SHA-1 сдаёт позиции в Google смогли получить первую коллизию SHA-1


Оглавление (нажмите, чтобы открыть):

dxdt.ru: занимательный интернет-журнал

Книги: «Создание сайтов» — «Доменные войны». Защита информации: техническое описание TLS, тестовый сервер TLS 1.3. Ресурсы: LaTeX

Практическая коллизия для SHA-1

Исследователи из Google и института CWI продемонстрировали первую практическую коллизию для криптографической хеш-функции SHA-1. SHA-1 уже несколько лет считается недостаточно стойкой, но, тем не менее, до сих пор широко используется (в том числе, в SSL-сертификатах, несмотря на все ограничения). На специальном сайте shattered.it можно скачать два файла PDF, которые отличаются содержанием, но имеют одинаковое значение SHA-1 (каждый может проверить самостоятельно). Несмотря на сложность реализации этой конкретной атаки, которая потребовала больших вычислительных мощностей (они нашлись у Google), SHA-1 теперь можно окончательно признать нестойкой. Это весьма важное достижение – казалось, что SHA-1 простоит ещё пару лет.

Вместо SHA-1 следует использовать, например, хеш-функции семейства SHA-2: SHA-256 и др.

Похожие записки:

Далее — мнения и дискуссии

Комментарии читателей блога: 7

1. 24th February 2020, 19:13 // Читатель Z.T. написал:

“казалось, что SHA-1 простоит ещё пару лет” – нет. https://www.youtube.com/watch?v=k76qLOrna1w&t=2196 Ади Шамир сказал год назад что будет демонстрировала коллизия “через несколько месяцев” (в другом интервью через несколько месяцев сказал “в этом году”). Они опоздали. Кстати, Ryan Sleevi жаловался (в twitter-ре) на неназванный сервер TLS 1.2 который обязан поддерживать sha256 но все равно использует sha1 подписывая сообщение ServerKeyExchange. Линус Торвальдс написал что git перейдет на хэш-функцию по лучше (я надеюсь на Blake2, но урезанный sha512 тоже хорошо).

2. 24th February 2020, 19:44 // Александр Венедюхин ответил:

> Новость про Cloudflare важней:

Ну, оно, конечно, занятно – массовый слив памяти с данными клиентов наружу, всего лишь из-за очередной попытки парсить HTML при помощи регулярных выражений. Но, всё ж, SHA-1 – штука всеобъемлющая; вот даже если вспомнить механизм в GIT.

3. 25th February 2020, 14:55 // Читатель Сергей Виноградов написал:

> Новость про Cloudflare важней

Да кому эти идиоты, сидящие в CloudFlare нужны?
Идиоты – они и есть идиоты. Это уже давно известно.

Даль, что Google не пишет примерной оценки стоимости взлома sha1. Интересно, сколько сейчас стоит перебор и т.п.

4. 26th February 2020, 20:49 // Александр Венедюхин ответил:

> Да кому эти идиоты, сидящие в CloudFlare нужны?

Давайте вот без подобных необоснованных резкостей, которые выглядят неадекватно. Cloudflare – вполне себе полезный сервис. А в плане технологий защиты информации – так они вообще среди локомотивов, двигающих новые решения в массы.

> Google не пишет примерной оценки стоимости взлома sha1.

Речь идёт, примерно, о 100-150 тыс. USD.

5. 6th March 2020, 14:52 // Читатель Сергей Виноградов написал:

> Давайте вот без подобных необоснованных резкостей

Для вас, может, и необоснованные. Для меня – обоснованные. Идиоты – они и есть идиоты. Я не удивляюсь, когда в очередной раз слышу о том, что они что-то просрали по полной.

> А в плане технологий защиты информации – так они вообще среди локомотивов

Например?
Пока я вижу только, что эта очередная фирма, пытающаяся срубить бабла. Ну, моё личное мнение.

> Речь идёт, примерно, о 100-150 тыс. USD.

А вы не могли бы уточнить, откуда взята эта сумма?

6. 7th March 2020, 12:45 // Александр Венедюхин ответил:

> А вы не могли бы уточнить, откуда взята эта сумма?

7. 7th March 2020, 18:10 // Читатель Сергей Виноградов написал:

Интернет-журнал, который ведёт Александр Венедюхин

Кратко этот сайт характеризуется так: здесь можно узнать про технологический прогресс, Интернет, математику, авиацию, компьютеры, авиационные компьютеры, вооружения, роботов, вооружение роботов, армии мира, астрономию, космические исследования. И иногда о чём-то ещё (избранные записки). С автором можно связаться, оставив комментарий к записке в блоге, либо по электронной почте:

Взлом SHA-1

Специалисты Google продемонстрировали первую коллизию хешей SHA-1. А именно, два разных PDF-файла с осмысленной картинкой и одинаковым значением SHA-1.


Атака потребовала более 9 × 10¹⁸ вычислений SHA-1. Это эквивалентно 6500 годам вычислений на одном CPU, или 110 годам на одном GPU.

Да и компания BitTorrent Inc вполне неплохо поживает.

Это ты хоть зачем приплел?

В 1993 году NSA совместно с NIST разработали алгоритм безопасного хеширования (сейчас известный как SHA-0) (опубликован в документе FIPS PUB 180) для стандарта безопасного хеширования. Однако вскоре NSA отозвало данную версию, сославшись на обнаруженную ими ошибку, которая так и не была раскрыта. И заменило его исправленной версией, опубликованной в 1995 году в документе FIPS PUB 180-1.

Возможно, бэкдор был заложен изначально (a SHA-0 изначально был слишком хорош).

«У меня дома не ходят в грязных ботинках — либо сними их, либо уходи»

«Или вы меня нормально обслуживаете, или подавайте жалобную книгу»

«Или ты перестаёшь опаздывать, или я тебя увольняю»

Это всё не преступления, а нормальная практика. Если это считать шантажом, то у людей вообще не будет никакой возможности строить договорные отношения. Ибо всегда кто-то что-то не хочет сделать и надо его мотивировать так или иначе.

Бить морду — незаконно. Выкладывать чью-нибудь переписку в общий доступ против воли участников — незаконно. А вот выгонять посторонних людей из своего жилища (если это не сотрудники полиции с ордером) — законно. Писать плохие отзывы в жалобной книге — законно. Увольнять работника за нарушения договора — законно. Публиковать или нет ссылки на кого-то на своём личном сайте — законно. Ну разве что есть всякие заморочки насчёт расизма, сексизма и т. д. Но никаких законов про запрет дискриминации людей по предпочитаемому алгоритму хеширования — нет.

А Google точно такой же частный сайт и каких-то прямо особых обязательств не имеет.

Ну эта фирма является разработчиком протокола и софта, который МОЖЕТ БЫТЬ использован для нелегального файлообмена (более того, он очень активно используется именно с этой целью). Google собирается опубликовать софт, который МОЖЕТ БЫТЬ использован для взлома чьих-то паролей (если получилось украсть хеши и они в SHA-1). Однако сам по себе BitTorrent не начинает автоматически качать все пиратские материалы мира при запуске (пользователю надо найти подходящий трекер, а кому-то до этого ещё выложить туда нелегальный материал), точно также как и гугловский софт без напильника никого взломать не сможет (надо откуда-то раздобыть хеши паролей, подать их на вход утилите, правильно интерпретировать её выдачу). Таким образом ни Bittorrent Inc, ни Google ничего незаконного не совершают. Точно также как и производители кухонных ножей.

