5η θέση για την Ελλάδα στο  European Cyber Security Challenge 2018
infosec rapidalert

5η θέση για την Ελλάδα στο European Cyber Security Challenge 2018

Με μεγάλη επιτυχία επέστρεψε η Εθνική ομάδα που εκπροσώπησε τη χώρα μας στο μεγάλο πανευρωπαϊκό διαγωνισμό κυβερνοασφάλειας European Cyber Security...
Read More
infosec

Εκδήλωση «Απόρρητο Ηλεκτρονικών Επικοινωνιών και Ασφάλεια στο Διαδίκτυο» την Δευτέρα 29 Οκτωβρίου

H Αρχή Διασφάλισης Απορρήτου των Επικοινωνιών (ΑΔΑΕ), με την υποστήριξη του Ελληνικού Κέντρου Ασφαλούς Διαδικτύου (Safer Internet), διοργανώνει ενημερωτική εκδήλωση...
Read More
infosec

Κι άλλο σφάλμα διαχείρισης αρχείων επηρεάζει το Windows 10 October Update

Από τότε που κυκλοφόρησε το Windows 10 October update 2018, τα πράγματα έχουν πάει αρκετά άσχημα για τους χρήστες των...
Read More
infosec

Ο γονικός έλεγχος της Apple επιτρέπει την αναζήτηση πορνογραφικού και βίαιου υλικού

Οι γονικοί έλεγχοι της Apple στο iOS 12 είναι μάλλον ασυνεπείς: ορισμένοι όροι που αφορούν στο σεξ είναι μπλοκαρισμένοι, αλλά...
Read More
infosec rapidalert

European Cyber Security Challenge 2018 (ECSC ’18): Τα αποτελέσματα

Ο φετινός πανευρωπαϊκός διαγωνισμός κυβερνοασφάλειας European Cyber Security Challenge 2018 (ECSC '18) που διεξήχθει στο Λονδίνο έλαβε τέλος και βρήκε...
Read More
Latest Posts

Νέα SLOTH επίθεση μειώνει την ασφάλεια των TLS και SSH πρωτοκόλλων

Η κρυπτογραφία έχει μια κακή εβδομάδα μιας και ένα νέο είδος επίθεσης που ονομάζεται SLOTH έχει αποδυναμώσει την εμπιστοσύνη στην κρυπτογράφηση ακόμη περισσότερο.
Παρουσιάστηκε στο Real World Cryptography Conference στο Stanford, USA. Η SLOTH επίθεση έχει τη δυνατότητα να αποδυναμώσει τη δύναμη της κρυπτογράφησης σε διάφορα πρωτόκολλα όπως τα TLS, SSH, και IPsec.

Νέα SLOTH επίθεση μειώνει την ασφάλεια των TLS και SSH πρωτοκόλλων
Το θέμα βρίσκεται σε παλιούς φίλους μας MD5 και SHA-1, δύο αλγόριθμους που και οι δύο έχουν δει καλύτερες μέρες. Ο MD5 παραβιάστηκε για πρώτη φορά το 2004, ενώ ο SHA-1, τουλάχιστον θεωρητικά, είχε παραβιαστεί το περασμένο φθινόπωρο.
Ενώ τα πρωτόκολλα ασφαλείας ανώτερης τάξης, όπως τα TLS (στο οποίο βασίζεται το HTTPS), SSH, και IPsec που θεωρούνται ασφαλείς εναλλακτικές λύσεις για τα HTTP, Telnet, και IP, δύο ερευνητές ασφαλείας από το INRIA (Γαλλικό Ινστιτούτο για την Έρευνα στην Επιστήμη των Υπολογιστών και στον Αυτοματισμό) ανακάλυψαν ότι τα πρωτόκολλα αυτά στηρίζονται σε μεγάλο βαθμό στους MD5 και SHA-1 για κάποια από τα συστατικά μέρη τους.
Ονομάζεται SLOTH ή αλλιώς ο Security Losses from Obsolete and Truncated Transcript Hashes. Το όνομα αυτής της επίθεσης είναι ένα χαστούκι στο πρόσωπο για όλους εκείνους τους «έξυπνους» τις INFOSEC που επέτρεψαν όλα αυτά τα χρόνια οι ασθενέστεροι MD5 και SHA-1 αλγόριθμοι να υποστηρίξουν μερικά από τα κορυφαία πρωτόκολλα ασφαλείας του κόσμου.
Στην ερευνητική εργασία τους, οι δύο ερευνητές, Karthikeyan Bhargavan και Gaetan Leurent, παρουσιάζουν μια νέα transcript collision επίθεση που είχε ως στόχο τα μέρη των εν λόγω πρωτοκόλλων ασφαλείας, όπου χρησιμοποιήθηκε ο MD5.
Σε δοκιμές τους, οι δύο ερευνητές, ήταν σε θέση να κατακερματίσουν την υπογραφή της ασφάλειας ενός διακομιστή από 128-bit σε 64-bit. Όλα αυτά έγιναν σε τρεις ώρες σε 48-πύρηνες υπολογιστικές μονάδες, αλλά σε μια δεύτερη προσπάθεια, μετά τη βελτιστοποίηση των υπολογισμών τους, οι ερευνητές κατάφεραν να μειώσουν το χρόνο αυτό στη μία ώρα.
«Οι απώλειες ασφαλείας για άλλους μηχανισμούς, όπως ο έλεγχος ταυτότητας του TLS client, είναι ακόμη πιο δραματικές, οδηγώντας σε πρακτικές επιθέσεις σε πραγματικούς clients και διακομιστές», εξηγούν οι ερευνητές σε μια ανάρτηση σε ένα blog.
Όπως και με πολλές άλλες περιπτώσεις στο παρελθόν, ένα ασφαλές προϊόν είναι τόσο ασφαλές όσο η τεχνολογία και οι άνθρωποι πίσω από αυτό του επιτρέπουν να είναι!

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *