neprihlásený Streda, 28. júna 2017, dnes má meniny Beáta   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
SHA-1 kolízia má ďalšiu obeť, umožňuje falšovať torrenty

Objavená kolízia hashovacej funkcie SHA-1, ktorá bola zverejnená na konci februára, má ďalší dôsledok. Umožňuje totiž efektívne falšovať programy prenášané cez BitTorrent protokol respektíve konkrétnejšie vytvárať dve rozdielne verzie jedného torrentu. Užívateľ si tak nemôže byť istý, že má rovnaké stiahnuté súbory ako všetci ostatní užívatelia zdieľajúci daný torrent. Doteraz to BitTorrent sám automaticky zabezpečoval.

Značky: kryptografiabezpečnosť

DSL.sk, 6.3.2017
       


Objavená kolízia hashovacej funkcie SHA-1, ktorá bola zverejnená na konci februára, má ďalší dôsledok.

Umožňuje totiž efektívne falšovať programy prenášané cez BitTorrent protokol respektíve konkrétnejšie vytvárať dve rozdielne verzie jedného torrentu.

Kolízia SHA-1

O kolízii nájdenej spoločnosťou Google v spolupráci s CWI sme veľmi detailne informovali v tomto a tomto článku.

Google pomocou útoku navrhnutého v roku 2013 vytvoril a aktuálne zverejnil dva 320-bajtové súbory, ktoré sa obsahom odlišujú ale napriek tomu majú rovnakú SHA-1 hash.

Navyše sú v takom formáte, že môžu byť použité ako začiatky PDF súborov a umožňujú vytvoriť dva PDF súbory s ľubovoľným rozdielnym vizuálnym obsahom ale rovnakou sumou SHA-1.

BitTorrent a SHA-1

Protokol BitTorrent pre efektívny peer-to-peer prenos súborov využíva SHA-1 na autentifikáciu prenášaných dát. Súbory, ktoré sa nachádzajú v jednom torrente, rozdeľuje na bloky o veľkosti 32 KB až 16 MB a SHA-1 sumu každého tohto bloku uvádza v popisnom .torrent súbore.

Tieto sumy tak umožňujú overiť správnosť každého bloku hneď po jeho stiahnutí.


Použitie SHA-1 u torrentov, kliknite pre zväčšenie (obrázok: Tamas Jos)



V súčasnosti sa .torrent súbory už zvyčajne priamo nesťahujú, šíria sa cez distribuovanú DHT sieť.

Teoretický dopad SHA-1 kolízie na BitTorrent, teda možnosť vytvoriť dve verzie súboru s tým istým popisným .torrent súborom, bol vzhľadom na mechanizmus jeho fungovania zjavný už s oznámením kolízie.

Kolízia v torrentoch

Aktuálne ale bezpečnostný expert Tamas Jos zverejnil pod označením BitErrant praktickú demonštráciu zneužitia kolízie u BitTorrentu.

Konkrétne vytvoril nástroj, ktorý umožňuje vytvoriť dve rozdielne verzie spustiteľného programu s rovnakými SHA-1 hash sumami jednotlivých 32 KB blokov a teda rovnakým .torrent súborom, jednu neškodnú a druhú obsahujúcu škodlivý kód. Súbory sú rovnaké až na časť obsahujúcu kolíziu nájdenú spoločnosťou Google.


Schéma dvojakého spustiteľného súboru šíreného cez BitTorrent, kliknite pre zväčšenie (obrázok: Tamas Jos)



Jos vytvoril aj konkrétnu dvojicu spustiteľných súborov, z ktorých škodlivý obsahuje ukážkové zadné vrátka v podobe Meterpretera.

Škodlivý kód je v skutočnosti obsiahnutý v oboch verziách, ale zašifrovaný. Dáta z kolízie sú potom použité ako kľúč, ktorým sa zašifrovaný škodlivý kód dešifruje. Neškodná verzia nemá správny kľúč, rozšifrované dáta nie sú platné a nespustí ich. Druhá verzia naopak škodlivý kód spustí.


Zarovnanie dvojakého spustiteľného súboru na BitTorrent bloky, kliknite pre zväčšenie (obrázok: Tamas Jos)



Tento útok a nástroj samozrejme nie je možné použiť na sfalšovanie ľubovoľného existujúceho torrentu. Vzhľadom na mechanizmus a podobu známej kolízie musí útočník vytvoriť obe verzie torrentu, aj neproblémovú aj reálne škodlivú.

