Atacant la infraestructura crítica d'Internet
Avui es presenta al 25è CCC la ponència "Attacking Critical Internet Infrastructure" per Alexander Sotirov, Jacob Appelbaum i d'altres.
S'emetrà via streaming a partir de les 15.30 hores.
Actualització. Té a veure amb els certificats SSL:
Creating a rogue CA certificate
We have identified a vulnerability in the Internet Public Key Infrastructure (PKI) used to issue digital certificates for secure websites. As a proof of concept we executed a practical attack scenario and successfully created a rogue Certification Authority (CA) certificate trusted by all common web browsers. This certificate allows us to impersonate any website on the Internet, including banking and e-commerce sites secured using the HTTPS protocol.
Our attack takes advantage of a weakness in the MD5 cryptographic hash function that allows the construction of different messages with the same MD5 hash. This is known as an MD5 "collision". Previous work on MD5 collisions between 2004 and 2007 showed that the use of this hash function in digital signatures can lead to theoretical attack scenarios. Our current work proves that at least one attack scenario can be exploited in practice, thus exposing the security infrastructure of the web to realistic threats.
Això és certament MOLT greu.
- Detailed explanation
- Slides from the 25c3 presentation
- Demo site (set your system date to August 2004 before clicking)
- Certificat autèntic emès per la CA autèntica
- Certificat fals emès per la CA suplantada.
Actualització: SSL broken! Hackers create rogue CA certificate using MD5 collisions. Per a crear el certificat fals s'ha utilitzat un clúster de 200 PS3. El problema només afecta a les CA que fan servir MD5 en la signatura digital dels seus certificats. N'hi ha sis de reconegudes per l'Internet Explorer i el Firefox.
Entrades aleatòries
Carregant...
Atacant la infraestructura crítica d'Internet…
Presentada avui al CCC una vulnerabilitat que pot ser utilitzada per generar certificats SSL falsos, reconeguts per tots les navegadors com emesos per autoritats de certificació de confiança. És, potser, el problema de seguretat més important mai ident…
Retroenllaç per latafanera.cat — 30 desembre 2008 @ 16:20
Atacant la infraestructura crítica d'Internet…
Presentada avui al CCC una vulnerabilitat que pot ser utilitzada per generar certificats SSL falsos, reconeguts per tots les navegadors com emesos per autoritats de certificació de confiança. És, potser, el problema de seguretat més important mai ident…
Retroenllaç per www.remou-me.net — 30 desembre 2008 @ 16:21
[…] certificats SSL han estat emesos utilitzant signatures MD5, la qual cosa els fa vulnerables a la suplantació presentada la setmana passada al CCC. Netcraft's December 2008 SSL Survey found 135,000 valid third party certificates using MD5 […]
Retroping per El 14% dels certificats SSL fan servir MD5 * L’home dibuixat — 4 gener 2009 @ 16:24
[…] Una eina que permet mirar dins el magatzem de certificats d'un ordinador (només reconeix la keystore de Windows) i determina quines autoritats de certificació signen amb MD5 i, en conseqüència, són potencialment vulnerables al problema de suplantació. […]
Retroping per Determinar les autoritats de certificació que signen amb MD5 * L’home dibuixat — 8 gener 2009 @ 23:04
[…] SSL Blacklist és una extensió per a Firefox que detecta si el certificat utilitzat pel lloc web que estem accedint està emès per una CA que signa amb MD5 i, en conseqüència és potencialment vulnerable a la suplantació. […]
Retroping per SSL Blacklist * L’home dibuixat — 13 gener 2009 @ 10:04