Archive for December, 2008

Ένα ακόμη βήμα στην έρευνα για MD5 collisions

Μόλις χθες παρουσιάστηκε στο συνέδριο 25th Annual Chaos Communication Congress μία μέθοδος που καταφέρνει να δημιουργήσει πλαστά πιστοποιητικά αρχών πιστοποίησης (CA) εκμεταλλευόμενη τα collisions του hashing αλγορίθμου MD5. Συγκεκριμένα, οι ερευνητές κατάφεραν να ξεπεράσουν τους περιορισμούς που έθετε μια ανάλογη μέθοδος που είχε ανακαλυφθεί το 2007 για τη δημιουργία πλαστών πιστοποιητικών, επεκτείνοντας τη λειτουργία της και σε πιστοποιητικά CA.

Η συγκεκριμένη έρευνα εκτός των άλλων παρουσιάζει ορισμένα πολύ ενδιαφέροντα στοιχεία σχετικά με τα πιστοποιητικά που χρησιμοποιούνται σήμερα σε sites και ειδικότερα με τη χρήση του αλγορίθμου MD5 σε αυτά. Διαπιστώνεται λοιπόν ότι ενώ εδώ και μερικά χρόνια ο αλγόριθμος MD5 θεωρείται ανασφαλής, αρκετοί είναι αυτοί που εξακολουθούν να τον χρησιμοποιούν. Επίσης, εντυπωσιακό είναι το γεγονός ότι για την πειραματική μελέτη της μεθόδου χρησιμοποιήθηκε το Playstation Lab, μία συστάδα δηλαδή αποτελούμενη από 200 παιχνιδομηχανές Playstation 3.

Όπως γίνεται συνήθως σε τέτοιες περιπτώσεις, μερικοί έσπευσαν να δραματοποιήσουν την κατάσταση. Η δυνατότητα δημιουργίας πλαστών πιστοποιητικών, που φαίνονται ότι ανήκουν σε μεγάλες και γνωστές αρχές πιστοποίησης είναι φυσικά κάτι πολύ σοβαρό. Σε καμία όμως περίπτωση δε μπορεί κανείς να πει ότι έχει “σπάσει” το SSL, ούτε ότι έχει έρθει το τέλος του PKI, του ασφαλούς e-shopping ή οτιδήποτε άλλο σχετικό. Τρόποι αντιμετώπισης υπάρχουν αρκετοί, με πρώτο και καλύτερο τη μετάβαση στον, για την ώρα ασφαλέστερο, SHA-1, ενώ εκτιμούμε ότι οι browsers στις επόμενες εκδόσεις θα ενσωματώσουν κάποια μέθοδο προστασίας από τέτοιου είδους επιθέσεις.

Λεπτομέρειες για την επίθεση καθώς και όλα τα τεχνικά στοιχεία βρίσκονται εδώ, ενώ οι διαφάνειες της παρουσίασης στο CCC δίνουν μια πιο συνοπτική και λιγότερο τεχνική εικόνα της μεθόδου και των συνεπειών της. Μια πιο απλουστευμένη και επεξηγηματική ανάλυση παρέχεται και εδώ.

Διαγωνισμός του NIST για τον SHA-3

Πρόσφατα το NIST ανακοίνωσε τους υποψήφιους αλγορίθμους του 1ου γύρου του διαγωνισμού για την ανάδειξη του νέου αλγορίθμου hashing που θα ονομαστεί SHA-3. Από τους 64 που υποβλήθηκαν οι 51 έγιναν δεκτοί ενώ ήδη έχει σπάσει ένας και υπάρχουν αντίστοιχες βάσιμες υποψίες για άλλους τρεις.

Αξιοπερίεργο είναι το γεγονός ότι ο αντίστοιχος Ευρωπαϊκός διαγωνισμός έχει μόνο έναν υποψήφιο αλγόριθμο. Έτσι, μεταξύ άλλων αναρωτιέται κανείς γιατί δε συνεργάζονται μεταξύ τους οι δύο φορείς για ακόμα καλύτερα αποτελέσματα.

