SSL Security Broken
Scrap
2009/01/01 22:48
A group of researchers from
Europe and U.S. have successfully implemented a theoretical attack that
subverts the security of the HTTPS protocol. The hackers generated a
rogue Certification Authority (CA) certificate that was trusted by all
major browsers and could be used to impersonate any secure website.
In a coordinated effort, security researchers from different organizations and institutes have demonstrated that virtually undetectable phishing attacks are possible, because some Certification Authorities still use the vulnerable MD5 hashing function. In fact, the research conducted by Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molnar, Dag Arne Osvik, and Benne de Weger has the specific purpose of convincing Certification Authorities to drop MD5 and move on to more secure algorithms, such as SHA-1, SHA-2, or the upcoming SHA-3.
SSL (Secure Sockets Layer) is a cryptographic protocol aimed at providing network security by preventing data eavesdropping, tampering, or forgery. HTTPS, Hypertext Transfer Protocol Secure, combines the regular HTTP protocol with SSL, or the newer Transport Layer Security (TLS). “The vulnerability we expose is not in the SSL protocol or the web servers and browsers that implement it, but in the Public Key Infrastructure,” the researchers say.
The way HTTPS works is by browsers adding root CA certificates supplied by Certification Authorities to a trusted zone. Such a root certificate is then used to verify and validate any website certificate signed by the corresponding Certification Authority. In theory, this means that an attacker would need to hijack a legit Certification Authority in order to sign digital certificates that will be accepted by the browsers. However, in practice, older hashing algorithms, including MD5, are exposed to collision attacks.
A collision attack implies that two different data chunks can result in the same hash. The researchers instrumented a successful collision attack with the help of 200 Playstation 3 gaming consoles stacked together, thus creating their own rogue Certification Authority certificate. As explained, the consoles were chosen because the operations were “very suited for the special SPU cores of the Cell Processor that the Sony PlayStation 3 uses.“
This certificate allows them to sign website certificates for any website on the Internet, certificates that will be trusted by the browsers. This has huge implications on Web security, and poses significant dangers to the financial and banking websites in particular. The experts demonstrated their attack today, at the 25th edition of the Chaos Communication Congress in Berlin, by simulating a transparent man-in-the-middle attack. “If an unsuspecting user is a victim of a man-in-the-middle attack using such a certificate, they will be assured that the connection is secure through all common security indicators: a 'https://' url in the address bar, a closed padlock and messages such as 'This certificate is OK' if they choose to inspect the certificate.”
In addition, combining this method with a DNS cache poisoning, an attacker could redirect users to a fake website simulating a legit one, without any possibility for them to tell the difference and meeting all the security requirements. Furthermore, while this technique has been put into practice only for attacks over HTTPS, it has the potential of being used to develop attacks for other services that make use of certificates and MD5-based SSL, such as e-mail, instant messaging, Internet faxing, or VoIP.
A more in-depth explanation has been posted on the project's website and a demo page using the rogue certificate has also been set up. The fake certificate is also available for download, but in order to prevent any potential misuses it is set to expire after August 2004. Therefore, in order for the browser to properly validate it when visiting the demo site, the system clock needs to be set back to August 2004.
출처 : http://news.softpedia.com
In a coordinated effort, security researchers from different organizations and institutes have demonstrated that virtually undetectable phishing attacks are possible, because some Certification Authorities still use the vulnerable MD5 hashing function. In fact, the research conducted by Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molnar, Dag Arne Osvik, and Benne de Weger has the specific purpose of convincing Certification Authorities to drop MD5 and move on to more secure algorithms, such as SHA-1, SHA-2, or the upcoming SHA-3.
SSL (Secure Sockets Layer) is a cryptographic protocol aimed at providing network security by preventing data eavesdropping, tampering, or forgery. HTTPS, Hypertext Transfer Protocol Secure, combines the regular HTTP protocol with SSL, or the newer Transport Layer Security (TLS). “The vulnerability we expose is not in the SSL protocol or the web servers and browsers that implement it, but in the Public Key Infrastructure,” the researchers say.
The way HTTPS works is by browsers adding root CA certificates supplied by Certification Authorities to a trusted zone. Such a root certificate is then used to verify and validate any website certificate signed by the corresponding Certification Authority. In theory, this means that an attacker would need to hijack a legit Certification Authority in order to sign digital certificates that will be accepted by the browsers. However, in practice, older hashing algorithms, including MD5, are exposed to collision attacks.
A collision attack implies that two different data chunks can result in the same hash. The researchers instrumented a successful collision attack with the help of 200 Playstation 3 gaming consoles stacked together, thus creating their own rogue Certification Authority certificate. As explained, the consoles were chosen because the operations were “very suited for the special SPU cores of the Cell Processor that the Sony PlayStation 3 uses.“
This certificate allows them to sign website certificates for any website on the Internet, certificates that will be trusted by the browsers. This has huge implications on Web security, and poses significant dangers to the financial and banking websites in particular. The experts demonstrated their attack today, at the 25th edition of the Chaos Communication Congress in Berlin, by simulating a transparent man-in-the-middle attack. “If an unsuspecting user is a victim of a man-in-the-middle attack using such a certificate, they will be assured that the connection is secure through all common security indicators: a 'https://' url in the address bar, a closed padlock and messages such as 'This certificate is OK' if they choose to inspect the certificate.”