Данный тип уязвимости в принципе не позволяет что-то там взломать.

взломать документ содержащий «шаблон»(будь то картинка или неважно какой дублирующийся шаблон)

дублирующийся шаблон-это банковские платежи гд только сумма и номера плательщика разные, и статических данных там более чем достаточно

тоесть все банковские платежи могут быть перехвачены(и за год-два) и взломаны

естестченно реального применения нет ибо слишком медленно

Следующим шагом в таком мошенничестве будет суд и до-о-о-лгое разбирательство.

Это если договор читают живые люди и всё контролируют. А если речь идёт об автоматизированной системе, проводящей миллионы транзакций в день? Может подмену потом и заметят, но может быть уже поздно — деньги давно вывели на дропа, а организаторы растворились.

Или, например, пароли на сайте хранятся в SHA-1 и хеши как-то утекли. Соответственно, злоумышленник подбирает пароль юзера и делает какие-то действия от его имени. Опять же потом, вероятно, это всё заметят, но может быть уже поздно (например, компромат был украден и опубликован).

Да, для массовой атаки эта уязвимость плохо подходит. Но для целевой — отлично. А это тоже хороший повод сменить алгоритм хеширования. Многие софтовые уязвимости тоже подходят только для целевых атак (ибо требуется сочетание целого ряда факторов), но их же фиксят, а не говорят «ну это редко проявляется, не будем фиксить».

В git все нормально с sha1. Единственная возможная проблема — это проверка repo integrity. Коллизии объектов разрешаются безопасно

Так вот зачем на телефонах с андроидом по 8 ядер, а гуглохром грузит проц!

I haven’t seen the attack yet, but git doesn’t actually just hash the data, it does prepend a type/length field to it.

они одинаковые ,надо было сделать что б они «конкретно» разные были ,видимо не смогли.

Они разные. Даже один изменённый байтик(фон шакпки) может в каком-либо договоре прибавить/убрать нолик стоимости контракта.

SHA-1 у нас любит использовать контур, так же есть в ЕГАИСовой джакарте (PKI-ключ). ОФД уже ГОСТ юзают. СБИС — не знаю.

переход можно было бы разбить на несколько фаз:

Или сделать по-человечески, импорт одной командой типа git clone —sha2 old-repository. Процесс перевода на новую хэш функцию полностью детерминистичен, сначала проход до листьев в дереве (т. е. файлов), потом пересодание всех зависимых узлов (каталогов и коммитов) с новыми хэшами и остальными данными нетронутыми. Из-за детерминированности, конвертация 2х репозиториев содержащих общие данные на 2х разных машинах приведёт к тому, что общие данные между новыми репозиториями перехэшируются одинаково. В принципе, настроив локальное отображение старых хэшей на новые, можно обеспечить синхронизацию между реками с обоими типами хэшей. Единственно, что всё подписанное (теги и коммиты) превратятся в неподписанное, но это неважно, так как подписаный коммит ссылается через sha1 на корень дерева, значит после компрометации sha1 никакой надёжности больше нет, можно подобрать модифицированное дерево с тем же корневом хэшем, так что удаление подписи только избавит от ложной уверенности

У любых хэшей и комбинаций из нескольких видов хэшей вероятность коллизии для данных, размер которых больше размера хэша (или комбинации хэшей) не равна нулю. Вся соль во времени, которое нужно затратить на поиск такой коллизии.

Так что цена взлома, хоть и не маленькая, но позволить его себе могут не единицы из списка Форбс, а десятки миллионов людей, просто если буду кушать годик немного поменьше.

Даже если таких людей 100 миллионов в мире, то это меньше 2% населения.

Re: Google через 90 дней опубликует метод взлома SHA-1

Тоесть Google заявил что на протяжении 90 дней втихую будет «парсить SHA-1 трафик»

Или сделать по-человечески, импорт одной командой типа git clone —sha2 old-repository. Процесс перевода на новую хэш функцию полностью детерминистичен, сначала проход до листьев в дереве (т. е. файлов), потом пересодание всех зависимых узлов (каталогов и коммитов) с новыми хэшами и остальными данными нетронутыми. Из-за детерминированности, конвертация 2х репозиториев содержащих общие данные на 2х разных машинах приведёт к тому, что общие данные между новыми репозиториями перехэшируются одинаково. В принципе, настроив локальное отображение старых хэшей на новые, можно обеспечить синхронизацию между реками с обоими типами хэшей. Единственно, что всё подписанное (теги и коммиты) превратятся в неподписанное, но это неважно, так как подписаный коммит ссылается через sha1 на корень дерева, значит после компрометации sha1 никакой надёжности больше нет, можно подобрать модифицированное дерево с тем же корневом хэшем, так что удаление подписи только избавит от ложной уверенности

ну вообщем — тоже разумный вариант предлагаешь.. без этих моих сопливыз фаз, растянутых на года 🙂 ..


я такие радикальные варианты сразу не предлагал — так как заметил что сопливые переходные файзы — обычно нравятся потребителям 🙂 [и чем сопливее и длиннее переходная фаза — тем успешнее технология :)]..

Принципиально ГОСТ в данной ситуации ничем не лучше. Перебором можно любой «сломать».

это никакой не взлом, а демонстрация что могут существовать 2 файла с одинаково посчитаным sha-1,реально взломать видимо не смогли.
люди то они проверяют ещё и CRC-32/64 и sha-256.

Даже больше, это демонстрация, что могут быть два условно корректных файла пдф,с разным содержимым, но одинаковыми суммами. Условно-это потому, что я не уверен в том, что внутри PDF нет проверки целостности файла. У CRC вероятность коллизий в несколько раз выше, т.к. длина всего 32 бита против 128.

Тут alexsafonov выше оставил ссылку на ответ от Линуса по этому поводу. Смотреть на третий абзац в сообщении Линуса.

Поставил бы спеллчекер что ли. А то умничают и такие вдруг ошибки позорные.

нужно открывать перепись идиотов в этом треде.

Все не так однозначно..

Нам не сказали, какой фирмы и модификации CPU и GPU. Скорее всего брались AMD, поэтому такие страшное количество годов, а вот если взять Intel/Nvidia, то все будет еще хуже(меншье лет уйдет).

Перечитал статью в оригинале, четыре страницы комментариев, и так и не увидел реального юзкейса этого взлома.

Итак, если мне не изменяет знания моего английского, то я за 300 килобаксов зелени могу:

* Подделать цифровой сертификат. Правда что потом с ним делать, и к чему это приведет в итоге — неясно. Но ясно одно — хуита;

Мастер Йода рекомендует:  Импортирование информации с чужого сайта на свой сайт в свой дизайн PHP

* Отослать Васяну письмо от имени соседского Вована, признаться ему в однополой любви и закрепить это цифровой подписью имени Вована;

* Скомпилировать ядро Линукса и подписать его (це) Майкрософт;

* С софтваре апдейтс честно говоря не совсем ясно. Вот я купил домой ферму асиков за стопицот лямов, и хочу чтобы соседский Васян когда будет обновлять Убунту с ua.ubuntu.com или шо там у этих домохозяйках нынче в sources.list прописано, вместо оригинального bash v.+1 скачал мой bash с мокрыми писечками. Что мне делать с моей фермой ?

