Forskere utgjør ikke-påviselig phishing-angrep. hjelp av om lag 200 Sony PlayStations, har et internasjonalt team av sikkerhetsforskere utviklet en måte å undergrave algoritmene som brukes til å beskytte sikre nettsteder og starte et nesten uoppdagbart phishing-angrep.

Hashes brukes å lage et "fingeravtrykk" for et dokument, et nummer som skal unikt identifisere et gitt dokument og enkelt beregnes for å verifisere at dokumentet ikke har blitt endret i transitt. MD5-hashingalgoritmen er imidlertid feil, noe som gjør det mulig å lage to forskjellige dokumenter som har samme hashverdi. Slik kan noen lage et sertifikat for et phishing-nettsted som har samme fingeravtrykk som sertifikatet for det ekte nettstedet.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen din]

Bruke deres gård av Playstation 3-maskiner, bygde forskerne en "rogue certificate authority" som kunne gi ut falske sertifikater som kunne stole på nesten alle nettlesere. Playstationens Cell-prosessor er populær blant kodebrytere fordi det er spesielt godt å utføre kryptografiske funksjoner.

De planlegger å presentere sine funn på hackekonferansen for Chaos Communication Congress, holdt i Berlin tirsdag, i en diskusjon som allerede har vært gjenstand for Forskerarbeidet ble utført av et internasjonalt team som inkluderte uavhengige forskere Jacob Appelbaum og Alexander Sotirov, samt datavitenskapere fra Centrum Wiskunde & Informatica, Ecole Polytechnique Federale de Lausanne, Eindhoven University of Technology og University of California, Berkeley. Selv om forskerne mener at et virkelige angrep ved hjelp av deres teknikker er usannsynlig, sier de at deres arbeid viser at MD5 hashingalgoritmen ikke lenger skal brukes av sertifikat autorisasjon selskaper som utsteder digitale sertifikater. "Det er en våkne samtale for alle som fortsatt bruker MD5," sa David Molnar en kandidatstudent fra Berkeley som jobbet med prosjektet.

I tillegg til Rapidssl.com, TC TrustCenter AG, RSA Data Security, Thawte og Verisign.co. jp alle bruker MD5 til å generere sine sertifikater, sier forskerne.

Å starte et angrep er vanskelig, fordi de onde må først lure et offer for å besøke det ondsinnede nettstedet som er vert for det falske digitale sertifikatet. Dette kan imidlertid gjøres ved å bruke det som kalles et mann-i-midten-angrep. I august i fjor viste sikkerhetsforsker Dan Kaminsky hvordan en stor feil i internettets domenenavnssystem kunne brukes til å starte man-i-midten-angrep. Med denne siste forskningen er det nå lettere å starte denne typen angrep mot nettsteder sikret ved hjelp av SSL (Secure Sockets Layer) -kryptering, som er avhengig av pålitelige digitale sertifikater.

"Du kan bruke kaminsky's DNS-feil, kombinert med dette for å få nesten uoppdagelig nettfishing, sier Molnar.

"Dette er ikke en snakk i himmelen om hva som kan skje eller hva noen kan gjøre, dette er en demonstrasjon av hva de egentlig gjorde med Resultatene for å bevise det, "skrev HD Moore, direktør for sikkerhetsforskning ved BreakingPoint Systems, i en blogginnlegg på samtalen.

Kryptografer har etter hvert blitt kippet bort på sikkerheten til MD5 siden 2004, da et lag ledet av Shandong Universitetets Wang Xiaoyun viste feil i algoritmen.

Med tanke på undersøkelsen for MD5, burde sertifiseringsmyndighetene ha oppgradert til sikrere algoritmer som SHA-1 (Secure Hash Algorithm-1) "år siden", sa Bruce Schneier, en kjent krypteringsekspert og sjefens sikkerhetstekniker med BT

RapidSSL.com vil slutte å utstede MD5-sertifikater innen utgangen av januar, og ser på hvordan man skal oppmuntre sine kunder til å flytte til nye digitale sertifikater etter det, sa Tim Callan, visepresident for produktmarkedsføring med Verisign.

Men først ønsker selskapet å få en fin titt på denne siste undersøkelsen. Molnar og hans team hadde kommunisert sine funn til Verisign indirekte, via Microsoft, men de har ikke snakket direkte med Verisign, for frykt for at selskapet kan ta rettslige skritt for å kaste ut sin tale. Tidligere har selskapene noen ganger fått rettsordre for å forhindre forskere i å snakke ved hacking-konferanser.

Callan sa at han ønsket at Verisign hadde fått mer informasjon. "Jeg kan ikke uttrykke hvor skuffet jeg er at bloggere og journalister blir informert om dette, men det er vi ikke, vurderer at vi er de som faktisk må svare."

Mens Schneier sa at han var imponert over matematikk bak denne siste forskningen, sa han at det allerede er langt viktigere sikkerhetsproblemer på Internett - svakheter som eksponerer store databaser med sensitiv informasjon, for eksempel.

"Det spiller ingen rolle om du får et falsk MD5-sertifikat, fordi du aldri sjekker dine certs uansett, "sa han. "Det er dusinvis av måter å forfalske det, og dette er enda et annet."