Az MD5-tel készült tanúsítványhashekről és a phishingről

Még az index.hu-n is helyet kapott az a december végén napvilágra került sebezhetőség, amelynek publikálói használható algoritmust adtak arra, hogy hogyan lehetséges md5 használatával készült certificate fingerprinthez hamis szerveroldali “titkot” előállítani, ezáltal az md5-tel aláírt tanúsítványú oldalak ellen nagyon nehezen észlelhető phishing támadásokat indítani.

Az MD5 hashről fokozatosan kerültek napvilágra problémák 2005. után. Az első publikált sebezhetőségét egy kínai kutatócsoport publikálta: algoritmust adtak azonos md5 hash-ű adathalmazok prefixek hozzáadásával történő előállítására. Az ott leírt alogritmust többen implementálták: 2006-tól letölthető eszközök jelentek meg, különféle típusú fájlokhoz. Az egyik legjobban használható eszköz futtatható állományokat változtat meg oly módon, hogy a lenyomatuk egyezzen meg valamely tetszőleges értékkel, viszont továbbra is futtathatóak maradjanak.

A publikált támadás sémája pofonegyszerű: a támadó keres egy bankot, amelyik tanúsítványának hitelességről a felhasználó böngészője md5 hash használatával győződik meg. Letölti a legitim tanúsítványt, majd a publikált algoritmus alkalmazásával nem túl hosszú idő alatt előállít egy hamis szerveroldali titkot, amellyel a böngészők számára érzékelhetetlenül személyesíti meg az adott webhelyet. Ennyi természetesen nem elég: a felhasználót rá is kell venni, hogy látogassa meg a támadó által felállított phishing szervert – ennek kivitelezésére több lehetőség is van, de jelen írásunk szempontjából a konkrét módszer lényegtelen. A felhasználó kattint, beírja az azonosítási adatait, és már be is gyűjtötte a támadó a banki oldal által kért adatokat. A felhasználók nagy része még akkor sem fog gyanút, amikor esetleg nem tökéletesen ugyanúgy történik az azonosítás, mint azt megszokta (pl. bejelentkezésnél az egész ügyfélkódot kéri az oldal, nem csak a harmadik, hatodik és nyolcadik karakterét). Még ha biztonságtudatos is a felhasználó és megnézi a tanúsítványt, látja, hogy pl. a VeriSign írta alá – ez pedig minden kételyét eloszlatja.

Az publikáló kutatók is felismerték a probléma súlyát, ezért mielőtt a berlini 25th Annual Chaos Conference-en ismertették volna az algoritmust, felvették a kapcsolatot a tanúsítványkiadókkal, hogy változtassák meg az általuk md5-tel aláírt tanúsítványokat. Mindenképp becsülendő az igyekezet, viszont a kivitelezés már sajnos meglehetősen felemásra sikeredett: a VeriSign ingyenesen kibocsátotta újra a tanúsítványait SHA1-es lenyomattal, viszont nem minden tanúsítványkiadó tett így. A metasploit framework trunk-verziójában található olyan modul, amely md5-tel aláírt tanúsítványokat keres ipari méretekben – várhatóan a közeljövőben számos sikeres phishing támadás fog napvilágra kerülni.

Mindazonáltal a fent leírt sebezhetőség csak akkor jelent kritikus veszélyt (kritikus alatt azt értjük, hogy a gyanútlan felhasználó bankszámláját/hitelkártyáját stb. megcsapolják, tehát közvetlen anyagi kára származik), ha az azonosítási séma egyfaktoros és a tanúsítvány MD5 lenyomatát hash-sel készítették. Például azokkal a netbank alkalmazásokkal szemben, amelyek megfelelően implementált SMS-es megerősítést is kérnek egyszer használatos SMS-kódokkal, nem nyújt újabb támadási vektort a publikált sebezhetőség. Sokkal inkább azokat a weboldalakat fenyegeti veszély, amelyek hitelkártyás fizetés ellenében tesznek elérhetővé tartalmakat (pl. pornóoldalak, webshopok).

A széles körben publikált, nagy publicitást kapott sebezhetőségek esetében mindig felmerül a kérdés, hogy indokolt-e a publicitás nyomán bekövetkező pánik. Jelen esetben (a fenti okfejtés alapján) azt mondhatjuk, hogy nem: az Internet Explorer másfél hétig kijavítatlan (és szintén indexet is megjárt) karácsony előtti sebezhetősége sokkal komolyabb támadási vektort jelent.