนินการโดยทีมงานระหว่างประเทศซึ่งรวมถึงนักวิจัยอิสระ Jacob Appelbaum และ Alexander Sotirov รวมถึงนักวิทยาศาสตร์คอมพิวเตอร์จาก Centrum Wiskunde & Informatica, Ecole Polytechnique Federale de Lausanne, มหาวิทยาลัยเทคโนโลยี Eindhoven และ University of California, Berkeley

แม้ว่านักวิจัยเชื่อว่าการโจมตีในโลกแห่งความเป็นจริงโดยใช้เทคนิคของพวกเขาไม่น่าเป็นไปได้พวกเขากล่าวว่างานของพวกเขาแสดงให้เห็นว่าอัลกอริทึมแฮช MD5 ไม่ควรใช้อีกต่อไป บริษัท ผู้ออกใบรับรองที่ออกใบรับรองดิจิทัล David Molnar นักศึกษาระดับบัณฑิตศึกษาของ Berkeley ผู้ซึ่งทำงานเกี่ยวกับโครงการดังกล่าว

นอกเหนือจาก Rapidssl.com, TC TrustCenter AG, RSA Data Security, Thawte และ Verisign.co กล่าวว่า "การตื่นขึ้นมาเรียกร้องให้ทุกคนที่ยังคงใช้ MD5 อยู่ jp ใช้ MD5 ทั้งหมดในการสร้างใบรับรองของพวกเขานักวิจัยกล่าวว่า

การเปิดตัวการโจมตีเป็นเรื่องยากเนื่องจากคนเลวต้องหลอกล่อให้เหยื่อเข้ามาในเว็บไซต์ที่เป็นอันตรายซึ่งเป็นเจ้าภาพใบรับรองดิจิทัลปลอม ซึ่งสามารถทำได้โดยใช้สิ่งที่เรียกว่าการโจมตีแบบแมนนอล เมื่อเดือนสิงหาคมที่ผ่านมานักวิจัยด้านความปลอดภัย Dan Kaminsky ได้แสดงให้เห็นว่าช่องโหว่สำคัญในระบบ Domain Name System ของอินเทอร์เน็ตสามารถนำมาใช้ในการโจมตีแบบแมนนวลได้อย่างไร ด้วยการค้นคว้าครั้งล่าสุดนี้การโจมตีแบบใหม่นี้มีความปลอดภัยมากขึ้นโดยใช้การเข้ารหัส SSL (Secure Sockets Layer) ซึ่งอาศัยใบรับรองดิจิทัลที่เชื่อถือได้

"คุณสามารถใช้ข้อบกพร่อง DNS ของ kaminsky ร่วมกับข้อมูลนี้ได้ จะได้รับฟิชชิ่งที่มองไม่เห็นได้จริง "Molnar กล่าว"

"นี่ไม่ใช่การพูดคุยเกี่ยวกับสิ่งที่อาจเกิดขึ้นหรือสิ่งที่คนอื่นสามารถทำได้นี่คือการสาธิตถึงสิ่งที่พวกเขาทำกับ ผลการพิสูจน์ว่า "เขียน HD Moore ผู้อำนวยการฝ่ายวิจัยด้านความปลอดภัยที่ BreakingPoint Systems ในบล็อกโพสต์ในการพูดคุย

Cryptographers ได้รับการค่อยๆบิ่นไปที่ความปลอดภัยของ MD5 ตั้งแต่ปี 2004 เมื่อนำทีมโดยมณฑลซานตง มหาวิทยาลัยวัง Xiaoyun แสดงข้อบกพร่องในขั้นตอนวิธี

Bruce Schneier ผู้เชี่ยวชาญด้านการเข้ารหัสและหัวหน้าเจ้าหน้าที่ด้านเทคโนโลยีรักษาความปลอดภัยของ BT กล่าวว่า "เมื่อพิจารณาถึงสถานะของการวิจัยใน MD5 แล้วเจ้าหน้าที่ผู้ออกใบรับรองควรมีการอัปเกรดเป็นอัลกอริทึมที่มีความปลอดภัยมากขึ้นเช่น SHA-1 (Secure Hash Algorithm-1)" ปีที่ผ่านมา "

RapidSSL.com จะหยุดการออกใบรับรอง MD5 ภายในสิ้นเดือนมกราคมและกำลังมองหาวิธีการกระตุ้นให้ลูกค้าของตนเปลี่ยนไปใช้ใบรับรองดิจิทัลใหม่หลังจากนั้น Tim Callan รองประธานฝ่ายการตลาดผลิตภัณฑ์ของ Verisign กล่าวว่า

แต่ก่อนอื่น บริษัท ต้องการที่จะได้ผลงานวิจัยล่าสุดนี้ Molnar และทีมงานของเขาได้สื่อสารถึงผลการตรวจสอบของพวกเขากับ Verisign ทางอ้อมผ่านทาง Microsoft แต่พวกเขาไม่ได้พูดคุยโดยตรงกับ Verisign เนื่องจากกลัวว่า บริษัท อาจดำเนินการตามกฎหมายเพื่อระงับการพูดคุย ในอดีต บริษัท บางครั้งได้รับคำสั่งศาลเพื่อป้องกันไม่ให้นักวิจัยกล่าวถึงการประชุมแฮ็กเกอร์

Callan กล่าวว่าเขาอยากให้ Verisign ได้รับข้อมูลเพิ่มเติม "ฉันไม่สามารถแสดงความรู้สึกผิดหวังที่ฉันเขียนบล็อกและผู้สื่อข่าวได้รับการบรรยายสรุปเรื่องนี้ แต่เราไม่คิดว่าเราเป็นคนที่ต้องตอบสนองต่อจริงๆ"

ขณะที่ชไนนีกล่าวว่าเขารู้สึกประทับใจ คณิตศาสตร์ที่อยู่เบื้องหลังการวิจัยล่าสุดนี้เขากล่าวว่ามีปัญหาด้านความปลอดภัยที่สำคัญมากขึ้นบนอินเทอร์เน็ตซึ่งเป็นจุดอ่อนที่ทำให้ฐานข้อมูลขนาดใหญ่ของข้อมูลสำคัญเช่น

"ไม่สำคัญว่าคุณจะได้รับใบรับรอง MD5 ปลอมหรือไม่ เนื่องจากคุณไม่เคยตรวจสอบใบรับรองของคุณอยู่แล้ว "เขากล่าว "มีหลายวิธีที่จะปลอมและนี่ก็เป็นอีกเรื่องหนึ่ง"