In addition, combining this method with a DNS cache poisoning, an attacker could redirect users to a fake website simulating a legit one, without any possibility for them to tell the difference and meeting all the security requirements. Furthermore, while this technique has been put into practice only for attacks over HTTPS, it has the potential of being used to develop attacks for other services that make use of certificates and MD5-based SSL, such as e-mail, instant messaging, Internet faxing, or VoIP.
A more in-depth explanation has been posted on the project's website and a demo page using the rogue certificate has also been set up. The fake certificate is also available for download, but in order to prevent any potential misuses it is set to expire after August 2004. Therefore, in order for the browser to properly validate it when visiting the demo site, the system clock needs to be set back to August 2004.
- SSL Broken 이라는 충격적인(?) 기사입니다.
- 유럽 및 미국 researchers 들이 HTTPS에 대한 attack을 성공 시켰다고 합니다.
- 공격은 MD5의 취약성에 그 원인이 있구요.
- 보안 전문가들은 MD5 대신 더 강력한 SHA-1 , SHA-2 그리고 SHA-3(upcoming)를 권하네요.
- “The vulnerability we expose is not in the SSL protocol or the web servers and browsers that implement it, but in the Public Key Infrastructure,” the researchers say.
- 연구원이 위와 같이 말한대로,
- SSL에 대한 취약점이 아니라 PKI에 대한 취약점이라고 하는게 더 정확할 듯 싶습니다.
- man-in-the-middle attack에 취약해 질 뿐만 아니라, DNS 캐시 포이즈닝과 결합하여 새로운
- 피싱 공격 기법이 될 수도 있다고 하네요.
- 관련 이미지 SSL Broken
출처 : http://news.softpedia.com
Top Tech Certifications for 2009
Scrap
2008/11/17 08:43
Top Tech Certifications for 2009
about.com 이란 사이트의 Computer Certification 이란 토픽에서 발췌한 글입니다.
2009년 가장 유망한 혹은 가장 대우받을 자격증에 대해 CIsco의 네트워크 자격증 가운데
가장 상위의 자격증인 CCIE를 2009년 Top Certification으로 점치고 있네요.
합격률이 26%라고 하며 CCIE 자격증 취득시 연봉이 93,000 달러를 기대할 수 있다고 합니다.
굉장하네요^^
This handful of top tech computer certifications was chosen based on what I hear from all of you readers out there. The choices were made based on the profitability of the certifications, the relevance in today's market, and from the popularity of the certifications discussed here on About.com.
I have tried to include salary information for each of these certifications but the figures are just averages. Salary is always commensurate with experience and location.
CCIE
The CCIE always ends up on lists like these, and with good reason. With a pass rate of only 26% it is certainly the most difficult of all IT certifications. Once you place this on your resume, you know you have a truly impressive credential and can expect to earn an average salary of $93,000.
about.com 이란 사이트의 Computer Certification 이란 토픽에서 발췌한 글입니다.
2009년 가장 유망한 혹은 가장 대우받을 자격증에 대해 CIsco의 네트워크 자격증 가운데
가장 상위의 자격증인 CCIE를 2009년 Top Certification으로 점치고 있네요.
합격률이 26%라고 하며 CCIE 자격증 취득시 연봉이 93,000 달러를 기대할 수 있다고 합니다.
굉장하네요^^
국산 백신SW 성능 논란 재점화 되나
Scrap
2008/11/04 22:28
[지디넷코리아]한국 PC백신의 대명사 안철수연구소(안랩) V3가 다시 성능 논란에 휘말렸다. 소비자단체의 성능 테스트에서 세계 유수 백신과 비교해 실망스런 성적표를 받았다.
■ V3, 성능 순위 세계 10위권 밖?
소비자시민모임(소시모)은 11개국 단체와 공동으로 보안 제품 28개를 종합평가한 결과, 안랩 ‘V3 인터넷 시큐리티 2007 플래티넘’이 14위에 머물렀다고 4일 발표했다.
이같은 순위는 같은 토종 제품인 하우리 ‘바이로봇 데스크탑 5.5’(24위) 보다는 높았지만 ‘세계 선두’를 자부해 온 V3에게 뼈아픈 결과다.
편의성을 제외하고 악성코드 검출 ‘성능’만을 놓고 봐도 V3의 성적은 좋지 않다. 10위권에 들지 못했다. 반면, 라이벌인 시만텍과 , 비트디펜더는 각각 1, 2위를 차지하며 위력을 과시했고
카스퍼스키랩도 5위에 올랐다.
김재옥 소시모 회장은 “국내 보안기업들이 자기네 제품 성능을 제대로 평가 못하고 있다”며 “이번 테스트가 V3 성능 향상에 약이 되기 바란다”고 밝혔다.
■ 안랩 "소시모 평가 신뢰도 부족해"
그러나 안랩은 이번 결과에 대해 “결코 인정할 수 없다”는 입장이다. 평가의 신뢰도에 물음표를 달았다.