* Могу запилить свой образ ОС с нескучными обоями и антивирусом Попова и выложить его к себе на сайт с котиками и посещаемостью два уника в месяц;

* С бэкап системс тоже ничего неясно. Вот у меня есть сервак, например он корпоративный. К нему по sshfs/cifs/nfs/ftp подмонтирован диск с соседнего NAS. Что сможет сделать злая мегакорпорация с моими бэкапами порнухи, имея 100500 GPU ?

* Могу отправить соседскому Васяну по электронке письмецо с вложением с такой же контрольной суммой как и файл ntoskrnl.exe и если Васян скачает какой-нить сс-клинер работающий по контрольной сумме, то у Вована слетит Винда, ололо.

В общем специалисты Гугол страдают херней.

Подделать цифровой сертификат. Правда что потом с ним делать, и к чему это приведет в итоге — неясно. Но ясно одно — хуита;

Man in the middle.

Я сразу три считаю (md5, sha1, sha256) когда генерю релизы.

Почему бы не использовать один и тот же три раза подряд?

«Уже показательно, но времени на выкид ещё хоть ешь.»

Это говорит о том, что хакеры-одиночки еще гуляют, а организации с серьезными выч. мощностями уже могут нагибать кого угодно.

Интересует реальный юзкейс, а не набор теоретических терминов.

ага разными ,настолько разными что им хватило ума только поменять цвет ,вот если бы они вместо кролика нарисовали волка ,тогда было бы более убедительно .А ещё лучше подделали бы предоставленый им случайный файл с заранне не известным содержимым.

Взлом SHA-1
два разных . файла с . одинаковым значением SHA-1

Я так понял — Ализар уже и на ЛОРе обосновался.

Атака потребовала более 9 × 10¹⁸ вычислений SHA-1. Это эквивалентно 6500 годам вычислений на одном CPU

о, нормально. мне как раз ближайшие 6500 лет заняться нечем — пойду что-нибудь поломаю

Представил трёх megabaks , которые во время перебирания коллизии ругаются, что ты неправильно настроил генту.

Поставил бы спеллчекер что ли. А то умничают и такие вдруг ошибки позорные.

А зачем спеллчекер. Можно же просто ещё на лор автозамен добавить, и корректоров-надзирателей. Кавычки же меняете мои, типа неправильные.

Почему бы не использовать один и тот же три раза подряд?

Однако стоит отметить, что в настоящее время нет способов найти столкновения для хэшей MD5 и SHA-1 одновременно, что означает, что чтобы быть в безопасности все еще можно использовать старые доказанные хэш-функции, которые к тому же ускоряются аппаратно.


Так что по идее лучше разные.

Это достаточно много.

Re: Хакерам-одиночкам взлом SHA128 не под силу

это могла бы сделать только либо госструктура либо мегакорпорация с большими вычислительными мощностями

Или ваши конкуренты по бизнесу, которые тупо могут позволить себе арендовать пару тысяч gpu. Или кульхацкеры, которые запустят ботнет на миллионе кофемолок.

Подделать цифровой сертификат. Правда что потом с ним делать, и к чему это приведет в итоге — неясно. Но ясно одно — хуита;

sha-1-only сертификаты может быть и подделаешь. Но, их уже года три с лишком не выдают и комодчики их бесплатно меняли на новые с sha-2. А те, что есть будут в браузерах метиться как ненадёжные, даже будучи валидными.

Что сможет сделать злая мегакорпорация с моими бэкапами порнухи, имея 100500 GPU ?

Родинку на жопе пририсуют и волосы на лобках.

В общем специалисты Гугол страдают херней.

Специалисты гугла занимаются делом. Емнип лет пять назад уже были статьи что sha-1 пора закапывать. Три с лишним года назад был хайп по смене сертификатов с sha-1 на sha-2. Полгода-год назад пригрозили, что будут сайты с такими сертификатами макать в кал.
И тут уже окончательно клюнул петух в задницу. И очень странно, что для некоторых это такая неожиданность. Люди, я с вас удивляюсь.

Тебе и привели реальный юзкейс.
Хотя его можно реализовать намного проще и менее затратно.

Или кульхацкеры, которые запустят ботнет на миллионе кофемолок.

Ну битки пытались считать на миллионах автомобильных видеорегистраторов. Обломались — быстродействие ниже порогового.

До асиков вполне имело смысл, до сих пор имеет на тех алгоритмах, под которые асиков нет.

Достаточно много для буржуев 🙂

А вот если бы каждый пролетарий (на самом деле не каждый, а лишь в относительно развитых странах) мог бы на домашнем ПК или днище-смартфоне взломать. То было бы другое дело. Чесались бы гораздо сильнее.

Ну битки пытались считать на миллионах автомобильных видеорегистраторов. Обломались — быстродействие ниже порогового.

Если подойти серьёзно и по крупному, то незачем делать это на ЦП видео-регистратора. Надо всего лишь наладить выпуск аппаратных видео-кодеров с функцией расчёта хэша, документировать её в принципе не обязательно. А себестоимость чипов в крупных партиях всё равно не зависит от их сложности.

Так вроде хотели делать в конторке 21.co, и им даже инвестировали в это. Так-что вполне возможно, что такие устройства уже есть либо скоро будут.

И как это интересно связано? Тут задача не регулярно блоки находить, а получить одну коллизию.

Не кого угодно, чтобы один долбанный sha-1 ломануть, нужно полгода, и то, если повезёт.

как сейчас модно, продавать сервис по перебору за n-часов.

Очевидно, что не в РФ.

Потребуется наверное много справок и объяснений как будет использоваться когда прибыль типа бизнес план.

Нет. Потребуется съездить в банк подписать бумаги. Если бизнес совсем уж ларёчный, надо будет дать достаточно убедительные устные объяснения представителю банка. А джентельменам, умеющим хотя бы завязать галстук, верят на слово.

Ну и какой смысл выкинуть столько денег вряд ли у кого то есть информация которая имеет такую стоимость.

Ну вот ты не знаешь, а кто-то знает, и уже, поди, закупает GPU вагонами. Торопись!

Кто взломал алгоритм SHA1 и что это значит для Биткоина

Мир криптографии активно обсуждает новость о том, что исследователи из Google и Центра математики и информатики в Амстердаме (CWI Amsterdam) успешно сгенерировали «хэш-коллизию» для двух разных документов с использованием алгоритма шифрования SHA1, что фактически означает взлом алгоритма в соответствии с криптографическими стандартами.

Но что это означает на простом языке и каковы последствия этого события для Биткоина и других криптовалют?

Хэш-коллизия

Хэш-функция (примером которой является SHA1) используется для того, чтобы выбрать часть данных любого размера, обработать их и затем вернуть обратно в качестве другого отрезка данных – «хэш-дайджеста» с фиксированным размером. Один из вариантов использования хэш-функций нашел применение в области вычислений – они используются для проверки идентичности содержимого файлов: пока хэш-функция надежно защищена, два файла, чьи хэши имеют одинаковое значение, будут иметь одинаковое содержание.