Aj takáto zraniteľnosť sa dá ale reálne zneužiť. Útočník napríklad môže najskôr šíriť neproblémovú verziu softvéru. Po tom, ako ju napríklad užívatelia overia a dajú jej dobré hodnotenie, začne šíriť v rámci toho istého torrentu škodlivú verziu.

Ochrana, antivírusy

Kým BitTorrent pôvodne garantoval úplné overenie stiahnutých dát, ak užívateľ veril danému torrentu, v súčasnosti po zverejnení kolízie SHA-1 to už neplatí.

Útok je s touto kolíziou len limitovaný, keď útočník musí vytvoriť obe verzie falšovaného torrentu, aj pôvodnú aj škodlivú. Existujú ale scenáre, keď je aj takýto útok praktický a môže mať nežiadúce následky.

Brániť sa je možné overením inej kontrolnej sumy výsledných stiahnutých súborov ako SHA-1. K tomu je ale samozrejme potrebné, aby boli tieto kontrolné sumy k dispozícii.

Detekovať falšované torrenty je jednoducho možné aj detekciou jednej z dvoch verzií konkrétneho reťazca v SHA-1 kolízii nájdenej Google, ktorá sa vzhľadom na mechanizmus fungovania vo falšovaných stiahnutých súboroch musí nachádzať. Využiť je zrejme možné aj univerzálnejší softvérový nástroj na detekciu prítomných kolízií od autora pôvodného útoku, odkaz na ktorý je možné nájsť v našom pôvodnom článku.

Čo sa týka využiteľnosti antivírusov na detekciu škodlivých torrentov, tá je na jednej strane limitovaná už len kvôli celkovo nízkej účinnosti súčasných antivírusov voči novým hrozbám. Škodlivú verziu ukážkového spustiteľného súboru so zadnými vrátkami detekovalo v pondelok večer iba 8 z 58 antivírusov na VirusTotal, zo známejších Kaspersky, AVG a Microsoft.

Na druhej strane konkrétna technika použiteľná Josom aj v neškodlivej verzii súboru, ktorá tiež obsahuje kód pre potenciálne spustenie kódu dešifrovaného z dát súboru, môže byť tiež antivírusom podozrivá a potenciálne by mohla byť detekovaná aj táto verzia falšovaného torrentu. Túto verziu detekovalo ako škodlivú v pondelok 6 z 58 antivírusov, žiadny zo známejších.


       
      Zdieľaj na Twitteri



Najnovšie články:

Šifrujúci ransomvér vyčíňal aj na Slovensku, ohrozil výrobu čokolády
WiFi oslavuje 20 rokov
Ukrajinu a Európu napadol ďalší šifrujúci červ, využíva rovnakú zraniteľnosť ako WannaCry
Predstavené grafiky špeciálne pre dolovanie kryptomien
Google dostal od EÚ rekordne vysokú pokutu, až 2.42 miliárd eur
Čína vyvíja až tri technológie exaflopových superpočítačov
Nemecko má požadovať upgrade softvéru na 12 miliónoch dieselov
Ceny pamätí majú ešte ďalej rásť
Všetci slovenskí psi budú povinne očipovaní a v centrálnom registri, aj s majiteľom
Zákazníci O2 sa sťažujú na obmedzené rýchlosti v roamingu - aktualizácia 1


Diskusia:
                               
 

divim sa ze rozni vyvojari tak slepo doverovali SHA-1, uz v dobe ked bola prelomena MD5 sa odporucalo prejst na SHA-256 alebo vyssie
Odpovedať Známka: 0.7 Hodnotiť:
 

Ak sa nemylim, tak BT protokol vznikol skor, ako bol realne uskutocneny utok na md5. Teda, to ze je md5 slabe, sa vedelo dlho, no rovnako dlho sa odporucalo prejst na sha1 :)

