शोधकर्ताओं का पता लगाया जा सकने वाला फ़िशिंग हमला

ग्राफिक: डिएगो एगुइर लगभग 200 सोनी प्लेस्टेशंस की मदद, सुरक्षा शोधकर्ताओं की एक अंतरराष्ट्रीय टीम ने सुरक्षित वेब साइटों की सुरक्षा के लिए उपयोग किए जाने वाले एल्गोरिदम को कमजोर करने और लगभग ज्ञानी फ़िशिंग हमले को लॉन्च करने का एक तरीका तैयार किया है।

ऐसा करने के लिए, उन्होंने एक बग का शोषण किया है यह साबित करने के लिए वेब साइट्स द्वारा उपयोग किए जाने वाले डिजिटल प्रमाणपत्र हैं कि वे हैं जो वे होने का दावा करते हैं। एमडी 5 हैशिंग एल्गोरिथ्म में ज्ञात दोषों का फायदा उठाकर इनमें से कुछ प्रमाण पत्र बनाने के लिए प्रयोग किया जाता है, शोधकर्ताओं ने वेरिज़ेन के रैपिडएसएसएल सर्टिफिकेट प्राधिकरण हैक कर इंटरनेट पर किसी भी वेब साइट के लिए नकली डिजिटल प्रमाण पत्र तैयार किया है।

हशों का उपयोग किया जाता है किसी दस्तावेज़ के लिए "फिंगरप्रिंट" बनाने के लिए, एक संख्या जिसे किसी दिए गए दस्तावेज़ की विशिष्ट पहचान करने के लिए माना जाता है और आसानी से यह सत्यापित करने के लिए गणना की जाती है कि दस्तावेज़ पारगमन में संशोधित नहीं किया गया है। हालांकि, एमडी 5 हैशिंग एल्गोरिदम त्रुटिपूर्ण है, जिससे दो अलग-अलग दस्तावेज़ तैयार करना संभव हो जाता है जिनके पास एक ही हैश मान है। इस प्रकार कोई व्यक्ति फ़िशिंग साइट के लिए प्रमाण पत्र बना सकता है जिसमें वास्तविक साइट के प्रमाण पत्र के रूप में एक ही फिंगरप्रिंट होता है।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

प्लेस्टेशन 3 मशीनों के अपने खेत का उपयोग करना, शोधकर्ताओं ने एक "दुष्ट प्रमाण पत्र प्राधिकरण" बनाया जो तब फर्जी प्रमाण पत्र जारी कर सकता था जिसे लगभग किसी भी ब्राउज़र द्वारा भरोसा किया जाएगा। प्लेस्टेशन का सेल प्रोसेसर कोड ब्रेकर के साथ लोकप्रिय है क्योंकि यह क्रिप्टोग्राफिक कार्यों को करने में विशेष रूप से अच्छा है।

वे मंगलवार को बर्लिन में आयोजित कैओस कम्युनिकेशन कांग्रेस हैकर सम्मेलन में अपने निष्कर्ष प्रस्तुत करने की योजना बना रहे हैं, जो एक विषय में पहले से ही विषय रहा है इंटरनेट सुरक्षा समुदाय में कुछ अटकलें हैं।

अनुसंधान कार्य एक अंतरराष्ट्रीय टीम द्वारा किया गया जिसमें स्वतंत्र शोधकर्ता जैकब अप्ल्बौम और अलेक्जेंडर सोतीरोव शामिल हैं, साथ ही साथ सेंट्रम विस्कुंड एंड इंफोर्मेटिका, इकोले पॉलीटेक्निक Federale de Lausanne, टेक्नोलॉजी के आइंटहोवन विश्वविद्यालय और कैलिफ़ोर्निया विश्वविद्यालय, बर्कले।

हालांकि शोधकर्ताओं का मानना ​​है कि उनकी तकनीक का उपयोग करके एक वास्तविक दुनिया के हमले की संभावना नहीं है, वे कहते हैं कि उनका काम बताता है कि एमडी 5 हैशिंग एल्गोरिथ्म अब उपयोग नहीं करेगा प्रमाण पत्र प्राधिकरण कंपनियां जो डिजिटल प्रमाणपत्र जारी करती हैं। प्रोजेक्ट पर काम करने वाले एक बर्कले स्नातक छात्र डेविड मोलनर ने कहा, "यह अभी भी MD5 का उपयोग करने वाले किसी के लिए एक जागृत कॉल है।

Rapidssl.com, टीसी ट्रस्ट सेंटर एजी, आरएसए डाटा सिक्योरिटी, थॉवे और वेरिसिन.को के अलावा। शोधकर्ताओं का कहना है कि जेपी सभी अपने प्रमाण पत्र उत्पन्न करने के लिए एमडी 5 का उपयोग करते हैं।