При этом хэш-коллизии происходят тогда, когда два разных файла имеют идентичное содержание. Учитывая математические законы, которые регулируют хэш-функции, возникновение коллизий неизбежно при некоторых значениях входных данных (так как диапазон данных, который можно поместить в хэш-функции, потенциально является бесконечным, а длина вывода — фиксирована). Для обеспечения безопасности хэш-функции вероятность таких событий должна быть настолько мала, что на практике этого невозможно достичь из-за огромного количества вычислений.

Значимость результатов команды Google и CWI заключается в том, что они смогли создать коллизию, найдя гораздо более эффективный метод, по сути, в 100 000 раз более эффективный, чем обычное угадывание каждого возможного значения данных. Именно из-за эффективности этого способа алгоритм SHA1 можно официально считать взломанным.


Премия SHA1

Премия, которая полагается за обнаружение уязвимостей в алгоритме SHA1, изначально была объявлена криптографом и разработчиком Биткоина Питером Тоддом (Peter Todd) в сентябре 2013 года, однако никто не претендовал на нее до этой недели. Чтобы получить премию, необходимо было выполнить сценарий, написанный Тоддом, который позволит любому переместить биткоины с премиального адреса на любой другой, если человек сможет представить два сообщения с разными значениями, но имеющими одинаковый результат в процессе хэширования.

Поддержали Тодда и другие участники сообщества – в общей сложности они пожертвовали в премиальный фонд 2,5 биткоина. По данным исследователей, исходя из сроков появления претензии на премию, которая произошла не сразу после публикации данных о коллизионной атаке, можно предполагать, что премию получили не исследователи из Google, сделавшие открытие, а третья сторона – тот, кто изучил результаты исследования и забрал награду себе. Тодд отмечает:

«Если премию получили авторы исследования, то стоило ожидать, что они заявят о своей претензии на нее до того, как опубликуют результаты исследования. Однако все произошло совсем не так».

Последствия для Биткоина

Стоит отметить, что криптография, лежащая в основе сети Биткоина, которая использует более безопасный алгоритм SHA2-256, напрямую не зависит от взлома его предшественника. Старые криптографические алгоритмы со временем становятся уязвимыми и отмирают, уступая место более совершенным. Однако, помимо обогащения мистического получателя премии, уязвимость SHA1 все же становится поводом для беспокойства для сообщества разработчиков Биткоина, так как система управления версиями Git использует SHA1 для создания хэш-дайджеста для фиксации транзакции.

«Сделанное открытие вовсе не означает, что мы сразу же прекратим использование Git», — отмечает Тодд. «Однако мы уделим больше внимания работе других людей, так как третья сторона может попытаться воспользоваться уязвимостью».

Суть найденной уязвимости заключается в том, что теоретически злоумышленники могут создать две разные версии кода, которые будут казаться одинаковыми во время сопоставления их значений. Однако на текущий момент, учитывая какие вычислительные мощности необходимы для поиска такой коллизии, очень маловероятно, что это может произойти.

Точно такие же премии, как и для SHA1, Тодд объявил и для хэш-функций RIPE MD160 и SHA256 – они обе являются необходимой составляющей целостности стандарта Биткоина и, следовательно, их уязвимости могут быть губительны для сети. Комментируя своего решение, Тодд сказал:

«Если вы хотите заявить права на одну из этих премий, лучше сначала потратьте свои биткоины».

Награду за взлом криптографического алгоритма SHA-1 мог запросить неизвестный

Вознаграждение, предложенное разработчиком Bitcoin Core Питером Тоддом в сентябре 2013 года за создание так называемой коллизии хэш-функции для двух документов с использованием криптографического алгоритма SHA-1, было успешно востребовано. Однако личность того, кто запросил награду, остается под вопросом, пишет CoinDesk.

На данный факт обратил внимание один из пользователей Reddit. При этом награда была востребована уже после того, как об успешном создании коллизии 23 февраля сообщили разработчики Google и Института CWI Amsterdam.

Изначально награда, целью которой было найти уязвимости в алгоритме, была объявлена Питером Тоддом в 2013 году на Bitcoin Talk. Задача состояла в том, чтобы создать два сообщения с разными значениям, но которые бы имели один и тот же дайджест при хэшировании. Помимо Тодда, финансовое вознаграждение предложили и другие разработчики, подняв общую сумму премии до 2.5 BTC.

И как отмечает Питер Тодд, время, когда награда была востребована (вскоре после публикации в блоге Google), заставляет его предположить, что речь может идти о некой третьей стороне, которая, прочитав запись, решила воспользоваться результатами.

«Если бы это были сами авторы, можно было бы ожидать, что награда была бы востребована до публикации записи. То, как все произошло, говорит об обратном», — сказал Тодд.

Коллизия хэш-функции

Криптографический алгоритм SHA-1 является одним их примеров хэш-функции, используемой для обработки части данных любой длины и последующего возвращения другой части данных (хэш дайджест) с фиксированной длиной.

Хэш-функции используются, в частности, для проверки идентичности содержимого файлов – пока их надежность подтверждена, два файла с одним и тем же значением хэша всегда будут иметь одинаковое содержание. Когда же два разных файла имеют одно и то же значение хэша, наступает конфликт (коллизия).

Принимая во внимание тот факт, что данными функциями управляют законы математики, возникновение коллизий хэш-функций для определенных значений входящих данных неизбежно. Поэтому для того, чтобы хэш-функция оставалась надежной, вероятность коллизии должна быть настолько мала, чтобы на практике было невозможно осуществить достаточное количество вычислений для ее нахождения.

Значение результата команд Google и CWI состоит в том, что они смогли создать коллизию хэш-функции, найдя метод в десятки тысяч раз более эффективный, чем простые попытки угадать каждое возможное значение данных. И именно эта достигнутая эффективность означает, что алгоритм SHA-1 теперь официально взломан.

«Для технологического сообщества полученными нами результаты подчеркивают необходимость отказа от SHA-1. Google говорил об этом уже много лет, особенно когда речь идет о подписи TLS-сертификатов. Еще в 2014 году команда Chrome объявила, что будет постепенно отказываться от использования SHA-1. (…) Мы надеемся, что наша атака на SHA-1 в итоге убедит индустрию в срочной необходимости перехода на более надежные альтернативы, например, на SHA-256», — говорится в блоге Google.

Последствия для биткоина

Алгоритм SHA-256 также лежит в основе биткоина, поэтому результаты программистов Google и Института CWI Amsterdam напрямую на него не влияют. Однако, помимо возникшей загадки вокруг личности получившего награду, созданная коллизия SHA-1 все же представляет определенную тревогу для сообщества разработчиков, поскольку именно этот алгоритм оно использует в системе контроля версий Git для создания хэш дайджеста фиксаций.

«Речь не идет о том, чтобы немедленно перестать использовать Git, но становится более важным делать анализ работы других людей. Есть вероятность того, что третье лицо может попытаться протолкнуть вредоносную версию кода», — говорит Питер Тодд.

По его словам, опасность состоит в том, что в теории атакующий может создать две разные версии кода, которые при сравнении хэшей внешне будут выглядеть идентичными. Впрочем, оговаривается Тодд, учитывая огромное количество вычислительных мощностей, необходимых для того, чтобы найти коллизию, вероятность этого слишком мала.

