Vírus Flame využil kolíziu MD5, museli na ňom spolupracovať najlepší kryptografi

DSL.sk, 8.6.2012

Autori komplexného škodlivého kódu Flame objaveného v Iráne, ktorý dokáže cez Windows Update infikovať PC bez bezpečnostnej zraniteľnosti, využili kolíziu v algoritme MD5 a podľa názoru expertov na víruse museli spolupracovať najlepší svetoví kryptografi.

To v kontexte odhalených informácií o kyberútokoch USA na iránske centrifúgy vyvoláva otázky, kto vôbec dokáže vytvoriť a mohol vytvoriť takýto sofistikovaný škodlivý kód.

Ako sme informovali tento týždeň, Flame sa dokáže dostať do nezraniteľných PC minimálne na rovnakej LAN vydávaním sa za aktualizáciu Windows od Microsoftu cez automatické aktualizácie Windows Update.

K tomu je potrebné, aby bol kód vírusu podpísaný certifikátom Microsoftu. To autori Flame dosiahli získaním falošného certifikátu cez službu Microsoftu Terminal Server Licensing Service, ktorá chybne umožňovala vytvoriť certifikát použiteľný aj pre podpisovanie kódu. Služba štandardne slúži na získanie platného certifikátu pre prístup k terminálovým službám na vlastných serveroch.

Ako ale Microsoft vysvetlil v detailnom popise certifikátu, takýto certifikát by bol využiteľný len pre infikovanie Windows po verziu XP.

Od verzie Vista by Windows neprijal Flame ako oficiálnu aktualizáciu. V certifikáte vydávanom Terminal Server Licensing Service, TSLS, sa totiž nachádza tzv. kritické rozšírenie Microsoft Hydra, ktoré implementácia overovania podpisov kódu vo Windows nerozpoznáva a vo Vista a vyšších verziách by kvôli tomu považovala podpis za neplatný. Tvorcovia Flame tak potrebovali získať certifikát, ktorý by nemal v sebe toto rozšírenie.

Preto museli využiť kolíziu hashovacej funkcie MD5. Nechali si tak službou TSLS vytvoriť jeden certifikát a zároveň ale našli iný certifikát použiteľný pre útok s rovnakou MD5 hash sumou a teda podpis získaný od Microsoftu bol platný aj pre tento certifikát.

Dvojica amerických prezidentov, pod ktorými USA zaútočili kyberútokom pomocou Stuxnetu na iránske centrifúgy

Po zverejnení informácií Microsoftom sa predpokladalo, že tvorcovia Flame využili útok na kolízie MD5 vytvorený na konci roku 2008 skupinou bezpečnostných expertov. Sedem expertov vtedy s použitím dvesto Sony PS3 dokázalo podobne ako v prípade Flame vytvoriť pomocou kolízie MD5 falošný certifikát, samozrejme iba na akademické účely. Detaily svojej techniky zverejnili v júni 2009.

Vo štvrtok ale jeden z členov tohto tímu, Marc Stevens, oznámil, že podľa jeho analýzy použitej kolízie MD5 vo víruse Flame nebol použitý útok jeho tímu.

Tvorcovia Flame vyvinuli a použili iný útok a ten vyžadoval podľa neho najlepších kryptoanalytikov na svetovej úrovni. Navyše falošný certifikát bol vytvorený už vo februári 2010 a podľa Stevensa nie je vylúčené, že technika použitá vo Flame bola vyvíjaná už pred zverejnením detailných informácií o útoku jeho tímu v júni 2009.




Najnovšie články:



Diskusia:

virus Od: 64564 | Pridané: 8.6.2012 12:01 nie ze by som bol nejaky virus expert, ale takto nieco sa od usa dalo cakat. vsade sa seru a potom sa cuduju ze mi to niekto vrati. preco nejdu do afriky robit poriadky, asi ze tam nieje ropa a ani nic na com mozu zarobit. je to paradox ze krajina s najvacsim percentualnym poctom negramotnych ludi dokaze narobit svetu velke problemy. nemyslim len vojensky ale aj ekonomicky. Odpovedať Známka: 2.9 Hodnotiť:

