Για να το κάνετε αυτό, έχουν εκμεταλλευτεί ένα σφάλμα τα ψηφιακά πιστοποιητικά που χρησιμοποιούν οι ιστότοποι για να αποδείξουν ότι είναι αυτοί που ισχυρίζονται ότι είναι. Χρησιμοποιώντας τα γνωστά ελαττώματα στον αλγόριθμο κατακερματισμού MD5 που χρησιμοποιήθηκε για τη δημιουργία ορισμένων από αυτά τα πιστοποιητικά, οι ερευνητές μπόρεσαν να παραβιάσουν την αρχή έκδοσης πιστοποιητικών RapidSSL.com της Verisign και να δημιουργήσουν ψεύτικα ψηφιακά πιστοποιητικά για οποιαδήποτε τοποθεσία στο Διαδί

Χρησιμοποιώντας το αγρόκτημα των μηχανών του Playstation 3, οι ερευνητές δημιούργησαν μια "εξουσιοδοτημένη αρχή έκδοσης πιστοποιητικών", η οποία θα μπορούσε να εκδώσει ψευδή πιστοποιητικά τα οποία θα ήταν αξιόπιστα από σχεδόν οποιοδήποτε πρόγραμμα περιήγησης. Ο επεξεργαστής Cell του Playstation είναι δημοφιλής με τους διακόπτες κώδικα επειδή είναι ιδιαίτερα καλοί στην εκτέλεση κρυπτογραφικών λειτουργιών.

Σχεδιάζουν να παρουσιάσουν τα ευρήματά τους στη διάσκεψη χάκερ του Χάους ανακοίνωσης που πραγματοποιήθηκε στο Βερολίνο την Τρίτη, σε μια συζήτηση που έχει ήδη αποτελέσει αντικείμενο

Η έρευνα διεξήχθη από μια διεθνή ομάδα που περιελάμβανε τους ανεξάρτητους ερευνητές Jacob Appelbaum και Alexander Sotirov, καθώς και τους επιστήμονες υπολογιστών από το Centrum Wiskunde & Informatica, την Ecole Polytechnique Federale de Lausanne, το Πανεπιστήμιο Τεχνολογίας του Αϊντχόβεν και το Πανεπιστήμιο της Καλιφόρνιας στο Μπέρκλεϊ.

Αν και οι ερευνητές πιστεύουν ότι μια πραγματική επίθεση χρησιμοποιώντας τις τεχνικές τους είναι απίθανο, λένε ότι το έργο τους δείχνει ότι ο αλγόριθμος κατακερματισμού MD5 δεν πρέπει πλέον να χρησιμοποιείται από επιχειρήσεις που εκδίδουν ψηφιακά πιστοποιητικά. "Είναι μια κλήση αφύπνισης για όσους εξακολουθούν να χρησιμοποιούν το MD5", δήλωσε ο David Molnar, πτυχιούχος της Berkeley, που εργάστηκε στο έργο.

Εκτός από τα Rapidssl.com, TC TrustCenter AG, RSA Data Security, Thawte και Verisign.co. Όλες οι εταιρίες χρησιμοποιούν το MD5 για να δημιουργήσουν τα πιστοποιητικά τους, λένε οι ερευνητές.

Η εκτόξευση μιας επίθεσης είναι δύσκολη, διότι οι κακοί πρέπει πρώτα να εξαπατήσουν ένα θύμα να επισκεφτούν την κακόβουλη τοποθεσία Web που φιλοξενεί το ψεύτικο ψηφιακό πιστοποιητικό. Αυτό θα μπορούσε να γίνει, ωστόσο, με τη χρήση της λεγόμενης επίθεσης στο άτομο-στο-μεσαίο. Τον περασμένο Αύγουστο, ο ερευνητής ασφαλείας Dan Kaminsky έδειξε πώς ένα σημαντικό ελάττωμα στο σύστημα ονομάτων τομέα του Διαδικτύου θα μπορούσε να χρησιμοποιηθεί για την εκτόξευση ανθρωπογενών επιθέσεων. Με αυτήν την τελευταία έρευνα, είναι τώρα πιο εύκολο να ξεκινήσετε αυτό το είδος επίθεσης ενάντια σε ιστότοπους που είναι ασφαλείς χρησιμοποιώντας κρυπτογράφηση SSL (Secure Sockets Layer), η οποία βασίζεται σε αξιόπιστα ψηφιακά πιστοποιητικά.