Мастер Йода рекомендует:  Как использовать Sass с WordPress. Пошаговое руководство

Помимо SHA-1, Питер Тодд предложил аналогичные награды за хэш-функции RIPE MD160 и уже упомянутый SHA-256.

«Если кто-то востребует эти награды, вам будет лучше побыстрее избавиться от своих биткоинов», — добавил он, говоря о важности этих двух алгоритмов для сети.

Напомним, минувшим летом группа британских разработчиков объявила о выпуске ПО с открытым кодом, которое позволяет заменить криптовалютные кошельки кодированными изображениями. Данный протокол использует две криптографические техники: Rijndael или AES (Advanced Encryption Standard) и стеганографию, метод, позволяющий спрятать данные в изображении, сообщении, документе или видео.

Подписывайтесь на новости Forklog в Facebook!

Подписаться на новости Forklog

Свободное копирование и распространение материалов с сайта ForkLog разрешено только с указанием активной ссылки на ForkLog как на источник. Указание ссылки также является обязательным при копировании материалов в социальные сети или печатные издания.

Журнал ForkLog — информационный ресурс о криптовалютах, блокчейне и децентрализованных технологиях. Мы работаем для вас с 2014 года.
© 2020

nedoPC.org

Community of electronics hobbyists established in 2002

.

Atom Feed | View unanswered posts | View active topics It is currently 10 Nov 2020 00:39

All times are UTC — 7 hours [ DST ]

Найдена коллизия SHA-1

Page 1 of 1 [ 10 posts ]
Previous topic | Next topic

Вчера появилась информация, что нескольким исследователям удалось найти коллизию в SHA-1 (алгоритм хеширования, который выдаёт 160-битный ключ по содержимому файла) и даже более того — предоставить алгоритм создания таких коллизий!

Приаттачиваю два PDF-файла (взято с http://shattered.io) — любой может проверить, что файлы разные, но тем не менее имеют один и тот же SHA1 хэш:

> ls -l
-rw-r—r— 1 shaos shaos 422435 Feb 23 16:37 shattered-1.pdf
-rw-r—r— 1 shaos shaos 422435 Feb 23 16:37 shattered-2.pdf

> sha1sum shattered-1.pdf
38762cf7f55934b34d179ae6a4c80cadccbb7f0a shattered-1.pdf
> sha1sum shattered-2.pdf
38762cf7f55934b34d179ae6a4c80cadccbb7f0a shattered-2.pdf

> md5sum shattered-1.pdf
ee4aa52b139d925f8d8884402b0a750c shattered-1.pdf
> md5sum shattered-2.pdf
5bd9d8cabc46041579a311230539b8d1 shattered-2.pdf

Эксперты осуществили первую успешную атаку поиска коллизий хеш-функций SHA-1

В течение 90 дней Google планирует опубликовать PoC-код для атаки «SHAttered».

Разработанный в 1995 году Агентством национальной безопасности США популярный алгоритм криптографического хеширования SHA-1 окончательно признан небезопасным. Команда исследователей Google и Центра математики и информатики в Амстердаме сообщили об осуществлении первой в мире успешной атаки поиска коллизий хеш-функций SHA-1 .

Техническое описание атаки очень сложное, однако ее можно сравнить с попыткой преступника хирургическим образом изменить свои отпечатки пальцев с целью выдать себя за другое реально существующее лицо.

Исследователи предупреждали о небезопасности SHA-1 еще более десяти лет назад, однако алгоритм по-прежнему пользуется большой популярностью. В октябре 2015 года исследователи Центра математики и информатики опубликовали доклад о практическом поиске коллизий хеш-функций SHA-1. Тогда эксперты оценили стоимость осуществления атаки с использованием вычислительной мощности облака Amazon’s EC2 в сумму от $75 тыс. до $120 тыс. Сам процесс занял бы несколько месяцев.

Команда Google совместно с экспертами Центра математики и информатики осуществили эту атаку и опубликовали новый отчет, подробно описывающий весь процесс. Атака, получившая название «SHAttered», обошлась исследователям в $110 тыс.

В качестве примера эксперты продемонстрировали два файла в формате PDF с одинаковым хешем SHA-1 , но с совершенно разным содержимым [ PDF1 , PDF2 ]. По словам исследователей, «SHAttered» дает результат в 100 тыс. раз быстрее, чем брутфорс. Как пояснили ученые, атака требует 9 223 372 036 854 775 808 вычислений SHA-1. С использованием одного процессора на это уйдет 6,5 тыс. лет, а с использованием видеокарты – 110 лет.

В течение 90 дней Google планирует опубликовать PoC-код для «SHAttered» .

Кирилл Мещеряков, директор по управлению продуктами «Рутокен» компании «Актив»

Обнаруженная атака может стать серьезной проблемой для тех, кто использует RSA подпись в документообороте.

Сейчас данные о том, как на практике создается коллизия, не раскрыты. Но уже сейчас понятно, что скорее всего огромному множеству созданных и подписанных за долгое время документов пока ничего не угрожает.

Как только данные о практической реализации будут раскрыты, потенциально можно будет атаковать целевой компьютер и заставить его создавать подписанные документы так, чтобы в будущем была возможность изменить уже подписанный документ и при этом подпись на нем останется валидной, а то очень и очень плохо.

Теоретически с помощью коллизий можно атаковать и SSL-подключения, построенные на связке RSA и SHA-1. Например, такая схема используется в ЕГАИС.

Решение я вижу в использовании надежных (еще не взломанных) алгоритмов электронной подписи и хеширования. В нашей стране это ГОСТ Р 34.10-94 и ГОСТ Р 34.10-2001, а с 2020 года ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012.

Тем, кто не может быстро отказаться от RSA подписи рекомендуется как можно быстрее перейти на алгоритм хеширования SHA-256 и встроить в программное обеспечение детекторы коллизий SHA-1.

Подписывайтесь на каналы «SecurityLab» в Telegram и Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Алгоритму криптографического хеширования SHA-1 настал конец.

Коллизия — это когда два разных объекта имеют один хеш. Если алгоритм SHA-1 используется для идентификации объекта, то появляется возможность «подсунуть» иной объект так, что «по документам» он будет идентичен оригиналу. И речь идет даже не о взломе шифрованной переписки, хотя SHA-1 по-прежнему довольно активно используется в криптографии. «Объекты» могут быть документами, сертификатами для идентификации определенного сервера: подмена в данном случае открывает широкий простор для кибератак.

Дубликаты не найдены

Так его уже давно выводят

Одно дело знать что теоретически алгоритм уязвим, и другое — иметь инструмент это демонстрирующий. Это большой шаг, чтобы заставить толпы людей перестать пользоваться уязвимым алгоритмом.

Когда еще сидел на Хабре, то предложил вместо одного алгоритма хеширования использовать 2 или 3. Заодно можно пробовать прямой и обратный (реверс-хеш от файла, когда биты для вычисления берут с конца файла) хеш. Коллизия нереальна.

Зачем считать больше?

Ну так MS давно его выпилила из подписей сертификатов, например. А про то, что его не нужно пользовать я еще в доке по OpenSSL семилетней давности читал.

