Znajdź zawartość
Wyświetlanie wyników dla tagów 'certyfikat bezpieczeństwa' .
Znaleziono 2 wyniki
-
Podczas berlińskiej konferencji International Security Solutions Europe, wiceprezes Scott Charney z microsoftowej grupy Trustworthy Computing, zaprezentował ideę "certyfikatu bezpieczeństwa", który musiałby przedstawić każdy komputer usiłujący podłączyć się do sieci. Taki certyfikat mógłby zawierać takie informacje jak przypadki infekcji maszyny, dane o stosowanym firewallu czy oprogramowaniu antywirusowym. Innymi słowy, zaproponowano technologię na kształt NAC (Network Access Control), ale zaimplementowanej na olbrzymią skalę. Tak jak niezaszczepiona osoba stanowi ryzyko dla innych, tak niechroniony czy zarażony komputer zagraża bezpieczeństwu innych maszyn w sieci. W świecie fizycznym organizacje ponadnarodowe, narodowe i lokalne identyfikują, śledzą i kontrolują rozprzestrzeniani się chorób i mają prawo, w razie konieczności, do poddania kwarantannie ludzi, którzy mogą zarażać innych - mówił Charney. Proponuje on przyjęcie podobnych rozwiązań w świecie wirtualnym. Warto tutaj zauważyć, że niektóre kraje już wprowadziły pewne przepisy, które np. zakładają ostrzeganie użytkowników zarażonych komputerów o wykrytej infekcji. Propozycja Microsoftu idzie dalej. Zgodnie z nią komputer podłączający się do internetu musiałby przedstawić swojemu serwerowi certyfikat bezpieczeństwa. Dopiero wówczas mógłby uzyskać połączenie. Oczywiście zastosowanie takiego pomysłu nie będzie proste. Trzeba bowiem stworzyć oprogramowanie, które nie tylko będzie w stanie sprawdzić komputer czy smartfon chcący się połączyć, ale również będzie na tyle bezpieczne, by podrobienie lub zmiana certyfikatów były jak najtrudniejsze. Zdaniem Charneya problem ten można rozwiązać łącząc możliwości programowego hyperwizora z takimi sprzętowymi modułami jak TPM (Trusted Platform Modules). Innymi słowy, dopiero wspólnie pracujące oprogramowanie i sprzęt mogłyby wystawić bezpieczny certyfikat, który można zweryfikować. Działanie takie wymagałoby też odpowiedzi z drugiej strony. Serwer naszego dostawcy internetu musiałby bowiem informować nas, czy i jakiego komponentu bezpieczeństwa brakuje w naszym komputerze. Oczywiście propozycja Microsoftu budzi poważne zastrzeżenia dotyczące prywatności. Charney zdaje sobie z tego sprawę i stwierdza, że przed wdrożeniem proponowanych przez niego rozwiązań, należy poważnie zastanowić się nad kwestiami prywatności. Już wcześniej padały różne propozycje dotyczące bezpieczeństwa w internecie. Jednak po raz pierwszy tak wielka firma jak Microsoft proponuje stworzenie globalnego rozwiązania. Charney mówi, że nie jest to gotowy pomysł, ale raczej punkt wyjścia do dyskusji nad ogólnoświatowym sposobem poprawienia bezpieczeństwa w sieci.
- 11 odpowiedzi
-
- Scott Charney
- internet
-
(i 2 więcej)
Oznaczone tagami:
-
Niezależni kalifornijscy specjaliści ds. bezpieczeństwa, we współpracy z ekspertami z holenderskiego Centrum Wiskunde & Informatica (CWI), uniwersytetu technicznego w Eindhoven (TU/e) oraz szwajcarskiego EPFL odkryli lukę w powszechnie wykorzystywanych w Internecie cyfrowych certyfikatach. Dziura umożliwia takie podrobienie certyfikatu, że zostanie on zaakceptowany przez każdą przeglądarkę. Pozwala to atakującemu na przygotowanie witryny lub serwisu pocztowego, który bez najmniejszego problemu podszyje się pod prawdziwą stronę. Przestępca może wówczas niezauważenie dokonać ataku phishingowego. Eksperci poinformowali o swoim odkryciu podczas odbywającej się właśnie w Berlinie konferencji 25C3. Mają nadzieję, że dzięki ich ostrzeżeniu upowszechnią się bezpieczniejsze algorytmy. Mowa tutaj o sytuacji, gdy korzystamy z powszechnie stosowanego protokołu https. Przeglądarka informuje nas o tym fakcie wyświetlając zamkniętą kłódkę, co oznacza, że witryna, którą odwiedzamy, została zabezpieczona szyfrowanym certyfikatem. W takich wypadkach stosuje się kilka algorytmów, a jednym z najpowszechniejszych jest MD5. I to w nim właśnie znaleziono lukę. O pierwszych problemach z MD5 poinformowali Chińczycy w 2005 roku. Byli oni w stanie znaleźć kolizję dla tego algorytmu i przeprowadzić atak polegający na wysłaniu dwóch różnych wiadomości chronionych tym samym podpisem cyfrowym. Chińska metoda była jednak bardzo trudna do wykonania. W maju 2007 roku uczeni z CWI, EPFL i TU/e pokazali, że podczas podobnego ataku można wykorzystać dowolne wiadomości. Obecnie ci sami eksperci dowiedli, że możliwe jest podrobienie dowolnego certyfikatu tak, że zostanie on zaakceptowany przez wszystkie popularne przeglądarki internetowe. Co więcej, do podrobienia certyfikatu wystarczy moc obliczeniowa ponad 200 współczesnych konsoli do gier. Specjaliści zwracają uwagę, że połączenie podrobionego certyfikatu ze znanymi słabościami systemu DNS pozwala na przeprowadzenie niewykrywalnego ataku phishingowego. Może on polegać na przykład na przekierowaniu użytkowników online'owych banków na fałszywe witryny, które będą wyglądały identycznie jak witryny banków, a przedstawione przez nie certyfikaty bezpieczeństwa zostaną zaakceptowane. Użytkownik, wierząc, że odwiedza witrynę swojego banku, nieświadomie prześle przestępcom wszelkie informacje, które będą im potrzebne do skutecznego wyczyszczenia jego konta z pieniędzy. Wspomniani na wstępie specjaliści poinformowali już firmy produkujące popularne przeglądarki o problemie. Odkrywcy luki uważają, że instytucje wydające certyfikaty bezpieczeństwa powinny zrezygnować z używania MD5 i korzystać z innych algorytmów, takich jak np. SHA-2.