"Μπορείτε να χρησιμοποιήσετε το σφάλμα DNS του Kaminsky σε συνδυασμό με αυτό για να αποκτήσουμε ουσιαστικά μη ανιχνεύσιμο ηλεκτρονικό ψάρεμα ", δήλωσε ο Molnar

« Δεν πρόκειται για συζήτηση για το τι μπορεί να συμβεί ή για το τι μπορεί να κάνει κάποιος, είναι μια επίδειξη του τι έκαναν πραγματικά με τα αποτελέσματα για να το αποδείξουν », γράφει ο HD Moore, διευθυντής έρευνας για την ασφάλεια στο BreakingPoint Systems, σε ένα blog που δημοσιεύει τη συζήτηση.

Οι κρυπτογράφοι έχουν σταματήσει σταδιακά στην ασφάλεια του MD5 από το 2004, όταν μια ομάδα από το Shandong Ο Πανεπιστήμιο Wang Xiaoyun επέδειξε ατέλειες στον αλγόριθμο.

Δεδομένης της κατάστασης της έρευνας στο MD5, οι αρχές πιστοποίησης θα έπρεπε να έχουν αναβαθμιστεί σε ασφαλέστερους αλγόριθμους όπως ο SHA-1 (Secure Hash Algorithm-1) "πριν από χρόνια", δήλωσε ο Bruce Schneier, ένας αξιόπιστος εμπειρογνώμονας στον τομέα της κρυπτογράφησης και ο επικεφαλής της υπηρεσίας ασφάλειας τεχνολογίας με την BT.

Η RapidSSL.com θα σταματήσει να εκδίδει πιστοποιητικά MD5 μέχρι το τέλος Ιανουαρίου και εξετάζει πώς θα ενθαρρύνει τους πελάτες της να προχωρήσουν σε νέα ψηφιακά πιστοποιητικά μετά από αυτό, δήλωσε ο Tim Callan, αντιπρόεδρος του μάρκετινγκ προϊόντων με τη Verisign

Αλλά πρώτα, η εταιρεία θέλει να δει μια καλή ματιά σε αυτή την τελευταία έρευνα. Ο Molnar και η ομάδα του είχαν ανακοινώσει τα ευρήματά τους στη Verisign έμμεσα, μέσω της Microsoft, αλλά δεν μίλησαν άμεσα με τη Verisign, από φόβο ότι η εταιρεία θα μπορούσε να αναλάβει νομικές ενέργειες για να ακυρώσει τη συζήτησή τους. Στο παρελθόν, οι επιχειρήσεις έλαβαν μερικές φορές δικαστικές εντολές για να εμποδίσουν τους ερευνητές να μιλήσουν σε συνέδρια hacking.

Ο Callan είπε ότι επιθυμούσε να έχει δοθεί περισσότερες πληροφορίες στο Verisign. "Δεν μπορώ να πω πόσο απογοητευμένος είμαι ότι οι bloggers και οι δημοσιογράφοι ενημερώνονται για αυτό, αλλά δεν είμαστε, θεωρώντας ότι είμαστε οι άνθρωποι που πρέπει πραγματικά να ανταποκριθούν."

Ενώ ο Schneier είπε ότι εντυπωσιάστηκε από την μαθηματικά πίσω από αυτή την τελευταία έρευνα, είπε ότι υπάρχουν ήδη πολύ πιο σημαντικά προβλήματα ασφαλείας στο Διαδίκτυο - αδυναμίες που εκθέτουν μεγάλες βάσεις δεδομένων ευαίσθητων πληροφοριών, για παράδειγμα.

, γιατί ποτέ δεν ελέγχετε τα βεβαίωμά σας ούτως ή άλλως ", είπε. "Υπάρχουν δεκάδες τρόποι να πλαστογραφήσετε αυτό και αυτό είναι άλλο."