Re: virus Od: sippinko | Pridané: 8.6.2012 12:17 Ešte že Lybia, Egypt, Nigeria patria k Európe... Odpovedať Známka: 6.8 Hodnotiť:

Re: virus Od: lopuchy22 | Pridané: 8.6.2012 13:56 zabudol si Somalsko, zaujimave Lybia - ropa, Nigeria - ropa, Egypt - Suez. Rwanda - nic, ked sa v Rwande alebo v Sierre Leone odohrali obrovske masakre tak to nikoho netrapilo poslali tam iba par slabo vyzbrojenych modrych prilb. Odpovedať Známka: 8.1 Hodnotiť:

Re: virus Od: tominot | Pridané: 8.6.2012 14:06 takze si sa rozhodol to zmenit a vycestujes? alebo ty vies len tliachat o tom ze riskovat zivot ma len iny a ty len dristat na nete co je zle, ako to malo byt? Odpovedať Známka: -7.3 Hodnotiť:

Re: virus Od: titulok | Pridané: 8.6.2012 18:45 vojaci (plateny) v iraku tiez riskuju zivot (kvoli rope), preco potom nemoze poslat USA vojakov tak isto platenych aby urobili poriadok v Afrike? Odpovedať Známka: 9.0 Hodnotiť:

Re: virus Od: titulok | Pridané: 8.6.2012 18:47 pripomeniem ze vacsina je vojakom kvoli platu a nie kvoli tomu aby "ochranovali" svoju zem Odpovedať Známka: 6.8 Hodnotiť:

Re: virus Od: tominot | Pridané: 9.6.2012 18:11 takže nevycestuješ ale miesto toho zaplatíš tisíce vojakov ktorých pošleš do afriky? Odpovedať Známka: -7.8 Hodnotiť:

Re: virus Od: MuadDib | Pridané: 15.6.2012 12:02 Podobne pko napísal Karl Heinrich Marx vo svojom diele 18. hmlovec (=Brumaire) Ľudovíta Napoleona: všetky dejinné udalosti sa opakujú 2-krát: najprv ako tragédia, potom ako fraška. Ty už si fraškou. On tie tisíce vojakov neplatí. Platia ich Amíci, aby vyvražďovali domorodé obyvateľstvo tam, kde je nerastné bohatstvo. On platí akurát tak stovky vojakov, najmä tie 2 desiatky profesionálnych vrahov v Afganistane. Nato ale netreba vycestovať ďalej ako do Bratislavy a pár dobre mierenými výstrelmi poslať servilnú vojensko-politickú špičku tam, kam už dávno patrí. Odpovedať Hodnotiť:

Re: virus Od: tominot | Pridané: 8.6.2012 12:26 preco ty nejdes do afriky zachranovat svet ale sedis doma na zadku a maximalne sa tak zmozes vykrikovat ze zas ceny sli hore? ake velke problemy narobili svetu? vari prekazenie vyroby atomovej bomby ci vyvinutie internetu, PC? Odpovedať Známka: -6.8 Hodnotiť:

Re: virus Od reg.: roob_ | Pridané: 8.6.2012 13:07 a to ked si sami odpalia 2 cinzaky aby mohli ist vystrielat pol krajiny kde je ropa a tu mat relativne zadarmo to je v poriadku? Amici su najvacsi grazli na Zemi a keby neboli, robil by to niekto iny. Ale oni sa spravaju ako keby im patril svet - myslis ze ekonomicka kriza 2008 bola nahoda? Preco pouzivaju stale motory s 20 litrovou spotrebou? Odpovedať Známka: 5.7 Hodnotiť:

Re: virus Od: MI(W)LAN | Pridané: 8.6.2012 13:37 Lebo ta ich americka ropa je velmi kvalita, keby to tankujeme do nasich common-rail dieslov tak sa nam po 100 000km rosypu. Odpovedať Známka: -2.2 Hodnotiť:

Re: virus Od: tominot | Pridané: 8.6.2012 14:07 vystrielali len pol krajiny? trochu malo na amikov, vraj vystrielali celu juznu pologulu, ktora sa oddelila a putuje vesmirom zamostatne aj s tymi dvoma cinziakmi, by mohli este teba vystrelit, vzduchoprazdno v hlave uz mas Odpovedať Známka: -4.7 Hodnotiť:

Re: virus Od: k77 | Pridané: 8.6.2012 14:44 zeby boli zatial jedini, kto pouzil atomovu bombu? Odpovedať Známka: 6.9 Hodnotiť:

Re: virus Od: tominot | Pridané: 9.6.2012 18:13 nie su jediný, ale otázka bola iná Odpovedať Známka: -1.4 Hodnotiť:

Re: virus Od: xvzf | Pridané: 8.6.2012 13:14 Tomas tak, treba najskor citat clanok, az potom pisat komentar :) Odpovedať Známka: 4.3 Hodnotiť:

najlepsi? Od: loa | Pridané: 8.6.2012 12:02 tazko najlepsi, keby Bruce Schneier spravil nejaky virus tak jednak by sme ho nikdy neodhalili a jednak by sme boli uz vsetci davno mrtvi Odpovedať Známka: -3.7 Hodnotiť:

Re: najlepsi? Od: ghjggjj | Pridané: 8.6.2012 13:06 este keby si napisal ze Chuck Norris, tak ti mozno uverim ;-) Odpovedať Známka: 8.2 Hodnotiť:

Re: najlepsi? Od: loa | Pridané: 8.6.2012 16:08 http://www.schneierfacts.com/ medzi akademikmi je schneier vacsia osobnost ako chuck norris! Odpovedať Známka: 2.0 Hodnotiť:

Titulok príspevku musí mať dĺžku aspoň 5 znakov Od: lobo | Pridané: 8.6.2012 12:14 rozmyslam ci je jednoduchsie mat tym kryptoanalytikov a sialene vypoctove centrum, alebo 2 typkov s pistolami a preukazom CIA ktori pridu za clovekom z Microsoftu ktory ma pravo podpisovat certifikaty... Odpovedať Známka: 7.3 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov Od reg.: 100k45h | Pridané: 8.6.2012 12:38 to nie su podpisove certifikaty, to generuje system, to nejde len tak ze niekto si pride vygeneruj mi certifikat presne taky ako potrebujem Odpovedať Známka: -4.5 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov Od: lobo | Pridané: 8.6.2012 13:12 nakoniec niekto ma vzdy pristup ku klucom Odpovedať Známka: 7.1 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov Od: Havumaki | Pridané: 8.6.2012 12:41 Skor by som povedal, ze nejaky studenti matfyzu to nakódili za tri noci na káve. Odpovedať Známka: 2.9 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov Od: jkjkjkj | Pridané: 8.6.2012 13:07 ty by sa za tie 3 noci tak akurat 3x ozrali ;-) Odpovedať Známka: 8.1 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov Od: NooN | Pridané: 8.6.2012 13:32 a posrali... Odpovedať Známka: 7.8 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov Od: fdefdf | Pridané: 11.6.2012 15:24 a zgrcali... Odpovedať Známka: 3.3 Hodnotiť:

israhell Od: Hrivis | Pridané: 8.6.2012 12:15 židovské čachre Odpovedať Známka: 0.3 Hodnotiť:

Re: israhell Od: tominot | Pridané: 8.6.2012 12:27 hlavne ten tmavý vyzerá ako 100% žid zo 100% židovky Odpovedať Známka: -1.1 Hodnotiť:

O´bama Od: nomi | Pridané: 8.6.2012 12:20 Obama = Usama Bin Ladin !!! Odpovedať Známka: -1.8 Hodnotiť:

tak najlepsi akkurat v uvodzovkach Od reg.: Lars Schotte | Pridané: 8.6.2012 12:31 to, ze MD5 koliduje, to vi snad medzicasom kazdy. preto sa pouziva SHA, namiesto MD5. ale na nejake veci staci aj MD5. a co cil? no ... poserme sa, no ... co to hackli? nic? tak o com je ten clanok? nech sa viruju do nepricetnosti. ja to mam na salame. Odpovedať Známka: -6.0 Hodnotiť:

Re: tak najlepsi akkurat v uvodzovkach Od reg.: 100k45h | Pridané: 8.6.2012 12:43 tak jednak toto je s najvacsou pravdepodobnostou ten virus ktory spomalil atomovy vyskum iranskej vlady a teraz sa im tam siri medzi obycajnymi uzivatelmi. Cize tak; A toto odhalenie akym sposobom bola prelomena ochrana windowsu poukazuje, ze velmi pravdepodobne je to naozaj prave americka vlada, ktora je za to zodpovedna. A ak to je pravda, tak je to porusenie medzinarodneho prava. Vieme ze situacia medzi Iranom a Izrealom a USA je napata a su to v prvom rade americania a izrealci, ktori sustavne porusuju medzinarodne pravo v snahe zabranit jadrovemu programu iranu. Co ale len zvysuje sance, ze dojde k vaznemu konfliktu a nepochybujem, ze ked americania budu nadalej v tomto pokracovat, tak skor ci neskor ked iran tu bombu dokonci tak sa mozu zacat aj prve vojny, kde uz je realna hrozba atomovych bomb Odpovedať Známka: 6.8 Hodnotiť:

Re: tak najlepsi akkurat v uvodzovkach Od reg.: roob_ | Pridané: 8.6.2012 13:12 oni su hlavne pokrytecki curaci. Nech znicia vsetky svoje atomove bomby a komplet dokumentaciu a cely atomovy program. ALebo ked mozu mat oni, preco ine iran? Preco nie uganda alebo Pagopago ktokolvek? Vsetci sme si rovni, ale niektori sme si rovnejsi? Odpovedať Známka: 6.4 Hodnotiť:

Re: tak najlepsi akkurat v uvodzovkach Od: dwdawdaw | Pridané: 8.6.2012 13:42 zamysli sa nadtym takto si silnejsi a ako tak normalny mas atomovku , pozicias alebo darujes dovolis svojmu susedovi ktory je slabsi ale o to odost blaznivejsi furt ozraty na kokse Ecku 24/7 robi bordel mlati zenu semtam mu prepne a niekoho na ulici prizabije aby si nieco podobne zadovazil a terorizoval zvysok susedov pri kazdom naznaku nezhody ze ju na nich odpali ? myslim ze nie ... a pri tom aku maju kulturuku to je realne Odpovedať Známka: -1.2 Hodnotiť:

Re: tak najlepsi akkurat v uvodzovkach Od: prpr | Pridané: 8.6.2012 14:01 o ktorej krajine teraz pises, hned sa mi to nezdalo Odpovedať Známka: 5.0 Hodnotiť:

Re: tak najlepsi akkurat v uvodzovkach Od: kbc | Pridané: 8.6.2012 14:42 ako tak normalny? kto - zapadne demokracie? nepoziciam, nedarujem - mozno vymenim alebo predam. sused? cigana co byva 400km od teba v osade povazujes za suseda? furt ozraty na kokse ecku? asi ma vela love a pevne zdravie - good for him. mlati zenu? nie je tvoja starost, mozno sa jej to paci. na ulici niekoho prizabije? je si vedomy rizika a nasledkov. terorizoval susedov ze ju odpali? "citation needed" vies aku maju kulturu? bol si tam? zil si tam? alebo si len pozeral "naucny dokument" z mainstream media dielne primarne urcenej na ovplyvnenie domacej populacie? uz sa zobud - zeres propagandu od zakladnej skoly a si v tom tak hlboko ze ma z toho niekedy desi.. peace4all Odpovedať Známka: 3.3 Hodnotiť:

Re: tak najlepsi akkurat v uvodzovkach Od: xvzf | Pridané: 8.6.2012 13:16 Na centrifugy utocil Stuxnet... Flame bol urceny na celkovu medzinarodnu spionaz... Odpovedať Známka: 8.2 Hodnotiť:

Re: tak najlepsi akkurat v uvodzovkach Od: nmbik | Pridané: 10.6.2012 18:19 prosim, najdi si cosi o stuxnete a potom mudruj :] Odpovedať Známka: 2.0 Hodnotiť:

Re: tak najlepsi akkurat v uvodzovkach Od reg.: Pjetro de | Pridané: 8.6.2012 13:42 Trocha nechapem. Je rok 2012. MD5 heska bola prelomena uz pred 4-5 rokmi a teda mala byt davno vyradana z hlavneho prudu hasiek pre kryptogiafiu. Je ich malo? http://goo.gl/RwDlt Ozaj nechapem. Davno sa mala prestat pouzivat v celosvetovo rozsirenych el. podpisoch a nasadit hesky zo Shamir family. Ako povedal jeden cesky kryptolog: poslite mi subor a zajtra vam poslem daslie tri s rovnakym MD5 hesom. Nechapem ako je mozne ze sa taky shit este pouzivat ... Odpovedať Známka: 8.6 Hodnotiť:

Re: tak najlepsi akkurat v uvodzovkach Od: zippy | Pridané: 9.6.2012 10:27 tak to ja ti poslem obratom 3 tie iste. zarucene budu mat rovnaku md5 sumu :) Odpovedať Známka: 6.7 Hodnotiť:

Re: tak najlepsi akkurat v uvodzovkach Od: Houston | Pridané: 10.6.2012 12:11 Akoze Pjetro, ucta, ale nestaci zachovat len MD5 sumu suboru (to dnes uz nie je az taky problem) ale aj jeho funkcnost. Odpovedať Známka: 6.0 Hodnotiť:

Re: tak najlepsi akkurat v uvodzovkach Od reg.: Pjetro de | Pridané: 11.6.2012 14:40 To je pravda, to uz je narocnejsi problem. Odpovedať Známka: 3.3 Hodnotiť:

Bohuš, zajtra Alfonz Od: trigger.* | Pridané: 8.6.2012 13:53 ukazkova praca zidov Odpovedať Známka: 0.0 Hodnotiť:

...... Od: ...... | Pridané: 8.6.2012 14:52 Najviac ma sere ze uz dnes nemozes verit ani zdrojom warezu na internete. Si stiahnes nejaky ten photoshop ci audition a uz ide po tebe vlada USA, no toto je v pici.. co je horsie, mne odisiel hdd kratko na to ako som si stiahol odtajnene dokumenty o pripadoch ufo.. clovek by povedal ze ked je daco odtajnene tak je tam uz tolko cenzury ze sa to pomaly ani neda citat a vidis, predsa niekomu zrejme zalezalo na tom aby sa to aj tak necitalo.. :/ Odpovedať Známka: -5.0 Hodnotiť:

Re: ...... Od reg.: OmeGa | Pridané: 8.6.2012 15:28 presne. IDU PO TEBE! Odpovedať Známka: 7.9 Hodnotiť:

Re: ...... Od: pica | Pridané: 8.6.2012 15:54 ja som si stiahol rovnake dokumenty a umrela mi babka. emperialisticky nicomnik sa nestiti fakt nicoho. Odpovedať Známka: 8.7 Hodnotiť:

Re: ...... Od: 5kony | Pridané: 8.6.2012 21:01 Na taketo veci pouzivaj linux. Odpovedať Známka: 4.3 Hodnotiť:

da sa to aj inak Od: Prispievajte do diskusií ako | Pridané: 8.6.2012 22:35 http://bit.ly/Lki407 Odpovedať Známka: 6.0 Hodnotiť:

hmm hmm Od: vitafiť | Pridané: 8.6.2012 23:19 a teraz to prebehlo cez 50 PSP VITA ;)) Odpovedať Známka: 2.5 Hodnotiť:

foto v clanku Od: reklon | Pridané: 10.6.2012 13:42 na tých fotkach je podla myslienky clanku kto ? Odpovedať Známka: 6.7 Hodnotiť:

Re: foto v clanku Od reg.: Zmurko | Pridané: 11.6.2012 9:38 Na fotkach su najznamejsi terorista na svete a jeho nastupca (zastupca) ;) Odpovedať Známka: 4.3 Hodnotiť:

nespravny vyraz Od: lukas991 | Pridané: 11.6.2012 11:05 Nemali by to byt nahodou kryptoanalytici? Kryptografi navrhuju sifry a kryptoanalytici sa snazia najst sposoby ich prelomenia, testovanie bezpecnosti :) Odpovedať Hodnotiť:

Nasli LINK Od: Twitterista | Pridané: 12.6.2012 11:26 http://www.bbc.co.uk/news/technology-18393985 Odpovedať Hodnotiť:

Pridať komentár