Όπως και να ‘χει, το σίγουρο είναι ότι το NIST υπολογίζει ότι σε 4 περίπου χρόνια θα έχουμε τον SHA-3. Άγνωστο βέβαια είναι το πότε θα ενσωματωθεί η χρήση του στις διάφορες κρυπτογραφικές εφαρμογές.

[πηγή: slashdot]

O Νίκος Καντερές και η Sarah Palin

Τι κοινό μπορούν να έχουν ο Έλληνας μετεωρολόγος-βουλευτής και η κυβερνήτης της Αλάσκα;

Μα φυσικά το ότι και οι δύο χρησιμοποιούν δωρεάν υπηρεσίες e-mail για αλληλογραφία με αποτέλεσμα να πέσουν και οι δύο θύματα χάκερ.

Ή έτσι φαίνεται, τουλάχιστον όσον αφορά στην υπόθεση του Έλληνα βουλευτή. Η ιστορία ξεκινάει κάπως έτσι: ο βουλευτής φαίνεται να στέλνει από ένα λογαριασμό hotmail επιστολή στην οποία προαναγγέλει την παραίτησή του. Αμέσως μετά έρχεται η διάψευση ενώ κάπου εκεί αρχίζουν οι εικασίες, τα σχόλια και οι φήμες.

Τι γίνεται όμως στην πραγματικότητα; Κανείς δεν ξέρει για την ώρα καθώς για μια ακόμα φορά στην Ελλάδα δεν υπάρχει κάποιος υπεύθυνος δημοσιογράφος, blogger ή οτιδήποτε που να μη θέλει να δημιουργήσει εντυπώσεις και απλά να επιδιώκει το αυτονόητο: να ενημερώσει δηλαδή σωστά και να ξεδιαλύνει όσο και αν μπορεί το χάος που δημιουργείται από ένα απλό e-mail.

Γεγονός πάντως είναι ότι ο κ. Καντερές όντως χρησιμοποιεί το hotmail για την ηλεκτρονική του αλληλογραφία όπως φαίνεται και από το site του. Ορισμένοι μάλιστα με αφορμή το γεγονός αυτό αναρωτήθηκαν αν έχει και msn messenger και αν μπορούν να τον εντάξουν στη λίστα τους για να τα λένε και πιο συχνά. Για να μάθουμε τώρα αν παραβιάστηκε ο λογαριασμός του στο hotmail ή αν απλά πρόκειται για spoofing θα πρέπει να περιμένουμε να δούμε αν θα μεταφέρουν σωστά οι δημοσιογράφοι το πόρισμα και το αντίστοιχο δελτίο τύπου του Σώματος Δίωξης Ηλεκτρονικού Εγκήματος. Αν φυσικά υποθέσουμε, όπως θέλουμε για ακόμα μια ακόμη φορά να ελπίζουμε, ότι και το ΣΔΗΕ επιθυμεί περισσότερο την ορθή και εμπεριστατωμένη ενημέρωση του κόσμου παρά τα μισόλογα και την περαιτέρω τροφοδότηση των διαφόρων φημολογιών.

Για μια πρώτη αίσθηση πάντως θα αρκούσαν τα headers του μηνύματος που φυσικά κανείς δεν μπήκε στον κόπο να παραθέσει. Μπορεί να γινόταν πολύ εύκολο για όλους τότε, ποιος ξέρει.

Κοροϊδεύοντας τις κάμερες της τροχαίας

Οι κάμερες που χρησιμοποιεί η τροχαία για να βεβαιώνει παραβάσεις έχουν κατά καιρούς αποτελέσει αφορμή πολλές εκπλήξεις, σε στιγμές που κανείς παραβιάζει τον ΚΟΚ νομίζοντας ότι δεν τον βλέπει κανείς, αλλά και -αμέσως μετά- γκρίνια και δυσφορία.

