Name: Sony PlayStation 3 позволяет красть деньги
Item: Sony PlayStation 3 позволяет красть деньги
Author: Андрей

Категории раздела

Взломы [3]

Другое [2]

Мини-чат

Наш опрос

Статистика

Онлайн всего: 1

Гостей: 1

Пользователей: 0

Форма входа

Поиск

Друзья сайта

OWL-POST

smart60.KIKIKIKI

Yandex.ru

	Сегодня Суббота, 27.04.2024, 04:22
	Приветствую Вас Гость
	www.news-paper24.my1.ru Новости для ПРОБЛЕММИСТОВ :-)
	Главная \| Регистрация \| Вход

Каталог статей

Главная » Статьи » Взломы

Sony PlayStation 3 позволяет красть деньги

Интернациональная группа специалистов в области криптографии и информационной безопасности впервые сумела реализовать сценарий, использующий известные недостатки алгоритма хэширования MD5. С помощью специального программного кода и кластера из двух сотен Sony PlayStation 3 исследователям удалось создать поддельный цифровой сертификат, которому доверяют все распространённые веб-браузеры.

С помощью такого сертификата может быть реализована более правдоподобная фишинговая схема, в процессе которой между пользователем и поддельным сайтом будет установлено защищённое SSL-соединение. Таким образом, пользователь может ослабить бдительность и стать жертвой мошенников.

Уязвимость затрагивает все сайты, которые для установки соединения по протоколу HTTPS используют цифровые сертификаты, подписанные с помощью MD5. Как выяснили исследователи, таких сайтов существует достаточно большое количество, причём ненадёжные сертификаты до сих пор выпускаются рядом сертификационных центров.

В качестве эксперимента в течение одной недели июня 2008 года было исследовано около 100 000 действующих SSL-сертификатов, из которых 30 000 были подписаны центрами, входящими в список доверенных сертификационных центров браузера Firefox. Из этого количества около 9000 были подписаны с помощью MD5. Львиную долю (97%) таких сертификатов выпустил RapidSSL, всего же таких сертификационных центров оказалось шесть.

Основной трудностью, с которой столкнулись исследователи, оказался подбор серийного номера сертификата: на генерирование фальшивого приватного ключа, имеющего то же значение хэша MD5, двести PS3 тратят около трёх дней, поэтому серийный номер нужно было предсказать заранее. Однако благодаря использующемуся в RapidSSL примитивному инкрементному алгоритму присвоения серийных номеров новым сертификатам эту проблему удалось решить путём покупки достаточно большого количества сертификатов.

Исследователи считают, что гипотетическая группа злоумышленников, обладающая необходимыми знаниями, а также средствами на приобретение нужного оборудования, сможет повторить их достижение, потратив около месяца. Более того, не исключено, хотя и маловероятно, что кто-то другой уже успел добиться такого результата.

Единственный выход, который предлагают специалисты — перестать использовать MD5, разработанный в далёком 1991 году, а перейти на более надёжные современные алгоритмы хэширования.

Категория: Взломы | Добавил: IM-puls (20.04.2009)

Просмотров: 1105 | Комментарии: 1 | Рейтинг: 0.0/0 |

Всего комментариев: 1

Порядок вывода комментариев:

1 Андрей (16.03.2011 22:47)

http://antischool-dar.narod.ru/o_sajte.html
http://antischool-dar.narod.ru/index.html?

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]