No tipujem, ze az padne sha2, tak som si isty, ze sa najde nejaky chytrak, co sa bude cudovat, ze akoto, ze nepouzivali uz davno sha3, alebo co pride ako nahrada :)
Odpovedať Známka: 6.0 Hodnotiť:
 

no prave, odporucania boli uz hodne davno... osobne vsade kde to moze byt bezpecnostny problem uz niekolko rokov pouzivam SHA-512
Odpovedať Hodnotiť:
 

dufam ze turhlik s hawsingom to maju osetrene aby ked tahaju cicini z fotopasci im tam nepohodil haker ini obrzok
Odpovedať Známka: 3.8 Hodnotiť:
 

torrenty nikoho trápiť nebudú!
Odpovedať Známka: -6.8 Hodnotiť:
 

Som zvedavy ci si za svojim nazorom budes stat, ked zacne vychadzat GoT.
Odpovedať Známka: 4.6 Hodnotiť:
 

Ani netuším čo to je a torrenty naozaj k svojmu životu nepotrebujem.
Odpovedať Známka: -7.3 Hodnotiť:
 

Teba naklonovali?
Odpovedať Známka: 6.0 Hodnotiť:
 

Určite ho naklonovali, ale kvôli kolízii SHA-1 nezistili že ide o vadný klon.
Odpovedať Známka: 8.5 Hodnotiť:
 

A poviem ti este jednu vec. Dolezitu. Ze keby si daco v zivote potreboval, hocico, ta si to kup...
Odpovedať Známka: 3.6 Hodnotiť:
 

GoT - taka fantasy picovina pre gayov a slabomyselnych hlupakov s IQ pod 70.
Odpovedať Známka: -3.5 Hodnotiť:
 

to vies, nieje kazdy tak prudky genius ako ty aby mohol pozerat iba sofistikovanu hornu dolnu ...
Odpovedať Známka: 6.4 Hodnotiť:
 

troll success meter: [oo..................]
Odpovedať Známka: 6.0 Hodnotiť:
 

Takže torrenty su priekazne rozum.
Odpovedať Známka: -6.0 Hodnotiť:
 

Toto su take vyjadrenia, jak kebyze v Hornej Dolnej vojdes do krcmy, objednas si kakao a zacnes kricat "Neviem co je to slivovica a ani ma to nezaujima, naco to vobec je?".
Naco sem chodis a naco to sem pises?
Odpovedať Známka: 7.8 Hodnotiť:
 

ty - ale to by ma nasralo ze vsetkym nova seria skonci tym ze zabiju Daenerys a v mojej verzii z torrentov by prezila :D
Odpovedať Známka: 5.6 Hodnotiť:
 

kokotina
Odpovedať Známka: 1.7 Hodnotiť:
 

A co keby v tvojej verzii torrentu bolo hardcore akcia s daenerys
Odpovedať Známka: 7.1 Hodnotiť:
 

da sa aj streamovat nemusi sa vsetko najprv stiahnut
Odpovedať Známka: 3.3 Hodnotiť:
 

GoT sa dá v čase vysielania na HBO pozerať cca 24 hodín zadarmo :). Stačí kuk ich web
Odpovedať Hodnotiť:
 

Nazdar Maniak ty starý retard
Odpovedať Známka: 8.6 Hodnotiť:
 

Nemá byt v texte miesto suma, súčet ?
kontrolná suma, správne kontrolný súčet ?

Odpovedať Známka: 6.7 Hodnotiť:
 

kontrolny sucin, lebo sa nasobi...
Odpovedať Známka: 4.5 Hodnotiť:
 

nedetekovane :D
Odpovedať Známka: 6.9 Hodnotiť:
 

Kokotina
Odpovedať Známka: 0.0 Hodnotiť:
 

Potrebujete naliehavú pôžičku pre podnikanie alebo platiť účty v úrokovou sadzbou vo výške 3%? Ponúkame osobné úvery, realitné úvery, obchodné úvery a ďalšie potenciálne jednotlivcom, firmám a subjektom spolupráce a organizácie. Bez ohľadu na vašej kreditnej skóre v rozmedzí od $ 5000 dolárov na 50 miliónov dolárov dolárov za maximálne po dobu 1-30 rokov, a ak áno, kontaktujte nás s detailmi nižšie.
Celé meno:__________
Omar: __________
Rod: __________
krajina:__________
postavenie:__________
Mesto: __________
Názov: __________
Sociálny status:__________
povolania: __________
Mesačný príjem:__________
Platné mobilné telefónne číslo: __________
Požadovaný úveru: suma __________
(Úveru a suma mena slovami): __________
Termín pôžička (ktorá bude stanovená v rokoch): __________
Účelom úveru: __________