SHA-1 как то использовал для хранения паролей для своего самого первого проекта ещё в студенчестве. На столько он меня заебался что уже получил скил распознавать по набору символов, SHA-1 это или нет.

О сообществе


Данное сообщество будет направленно на:

1. Аккумуляцию информации о самых актуальных проблемах информационной безопасности возникающих в настоящем времени и возможных в будущем,

2. Доведение до подписчиков новостей из мира ИБ.

3. Обучению основам информационных технологий в тематических постах.

Задача сообщества — помогать распространению знаний в сфере ИБ и делиться опытом. Также тут найдется место немного для веселья и описания курьезных ситуаций.

Помните, что Ваша точка зрения принципиально не может быть единственно верной и что особенно важно — принципиально не может быть применена ко всем ситуациям. Уважайте себя и других, будьте ответственными и объективными.

Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.

По решению модератора или администратора сообщества пользователь будет забанен за:

1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.

2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.

3. За обвинение в киберпреступной деятельности.

Могут ли возникнуть дубли хешей?

Доброго дня!
На проекте каждому заказу генерируется ссылка вида site.com/a715caeb
Чтобы пользователи без авторизации могли по этим ссылкам попадать в свои кабинеты.
Зачем использую crc32b? Чтобы ссылки были как можно короче — для использования в смс-рассылке.

Генерирую так:
$hash = hash(‘crc32b’, md5($client_email.$id_item));

$client_email — email клиента
$id_item — ID товара

Это нормальное решение, как вы считаете? Терзают сомнения может ли получиться ситуация, когда для разных емейлов и товаров сгенерируется один и тот же хеш? Или маловероятно?

  • Вопрос задан более трёх лет назад
  • 4973 просмотра

Если кто-то узнает это:

То сможет получить доступ к любому кабинету зная только email пользователя.
Это не очень хорошо.

В таких случаях нужно делать так:
1. При создании пользователя генерируете «токен» по которому можно заходить без пароля, например так:
$hash = hash(‘crc32b’, md5(uniqid(rand(), true)));
2. При каждом заходе пользователя в кабинет по этому «токену» меняете его.

Ну а чтобы не получилось одинаковых «токенов», нужно при создании/смене «токена» проверять на наличие такого же. Т.е. генерировать «токен» до тех пор пока он не будет уникальным, тогда и записывать в бд.

Решение отвратительное. Это уже что-то из серии про архиватор Бабушкина.

Ну разумеется, коллизии будут.

Лучше оставить MD5 (у которого вероятность коллизий вполне в пределех допустимого), но перевести его из неэффективного base16 в более короткую форму. Base64 вполне подойдёт, поскольку кодировщик есть в пхп из коробки. Вот только оба не буквенно-цифровых символа там не подходят для передачи через урл — лучше их заменить:

Итого экономим 10 символов из 32-х. Конечно, 22 хуже чем 8, но тут надо выбирать — или достаточная длина, или коллизии и отсутствие безопасности вообще.

Абсолютно НЕнормальное. Прочитай на wiki про «парадокс дней рождения». Вероятность коллизии для абсолютно равномерного распределения равна 1/sqrt(2^32)=1/(2^16)=1/65536. В реальности crc32 не обеспечивает равномерного распределения и потому вероятность коллизии будет намного больше.

К тому же столь короткий адрес приведет к тому, что злоумышленник сможет добраться до чужих заказов путём простого перебора.

Зачем использую crc32b? Чтобы ссылки были как можно короче — для использования в смс-рассылке.

На вашем месте, если нужен детерминизм, я бы:
1) использовал хэш-функции из семейства SHA-2 (SHA-256,SHA-512).
2) использовал бы N последних бит (например, 48, сложность подбора заданного хэша в среднем 2^48 попыток, сложность нахождения двух произвольных пользователей с совпадаюшими хэшми, как отметил @eandr_67 в комментарии, значительно меньше, 2^24 попыток в среднем, в силу квадратичного количества пар)
3) транслировал бы эти 48 бит в 8 символов 64-символьного алфавита (латинские буквы в обоих регистрах + цифры + 2 символа)
4) использовал бы полученную 8-символьную строку
Пункты 2,3,4 можно подогнать под ваши специфические требования.

При изменении статусов заказа эти ссылки приходят клиенту на емейл/смс — поэтому будет не очень хорошо если ссылка каждый раз разная будет (таким образом клиент не сможет зайти в кабинет по ссылке из прошлого письма).

Решено Пример коллизии MD5/SHA1

am29f010b

Реальная коллизия хэш-функции MD5


Что такое коллизия хэш-функции? прочитать можно

Суть поста, что я нашёл коллизию md5, пошел искать коллизию sha1 (и пропал), а Вы усвойте урок, что не стоит выкладывать важные скрины где-либо, заверяя их контрольной суммой MD5. Любой такой скрин можно подделать, не только в теории.

Невозможно всю «физику» во вселенной описать алгоритмом md5 и не получить одинаковых парных значений.
По идее, коллизию хэш функции можно получить только в теории, и на практике вы вряд ли встретитесь с collision.

Но! Если хотите встретиться с коллизией на практике немедленно, скачайте

и проверьте хэш md5 обоих картинок в архиве. Картинки разные, а хэш совпадает — это и есть коллизия хэш-функции md5.

Коллизия md5 находится/вычисляется не только в «картинках», но и сдругими форматами файлов её не составит труда переиграть, например, любой.pdf.

Проверить хэш MD5, распаковать zip-архив. и
В GNU/Linux md5sum 1.jpg 2.jpg
В Windows Certutil -hashfile «1/2.jpg» MD5 , или в ПО HashTab.
В Android — например, в приложении «Hash droid»

Совпадение хэша md5 картинок из архива.

Не стоит заигрывать с песней льда и пламени, если не хочешь закончить, как Король Ночи! Не используй md5.

ps/ Пост обновил из-за впечатлительных людей.

Security Week 42: коллизии в SHA-1, практический взлом роутеров, Andro >19 октября 2015

Когда вы находитесь в эпицентре событий, иногда сложно понять, что на самом деле произошло. Находясь в пробке, вы не узнаете, что она произошла из-за ДТП, пока не доберетесь до двух подбитых летчиков, занявших три полосы. До этого момента у вас просто недостаточно информации, чтобы сделать выводы.

В индустрии информационной безопасности так часто происходит: тема сложная, нюансов много, а результат некоторых исследований можно реально оценить только через несколько лет.

На этой неделе три самые интересные новости о безопасности не имеют между собой ничего общего, кроме толстого слоя подтекстов. Если не заниматься темой постоянно, важность некоторых событий можно оценить неправильно или не увидеть какие-то важные детали.

Попробую по мере сил объяснить на примерах, хотя подтексты — штука такая: каждому видится что-то свое. Добро пожаловать в 11-й эпизод сериала Security Week им. Срыва Покровов. Традиционные правила: каждую неделю редакция новостного сайта Threatpost выбирает три наиболее значимые новости, к которым я добавляю расширенный и беспощадный комментарий. Все эпизоды сериала можно найти тут.

Поиск коллизий для алгоритма SHA-1 серьезно подешевел

Новость. Предсказание Джесси Уокера трехлетней давности. Новое исследование, изменившее представления о безопасности алгоритма.

Те, кто продвинулся в освоении Linux чуть дальше автоматической установки Ubuntu, знают, что эта система мотивирует читать инструкции. В смысле первым делом я, конечно, пробую нагуглить доку, где просто указана последовательность команд, но в некоторых случаях у меня сначала ничего не заработает, а потом вообще все сломается.

Эта новость из той же серии: без хотя бы минимального погружения в матчасть в ней сложно разобраться. Несмотря на то что это, пожалуй, самая сложная тема за все время существования сериала, я попробую рассказать, в чем суть, простыми словами.

Ну, как-то так попробую

SHA-1 — алгоритм криптографического хеширования. Такому алгоритму можно дать на входе последовательность данных почти неограниченной длины, а на выходе получить 160 бит информации, которые позволяют идентифицировать исходный массив данных. Если, конечно, он у вас есть: восстановить информацию из хеша не получится, фарш невозможно провернуть назад.

Точнее, не должно получаться, даже если на входе, например, у вас пароль незадачливого пользователя типа «123456». К любому подобному алгоритму есть два требования: невозможность получить исходные данные, имея на руках только хеш, и невозможность подобрать такую пару наборов данных, чтобы их хеш совпадал.

Если быть точным, возможность сделать и то, и другое почти всегда имеется. Просто это должно быть связано с настолько большим объемом вычислений, что нечего даже и пытаться. Ну, то есть вы покупаете самый мощный суперкомпьютер, даете ему задачу сломать шифр. Через 240 лет он говорит, что ответ — 42, но вас к тому времени это уже никак не волнует.

Но есть нюанс. Во-первых, производительность компьютеров постоянно растет. Во-вторых, исследователи ищут обходные пути, позволяющие взломать криптографические системы. Для алгоритма хеширования найти коллизию гораздо проще, чем расшифровать исходные данные.

Между тем тот же SHA-1 используется в различных системах шифрования и авторизации, где его главная задача — убедиться, что данные у двух разных абонентов совпадают. Если можно найти два или больше массивов данных, у которых хеш будет одинаковый, причем сделать это дешево и быстро, — значит, алгоритм больше не надежен.

Если у вас в ближайшие пару лет накопится 75 тысяч долларов, то у вас есть все шансы ломануть алгоритм SHA-1: https://t.co/Z2qzi1NclE

Пожалуй, на этом остановлюсь, потому что дальше начинается совсем уж суровый матан, который сути дела не меняет. Работа исследователей выглядит примерно так: придумываем алгоритм поиска коллизии, который позволяет найти таковую за чуть меньшее количество операций, чем простой перебор. Точнее, тут имеет смысл говорить про атаку «Дней рождения». Дней рождения, Карл!

Какие-то неправильные у меня простые слова.

Затем исследователи улучшают этот алгоритм, еще больше уменьшая количество операций. В результате ту самую атаку, требовавшую 240 лет, становится возможно выполнить за 120 лет. Или за 12. Или за 2. Вот когда вместо двух с половиной веков требуется всего два месяца, можно начинать волноваться.

Так вот, три года назад специалист по криптографии Джесси Уокер из Intel предположил, что к 2015 году для нахождения коллизий алгоритма SHA-1 потребуется два в одиннадцатой степени серверо-лет (ну, если взять за основу такой сферический типовой сервер в вакууме).

К счастью, благодаря облачным сервисам, а конкретно Amazon EC2, можно вычислить более конкретный денежный эквивалент: около $700 тыс. — и вы получите теоретический способ, например подделать цифровую подпись за сравнительно короткое время.

Но это была оценка 2012 года. Получалось, что уже тогда алгоритм SHA-1 был не настолько надежен, как хотелось бы, только эксплуатировать эту ненадежность могли очень состоятельные организации, например разведка какой-нибудь небедной страны.

Естественно, такие конторы не торопятся выпускать пресс-релизы о своих успехах на ниве борьбы с криптографией. Так что важнее понять, когда доступ к такому «инструменту» получат пусть и состоятельные, но киберпреступники.

Недавно команда исследователей из университетов Голландии, Сингапура и Франции опубликовала доклад, в котором поделилась новыми идеями оптимизации алгоритма поиска коллизий. Благодаря им, если коротко, реальная атака может стоить «в ценах Amazon» всего $75 тыс. и займет примерно 49 дней.

Ну или дороже и побыстрее, кому как удобно. Известный эксперт в области криптографии Брюс Шнайер прокомментировал это таким образом: оценка 2012 года учитывала закон Мура, но не принимала во внимание усовершенствование алгоритма атаки и метода проведения атаки (например, использование графических процессоров для вычислений, которые выполняют задачу быстрее и дешевле). Надежно предсказать эффект такой оптимизации действительно невозможно.

А дальше задаем традиционный вопрос: на практике это новое исследование и новая оценка кому-то угрожают? Не так чтобы очень. А как вообще такие «уязвимости» могут эксплуатироваться? Есть пример для значительно менее стойкого алгоритма MD5: берем два разных файла (в данном случае использовались фотографии рок-звезд) и, последовательно модифицируя данные в одном из них, получаем в итоге одинаковый хеш для двух абсолютно разных изображений.


А если конкретнее? Кибершпионская кампания Flame использовала данный прием для подписи вредоносного файла валидным (на тот момент) сертификатом Microsoft. Точнее, подпись была поддельная, но хеши у поддельной подписи и реальной совпадали. По независимой оценке, такой трюк, даже с более слабым алгоритмом, мог обойтись в сумму от $200 тыс. до $2 млн. Дороговато!

А что с SHA-1? Алгоритм применяется с 1995 года, и, в общем-то, уже в 2005-м, 10 лет назад, было понятно, что это не самая надежная в мире технология. Но даже с новыми вводными данными до практической эксплуатации еще далеко, в то время как SHA-1 постепенно выводится из использования и заменяется более надежными алгоритмами хеширования.

До 2020 года разработчики основных браузеров планируют отказаться от использования SHA-1. Пожалуй, стоит поторопиться, ведь если за три года предположительная цена атаки упала с $2,77 млн до $100 тыс., то что может произойти еще через год?

В новой версии Google Chrome будут помечаться небезопасными SSL-сертификаты, использующие алгоритм SHA-1 http://t.co/bIe7x63a1E

С другой стороны, все исследования уязвимости SHA-1 пока что имеют чисто научную ценность. Пытаться понять на практике, чем это грозит, — это все равно что из сообщения «12 апреля 1961 года над Казахстаном сгорело 250 тонн ракетного топлива» сделать вывод, что человек впервые полетел в космос, не зная об этом заранее. Поживем — увидим.

Fun fact: хеш вообще-то правильно называть digest или message digest. Получается, вы только что прослушали дайджест про дайджест. Рекурсия, уи-и-и-и!

Уязвимость в роутерах Netgear эксплуатируется на практике

В маршрутизаторах Netgear N300 обнаружили уязвимость. Ну да, еще одна дыра в роутерах, и как-то получается, что они все разные, но при этом на одно лицо. В одной из прошлых серий уже обсуждали пачку дыр в устройствах Belkin. У Netgear причем все как-то совсем обидно.