Κάποιοι στην Αμερική αποφάσισαν να τις χρησιμοποιήσον για να εκδικηθούν τους εχθρούς τους. Μαθητές λυκείου λοιπόν, τύπωσαν τους αριθμούς των πινακίδων εχθρών ή και καθηγητών τους, τις κόλλησαν πάνω από τις δικές τους και στη συνέχεια έκαναν βόλτες υψηλών ταχυτήτων, περνώντας από δρόμους που ήξεραν ότι σίγουρα υπάρχουν τέτοιες κάμερες.

Το συγκεκριμένο σύστημα βεβαιώσεων κλήσεων στην Αμερική δεν προβλέπει την έκγριση των προστίμων που επιβάλονται από άνθρωπο. Έτσι, οι κλήσεις ταχυδρομήθηκαν αυτόματα στα θύματα.

Επίσης, αναφέρεται από την ιδια πηγή ότι στην Αγγλία έχουν προχωρήσει ένα βήμα παραπέρα: ψάχνουν να βρουν παρόμοια αυτοκίνητα με τα δικά τους και αντιγράφουν τις πινακίδες τους χρησιμοποιώντας πιο ανθεκτικά μέσα. Στη συνέχεια οδηγούν χωρίς να φοβούνται τις δαγκάνες του νόμου.

[πηγή: slashdot]

Review του “The New School of Information Security”

Ο Γιώργος Αδαμόπουλος διάβασε το τελευταίο και πολύ ενδιαφέρον βιβλίο των Adam Shostack και Andrew Stewart με τίτλο “The New School of Information Security” και περιγράφει τις εντυπώσεις του στο blog του. Περισσότερα θα διαβάσετε εδώ.

Μια ακόμα αυτοκτονία απετράπη…

…από το Σώμα Δίωξης Ηλεκτρονικού Εγκλήματος. Όπως ανακοινώθηκε, μια 23χρονη από τη Θεσσαλονίκη ανακοίνωσε στη σελίδα της στο hi5 ότι θέλει να αυτοκτονήσει. Οι φίλοι της ενημέρωσαν την αστυνομία και το ΣΔΗΕ εντόπισε την κοπέλα και πρόλαβε το μοιραίο.

Ανατριχιαστικές λεπτομέρειες για την υπόθεση μπορεί κανείς να βρεί εδώ.

Phishing και στο Πανεπιστήμιο Αθηνών

Έχουμε συνηθίσει να λαμβάνουμε phishing e-mail που στοχεύουν τράπεζες. Οι τεχνικές των επιθέσεων στον τομέα αυτό σίγουρα έχουν αναπτυχθεί αρκετά πλέον και το όφελος για τους απατεώνες είναι άμεσο και μεγάλο. Επίσης, συχνά το phishing στοχεύει και υπηρεσίες όπως το e-bay ή το paypal, όπου και εκεί υπάρχει άμεσο οικονομικό όφελος.

Τελευταία όμως, οι χρήστες των διαδικτακών υπηρεσιών του Πανεπιστημίου Αθηνών έχουν λάβει επανηλλειμένα e-mail που τους καλούν να απαντήσουν σε αυτά, παραθέτοντας σε συγκεκριμένη θέση μέσα στο μήνυμα το συνθηματικό τους έτσι ώστε να ελεγθεί ο λογαριασμός τους, να μην απενεργοποιηθεί, κλπ. Τα μηνύματα συνήθως είναι σε άψογα Αγγλικά και φαίνεται να αποστέλλονται από τις υπηρεσίες διαχείρισης του Πανεπιστημίου Αθηνών. Αν και στην επίθεση αυτή δεν υπάρχει κάποιο άμεσο οικονομικό όφελος, σίγουρα θα ήταν αρκετοί που θα παρασύρθηκαν, δεδομένου ότι το πανεπιστήμιο απαριθμεί εκατοντάδες χρήστες ηλεκτρονικού ταχυδρομείου, πολλοί από τους οποίους δεν είναι καλά εξοικειωμένοι με τη σχετική τεχνολογία και πολύ περισσότερο με τους κινδύνους που εγκυμονούν.

Continue reading ‘Phishing και στο Πανεπιστήμιο Αθηνών’