हमले को लॉन्च करना मुश्किल है, क्योंकि बुरे लोगों को पहले नकली डिजिटल सर्टिफिकेट होस्ट करने वाली दुर्भावनापूर्ण वेबसाइट पर जाने के लिए शिकार करना होगा। हालांकि, इसे मैन-इन-द-बीच हमले कहा जाता है, इसका उपयोग करके किया जा सकता है। पिछले अगस्त, सुरक्षा शोधकर्ता दान कामिंस्की ने दिखाया कि कैसे इंटरनेट के डोमेन नाम सिस्टम में एक बड़ी खामियों का उपयोग मैन-इन-द-बीच हमलों को लॉन्च करने के लिए किया जा सकता है। इस नवीनतम शोध के साथ, अब इस तरह के हमलों को वेब साइट्स के खिलाफ SSL (सिक्योर सॉकेट्स लेयर) एन्क्रिप्शन का उपयोग करने के लिए सुरक्षित किया गया है, जो भरोसेमंद डिजिटल प्रमाणपत्रों पर निर्भर है।

"आप कम्म्स्की के डीएनएस बग का उपयोग कर सकते हैं, इसके साथ मिलकर मोलारर ने कहा, "यह संभवतः ज्ञानी नहीं है।" 99

"यह क्या हो सकता है या क्या कोई भी करने में सक्षम हो सकता है, यह एक पाई-इन-द-स्काई बात नहीं है, यह वास्तव में उनके साथ क्या किया गया है इसका एक प्रदर्शन है ब्रेकिंगपॉइंट सिस्टम्स में सुरक्षा शोध के निदेशक एचडी मूर ने कहा, "यह साबित करने के नतीजे हैं।" 99

क्रिप्टोग्राफर्स धीरे-धीरे 2004 से एमडी 5 की सुरक्षा पर चपेट में आ रहे हैं, जब एक टीम शेडोंग की अगुआई करती है विश्वविद्यालय के वांग Xiaoyun एल्गोरिदम में त्रुटियों का प्रदर्शन किया।

एमडी 5 में शोध की स्थिति को देखते हुए, प्रमाण पत्र प्राधिकरणों को बीएटी के साथ एक उल्लेखनीय क्रिप्टोग्राफी विशेषज्ञ और मुख्य सुरक्षा प्रौद्योगिकी अधिकारी ब्रूस शनीयर ने कहा, "साल पहले एसएचए -1 (सिक्योर हैश एल्गोरिदम -1) जैसे अधिक सुरक्षित एल्गोरिदम में अपग्रेड किया जाना चाहिए था। ।

RapidSSL.com जनवरी के अंत तक एमडी 5 प्रमाण पत्र जारी करना बंद कर देगा और इसके बाद अपने ग्राहकों को वेरिज़िन के साथ उत्पाद विपणन के उपाध्यक्ष टिम कॉलन ने कहा, इसके बाद अपने ग्राहकों को नए डिजिटल प्रमाणपत्रों में जाने के लिए प्रोत्साहित करना है।

लेकिन सबसे पहले, कंपनी इस नवीनतम शोध पर एक अच्छा नज़र रखना चाहता है। मोल्नर और उनकी टीम ने माइक्रोसॉफ्ट के माध्यम से अप्रत्यक्ष रूप से वेरिज़िन को अपने निष्कर्षों को सूचित किया था, लेकिन उन्होंने डर से सीधे बात नहीं की है कि कंपनी अपनी बात को रद्द करने के लिए कानूनी कार्रवाई कर सकती है। अतीत में, कंपनियों ने कभी-कभी हैकिंग सम्मेलनों में शोधकर्ताओं से बात करने से रोकने के लिए अदालत के आदेश प्राप्त किए हैं।

कॉलन ने कहा कि उन्होंने कामना की है कि वेरिज़िन को और जानकारी दी गई है। "मैं व्यक्त नहीं कर सकता कि मैं कितना निराश हूं कि ब्लॉगर्स और पत्रकारों को इस पर जानकारी दी जा रही है, लेकिन हम नहीं मान रहे हैं कि हम लोग हैं जिन्हें वास्तव में जवाब देना है।"

जबकि श्नीयर ने कहा कि वह इससे प्रभावित थे इस नवीनतम शोध के पीछे गणित, उन्होंने कहा कि इंटरनेट पर पहले से कहीं अधिक महत्वपूर्ण सुरक्षा समस्याएं हैं - कमजोरियों जो संवेदनशील जानकारी के बड़े डेटाबेस का पर्दाफाश करती हैं, उदाहरण के लिए।

"इससे कोई फर्क नहीं पड़ता कि आपको नकली MD5 प्रमाणपत्र मिलता है, क्योंकि आप कभी भी अपने कर्टों की जांच नहीं करते हैं, "उन्होंने कहा। "नकली करने के कई तरीके हैं और यह अभी तक एक और है।"