S vďaka a ocenenie
Pán Anthony William
E-mail nám: barclayfinancialgroupfirm@gmail.com
Ja hovorím: +919108362494
Odpovedať Známka: -3.3 Hodnotiť:
 

Peniažky zašlite tu a tu. Ďakujem.

s pozdravom

princ Ubembe Uganda
Odpovedať Známka: 3.3 Hodnotiť:
 

Hľadáte veľmi originálny pôžičku za prijateľnú ročnou úrokovou sadzbou vo výške 3% procesu a schválené do dvoch pracovných dní? Neustále ste bola odmietnutá vašimi bánk a ďalších finančných inštitúcií Kvôli zlé úvery? Úvery v rozmedzí od $ 5000USD na $ 20,000,000USD Maximálny objem pôžičiek obchodu pre rozvoj konkurenčnú výhodu / obchodnú expanziu. Sme certifikovaní, dôveryhodný, spoľahlivý, efektívny, rýchly a dynamický na nehnuteľnosti a všetky druhy financovania podniku. Kontaktujte nás pre viac informácií a informácií.

Vďaka & Regard
Email Us: trustfinancialservice@yahoo.com
Povedzte: + 91-7219037911
Odpovedať Známka: 3.3 Hodnotiť:
 

Salam alejkum,
Vy ste v núdzi naliehavé úver?
ponúkame celosvetovú pôžičku, ktorí potrebujú pôžičku obchodnú príležitosť, ktorú má byť hľadáte, je tu znovu. napíšte nám teraz na adrese: kumar.hc21@outlook.com
ÚVER PRIHLÁŠKA
1) Celé meno:
2) Pohlavie:
3) Pôžička Suma potrebná:.
4) Pôžička Trvanie:
5) Štát:
6) Home Address:
7) mobilného telefónu:
8) mesačný príjem:
9) Zamestnanie:
), Ktorú urobil tú o nás.
kumar.hc21@outlook.com

S Pozdravom.
Hamza
Odpovedať Hodnotiť:
 

Potrebujete financie?
Hľadáte financie?
Hľadáte peniaze na rozšírenie svojho podnikania?
Pomôžeme jednotlivcom a spoločnostiam získať pôžičku na podnikanie
Rozšírenie a nastavenie novej firmy v rozmedzí ľubovoľnej sumy. Získajte pôžičku za prijateľnú úrokovú sadzbu vo výške 3%. Potrebujete túto hotovosť / pôžičku na podnikanie a vyúčtovať si účty? Potom nám pošlite e-mail teraz pre viac informácií kontaktujte nás teraz e-mailom: maxcreditfinance@googlemail.com

Odpovedať Hodnotiť:
 

Potrebujete financovať?
Hľadáte pre financie?
Hľadáte peňazí pre zväčšenie vaše podnikanie?
Pomáhame stojí jednotlivcom i firmám získať úver na podnikanie
rozširovanie a nastaviť nový podnik v rozmedzí akúkoľvek sumu. Získať úver za prijateľnú úrokovou sadzbou 3% Potrebujete tohto hotovostného / úver pre podnikanie a vyčistiť svoje účty? Potom nám poslať e-mail teraz pre viac informácií, kontaktujte nás prostredníctvom e-mailu: maxcreditfinance@googlemail.com
Odpovedať Hodnotiť:
 

We are private lending firm,We offer Loans at low interest rate of to any Interested Individual personal. We are governmental Registered authorized financial helper. for more information on how to obtain our Loans contact us today via email: (mrhamdnloanoffer@gmail.com)
Odpovedať Hodnotiť:
 

Potrebujete financie?
Hľadáte financie?
Hľadáte peniaze na rozšírenie svojho podnikania?
Pomôžeme jednotlivcom a spoločnostiam získať pôžičku na podnikanie
Rozšírenie a nastavenie novej firmy v rozmedzí ľubovoľnej sumy. Získajte pôžičku za prijateľnú úrokovú sadzbu vo výške 3%. Potrebujete túto hotovosť / pôžičku na podnikanie a vyúčtovať si účty? Potom nám pošlite e-mail teraz pre viac informácií kontaktujte nás teraz e-mailom: maxcreditfinance@googlemail.com
Odpovedať Hodnotiť:

Pridať komentár