sexta-feira, janeiro 02, 2009

25th CCC + 200 Playstations 3 + Colisoes de MD5 = Rogue Certification Authority


Basicamente é isso. Usando 200 PS3's, pesquisadores mostraram como criar um Rogue Certification Authority através de ataques de colisão em MD5. Vigésima Quinta edição do CCC.

Na pratica, significa que se alguma pessoa mal intencionada puder fazer o mesmo, poderá se valer de um ataque sofisticado a sites com HTTPS, enganando o browser de forma que o mesmo irá aceitar como verdadeiro um certifcado SSL falso, ligando o famoso cadeadinho.

Para a grande maioria das pessoas não técnicas, basta o cadeadinho estar ativo para que a sensação de segurança naquele site seja percebida. Mesmo se o cadeadinho for do certificado do atacante. Ou seja, para eles, nada mudou. Mas para as pessoas que conhecem o funcionamento do mecanismo e eventualmente clicam no cadeadinho para verificar a autenticidade do certificado, este ataque poderá enganá-los perfeitamente.
Segundo os pesquisadores, não é necessário entrar em pânico, pois as CAs afetadas estão migrando para SHA-1 (ou SHA-2, SHA-3, uma vez que SHA-1 também pode ser vulnerável a alguns ataques).

Feliz 2009 !

Nenhum comentário:

Postar um comentário

Observação: somente um membro deste blog pode postar um comentário.