Antywirusy - nowe drogi rozwoju ochrony

[ichito]

18 lut 2010, 10:54

Za Heise-online.pl
"Ośrodek Internet Storm Center (ISC) zadał sobie trud zgromadzenia w specjalnej bazie danych wartości funkcji skrótu (hash) około 40 milionów programów pochodzących z National Software Reference Library (NSRL), aby umożliwić ich wynajdywanie za pomocą nakładki sieciowej. Tak więc nieuchronny wydaje się odwrót od tradycyjnej koncepcji polegającej na wyszukiwaniu wszelkich możliwych zagrożeń.
Amerykański NIST zarządza pokaźną biblioteką znanych programów i dla zawartych w nich plików wylicza wartości funkcji skrótu. Te pozwalają na niepodważalną identyfikację zbiorów. Obecnie metodę tę stosuje się głównie do wyłączania domyślnych plików programowych z analiz powłamaniowych. Jednak równie dobrze można by ją wykorzystywać do blokowania fałszywych alarmów wszczynanych w odniesieniu do standardowych plików.
Gdyby Avira, Kaspersky, F-Secure i inni producenci antywirusów mogli parę dni temu sięgnąć do tego rodzaju bazy danych, zanim wszczęły alarm, wówczas wiedzieliby, że plik AcSignApply.exe z wartością skrótu (MD5) 5A3DA649CBBB4502559AA24972E0F302 jest nadzorowanym przez NIST znanym zbiorem programu AutoCAD. Nie oznacza to bynajmniej, że plik ten na pewno nie zawiera backdoora. W tym wypadku można było jednak uniknąć fałszywego alarmu wszczętego na podstawie rzekomo poważnych podejrzeń."
Całość artykułu http://www.heise-online.pl/newsticker/n ... 33032.html
Pokrewny dotyczący FP m.in. Avir, F-Secure http://www.heise-online.pl/newsticker/n ... 31216.html

[zbycho]

18 lut 2010, 14:21

W 1996 Dobbertin zaprezentował analizę kolizji algorytmu MD5. Chociaż nie był to jeszcze pełny atak na funkcję skrótu to jednak wystarczył, aby specjaliści w dziedzinie kryptografii zaczęli stosować silniejsze odpowiedniki, takie jak SHA-1 lub RIPEMD-160.

W marcu 2004 powstał rozproszony projekt nazywany MD5CRK. Twórcą projektu był Jean-Luc Cooke i jego współpracownicy. Miał on na celu wykazanie, że możliwe jest wyznaczenie wiadomości różnej od zadanej, która ma taką samą wartość skrótu. Do tego celu wykorzystano sieć Internet oraz dużą liczbę komputerów biorących udział w projekcie. Projekt wykazał, że dysponując bardzo dużą mocą obliczeniową możliwe jest podrabianie generowanych podpisów.

Dopiero prace badawcze chińskich naukowców Xiaoyun Wang, Dengguo Fen, Xuejia Lai i Hongbo Yu w pełni wykazały słabość algorytmu. 17 sierpnia 2004 opublikowali oni analityczny algorytm ataku, dzięki któremu do podrobienia podpisu wystarczyła godzina działania klastrowego komputera IBM P690.

W marcu 2005 Arjen Lenstra, Xiaoyun Wang i Benne de Weger zaprezentowali metodę umożliwiającą znalezienie kolizji dla algorytmu MD5 i przeprowadzenie ataku polegającego na wysłaniu dwóch różnych wiadomości chronionych tym samym podpisem cyfrowym. Kilka dni później Vlastimil Klima opublikował algorytm, który potrafił znaleźć kolizję w ciągu minuty, używając metody nazwanej tunneling.

Pod koniec 2008 roku niezależni kalifornijscy specjaliści ds. bezpieczeństwa, we współpracy z ekspertami z Centrum voor Wiskunde en Informatica, Technische Universiteit Eindhoven oraz Ecole Polytechnique Fédérale de Lausanne odkryli lukę w MD5 umożliwiającą podrobienie dowolnego certyfikatu SSL w taki sposób, że zostanie on zaakceptowany przez wszystkie popularne przeglądarki internetowe. Do podrobienia certyfikatu wystarczyła moc obliczeniowa 200 konsol do gier PlayStation 3[1].

Obecnie algorytm MD5 nie jest uważany za bezpieczny i w jego miejsce zaleca się stosowanie algorytmów z rodziny SHA-2

[Eru]

18 lut 2010, 14:35

wystarczyła godzina działania klastrowego komputera IBM P690

Do podrobienia certyfikatu wystarczyła moc obliczeniowa 200 konsol do gier PlayStation 3

[ichito]

18 lut 2010, 14:56

No proszę...a szacowna firma zebrała 40 milionów właściwie już nieprzydatnych danych...ale mimo, że to niezbyt pewne, jak wynika z Waszych wypowiedzi, to pewnie coś na rzeczy musi być, bo chyba nie robiliby z siebie durnia przed całym światem IT.

[zbycho]

13 lis 2011, 12:12

Program Av nie moze opierac sie tylko na hashach.Choć w nortonie jest taka mozliwość by omijać przy skanowaniu pliki uznane za Trusted a sa za takie uznawane na podstawie ich skrótów.
Poza tym cytat jest o MD5.