안랩 황미경 차장은 “소비자단체가 PC백신에 대해 얼마나 전문성을 갖췄기에 성능을 평가할 수 있느냐”며 “어떤 악성코드 샘플을 가져다 검사했는지 밝히지 않는 것도 조사 결과를 신뢰할 수 없는 이유”라고 말했다.
또 그는 “평가에 참가한 11개국 중 대부분이 네덜란드나 포르투갈 등 유럽국가여서 국내 보안상황을 반영하지 못한 듯하다”고 덧붙였다.
안랩은 이같은 내용을 담은 공문을 발표 전날 소시모에 정식 전달한 것으로 알려졌다.
안랩의 반박에 대해 소시모는 다시 맞불로 나섰다.
소시모의 문은숙 기획처장은 “전문 연구기관에 의뢰해 공정하게 나온 조사 결과”라며 “한국과 홍콩 등 아시아 측 전문가들도 대거 참여했기에 유럽 중심 조사라는 안랩의 주장은 틀린 것”이라고 반박했다.
하지만 소시모는 기자들의 질문에도 연구기관의 실체를 명확히 밝히지 않아 논란은 계속될 전망이다. 또 테스트에 사용한 악성코드 샘플에 대해서도 ‘세계적으로 알만한 것들’이라고만 언급해 객관성 문제가 지적되고 있다.
한 보안업계 전문가는 “어느 기관에서 어떤 기준으로 평가했는지도 자세히 밝히지 않고, 일방적으로 순위만 제시함에 따라 논란이 지속될 것”이라며 “PC 환경에 따라 백신 성능은 다르게 나타나므로 평가판을 다양하게 사용한 뒤 구매를 결정하는 것이 바람직하다”고 전했다.
=================================================================================
어떤 기관, 어떤 기준, 어떤 환경에서든 V3와 바이로봇이 10위권에 드는게 이상할 것 같다.
외국 백신에 비해 국내 백신의 수준은 누가 봐도 한 수 아래.
■ V3, 성능 순위 세계 10위권 밖?
 |
| ◇사진설명 : 안철수연구소 V3 IS 2007 플래티넘. |
이같은 순위는 같은 토종 제품인 하우리 ‘바이로봇 데스크탑 5.5’(24위) 보다는 높았지만 ‘세계 선두’를 자부해 온 V3에게 뼈아픈 결과다.
편의성을 제외하고 악성코드 검출 ‘성능’만을 놓고 봐도 V3의 성적은 좋지 않다. 10위권에 들지 못했다. 반면, 라이벌인 시만텍과 , 비트디펜더는 각각 1, 2위를 차지하며 위력을 과시했고
카스퍼스키랩도 5위에 올랐다.
김재옥 소시모 회장은 “국내 보안기업들이 자기네 제품 성능을 제대로 평가 못하고 있다”며 “이번 테스트가 V3 성능 향상에 약이 되기 바란다”고 밝혔다.
■ 안랩 "소시모 평가 신뢰도 부족해"
그러나 안랩은 이번 결과에 대해 “결코 인정할 수 없다”는 입장이다. 평가의 신뢰도에 물음표를 달았다.
안랩 황미경 차장은 “소비자단체가 PC백신에 대해 얼마나 전문성을 갖췄기에 성능을 평가할 수 있느냐”며 “어떤 악성코드 샘플을 가져다 검사했는지 밝히지 않는 것도 조사 결과를 신뢰할 수 없는 이유”라고 말했다.
또 그는 “평가에 참가한 11개국 중 대부분이 네덜란드나 포르투갈 등 유럽국가여서 국내 보안상황을 반영하지 못한 듯하다”고 덧붙였다.
안랩은 이같은 내용을 담은 공문을 발표 전날 소시모에 정식 전달한 것으로 알려졌다.
안랩의 반박에 대해 소시모는 다시 맞불로 나섰다.
소시모의 문은숙 기획처장은 “전문 연구기관에 의뢰해 공정하게 나온 조사 결과”라며 “한국과 홍콩 등 아시아 측 전문가들도 대거 참여했기에 유럽 중심 조사라는 안랩의 주장은 틀린 것”이라고 반박했다.
하지만 소시모는 기자들의 질문에도 연구기관의 실체를 명확히 밝히지 않아 논란은 계속될 전망이다. 또 테스트에 사용한 악성코드 샘플에 대해서도 ‘세계적으로 알만한 것들’이라고만 언급해 객관성 문제가 지적되고 있다.
한 보안업계 전문가는 “어느 기관에서 어떤 기준으로 평가했는지도 자세히 밝히지 않고, 일방적으로 순위만 제시함에 따라 논란이 지속될 것”이라며 “PC 환경에 따라 백신 성능은 다르게 나타나므로 평가판을 다양하게 사용한 뒤 구매를 결정하는 것이 바람직하다”고 전했다.
=================================================================================
어떤 기관, 어떤 기준, 어떤 환경에서든 V3와 바이로봇이 10위권에 드는게 이상할 것 같다.
외국 백신에 비해 국내 백신의 수준은 누가 봐도 한 수 아래.