Открываем веб-интерфейс роутера. Вводим пароль, неправильный, так как роутер чужой и пароль мы не знаем. Нас отправляют на страничку, где пишут Access Denied. Но если попытаться открыть страничку с именем BRS_netgear_success.html, то… нас тоже никуда не пустят. А вот если попытаться сделать это несколько раз подряд, то — пустят.

Естественно, при этом желательно быть уже внутри локальной сети, что несколько усложняет задачу. Хотя если роутер, например, раздает Wi-Fi в кафе, то попасть внутрь — не проблема. А если владелец зачем-то включил доступ к веб-интерфейсу из Интернета, то вообще все просто.

Кстати, кто-нибудь может сказать, зачем в принципе нужен доступ к веб-интерфейсу снаружи? Именно к веб-интерфейсу роутера, а не к каким-нибудь штукам в локальной сети. Мне кажется, причин так делать вообще нет, а поводов НЕ делать, как видите, предостаточно.

Уязвимость в маршрутизаторах Netgear оказалась атакована. Не успели пропатчить, чего ждали — непонятно: https://t.co/oWwyAU0yXA

В общем-то, тут все шло достаточно хорошо: вендора уведомили, через два месяца он сделал бета-версию прошивки. Еще бы чуть-чуть — и обошлось, но нет, оказалось, что уязвимость уже эксплуатируют, что называется, «в полях».

Швейцарская компания Compass Security обнаружила такой роутер с измененными настройками: в качестве DNS-сервера был прописан не адрес провайдера, как это обычно бывает, а не пойми что. Соответственно, через это «не пойми что» проходили все DNS-запросы. Исследование сервера атакующих показало, что он «обслуживает» больше 10 тыс. взломанных роутеров.

Netgear наконец-то разродилась патчем для атакованных роутеров. Обновлению подлежат восемь моделей: https://t.co/57UhYFX7iY

Fun fact: компания Compass Security довольно долго не могла добиться никакого ответа от Netgear. Затем диалог таки случился, и им даже прислали бета-версию прошивки на проверку. Но тут (откуда ни возьмись) появилась компания Shellshock Labs и опубликовала свое исследование той же уязвимости, вообще ни с кем не договариваясь (что как бы не очень хорошо).

Конечно, назвать компанию в честь бага в bash — это круто, но принцип «не навреди» никто не отменял. Зато из исследования «потрясателей шелла» становится понятно, откуда взялась уязвимость в веб-интерфейсе. В коде прошивки предусмотрена возможность войти в веб-интерфейс без пароля один раз, при первом запуске. Чтобы дальше это не работало, был предусмотрен флажок, про который просто забыли. Да, прошивку в итоге все же обновили.

85% Android-устройств небезопасны

Новость. Сайт исследователей, с рейтингом безопасности по вендорам.

Да вы что! Никогда такого не было, и вот опять! Между тем речь идет еще об одном научном исследовании, хотя, конечно, не таком забористом, как в истории про SHA-1. Исследователи из Кембриджского университета проделали интересную штуку. Собрали данные о 32 серьезных уязвимостях в Android, потом выбрали из них 13 наиболее серьезных и проверили сразу много телефонов разных производителей на наличие этой уязвимости.

Проверяли так: сделали приложение Device Analyzer, через которое открыто собирали различную анонимную телеметрию у участников эксперимента, включая такие параметры, как версия ОС и номер билда. Всего удалось собрать информацию более чем с 20 тыс. смартфонов.

Далее, сопоставив номер версии Android с информацией об уязвимостях, смогли примерно оценить масштаб беды. В результате получилась вот такая картинка:

Усреднение показателей за все время исследования и дало ту самую цифру 85% — в среднем в любой момент времени именно такая доля устройств на Android подвержена одной из известных и потенциально опасных уязвимостей. Или не одной. Как обычно, ударение надо делать на «потенциально» — на примере Stagefright понятно, что даже на самую опасную уязвимость накладываются суровые ограничения по практической реализации.

Но на этом исследователи не остановились и сделали рейтинг «опасности» устройств по производителям, назвав его FUM Score. В нем учитывается и время реакции вендора на информацию о новой уязвимости — как быстро патч появляется в устройствах конкретного производителя.

Победителем стала — предсказуемо — серия смартфонов Nexus: в ней баги исправляются максимально быстро. На втором месте LG, на третьем — Motorola. Впрочем, «победителей» тут на самом деле нет, одни проигравшие.

В расчете учитывается именно доля обновленных устройств, то есть не только вендор должен выпустить патч, но и владелец — не полениться обновить. Чем старше устройство, тем хуже: в отдельном рейтинге по моделям смартфонов у не самых старых устройств двух-трехлетней давности совсем уж унылые показатели. Почему? Не обновляют. Но пользуются.

85% Android-устройств небезопасны, потому что операторы так и не научились вовремя обеспечивать аппараты патчами: https://t.co/maJ7KGiNBV

В общем, в методике исследования есть немало вольных допущений, да и доказывает она то, что и так всем известно. По словам исследователей, одной из целей их работы является дополнительная мотивация производителей таки починить систему латания дыр в своих устройствах. А вот что на самом деле важно: на картинке выше мы видим пример экосистемы, которая в принципе не может быть на 100% безопасной.

Хотя Android со своей фрагментацией — это самый показательный пример, таких экосистем много. Можно говорить о том, что iOS безопаснее, но, как показывает первая история дайджеста про, эм, дайджест, не бывает абсолютно надежных систем, бывает мало водки ограничение по бюджету. А это такой очень важный момент при выборе стратегии защиты.

Что еще произошло:

Apple удалила из App Store приложения, устанавливавшие корневые сертификаты, что позволяло им перехватывать, отслеживать или модифицировать данные, передающиеся по защищенному соединению. Например, для блокировки рекламы или чего похуже. Я так понимаю, что и новые приложения с таким функционалом теперь загружать нельзя. А почему раньше было можно?

В Apple говорят, что вычистили из App Store вредоносные приложения, но какие именно — не говорят: https://t.co/oT90olHNkQ

Европейское агентство по авиационной безопасности рассказало об уязвимости в системе ACARS, использующейся для передачи данных между самолетом и наземной станцией. В общем-то, изначально было ясно, что в системе без какой-либо верификации пакетов отправить поддельное сообщение несложно.

Найденные в адресно-отчетной системе авиационной связи (ACARS) уязвимости позволят хакать самолеты: https://t.co/3eAhVx7ROV

Порулить самолетом не получится, но отправить сообщение, которое введет в заблуждение пилотов, можно. Об уязвимости ACARS исследователи говорили (документами в формате PDF) еще в 2013 году, но то были ИБ-специалисты, а тут непосредственно отвечающий за безопасность надзорный орган. А это хорошие новости.

Древности:

Опасный резидентный вирус. Инфицирует .COM-файлы при их загрузке в память. Старое начало файла шифрует, причем в качестве ключа использует 10h байт BIOS’a. То есть правильно расшифровываться и нормально выполняться файлы будут только на компьютере с той же версией BIOS’а, на котором были заражены. Если же расшифровать старое начало файла не удалось, то вирус блокирует работу файла (выполняет int 20h), предварительно запустив свои счетчики. В зависимости от их состояния (примерно один раз в час) вирус рисует на экране красный крест, в центре которого расположена надпись: «VINDICATOR». Перехватывает int 1Ch, 21h.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страница 70.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Добавить комментарий
Author Message