La Llama(Flame) de malware espía utiliza falsos certificados de Microsoft para infectar los ordenadores nuevos, un prominente experto en seguridad cibernética, dice. La ciencia se necesita para extraer el truco requiere probablemente algunos de los mejores conocimientos en el mundo de la criptografía.
El virus, que se extendió por todo Oriente Medio y, en particular Irán, puede enmascararse como parches legítimos distribuidos a través de una actualización de Windows, informa Marc Stevens de la Wiskunde Centrum y Informatica (CWI) en Amsterdam.
Lo hace mediante la presentación de un certificado falso digital, que indica que el malware es un código procedente de un productor de confianza, que parece haber sido emitido por la propia Microsoft.
La obtención de dicho certificado fraudulento requiere una llamada elegida-prefijo ataque colisión. Es un ataque apuntando a un algoritmo de seguridad cibernética específico denominado Message-Digest Algorithm 5, o MD5. MD5, básicamente, tiene una pieza de información y la convierte en una huella digital única se llama hash.
La característica importante de un hash es que no se puede utilizar para ingeniería inversa los datos originales, así, por ejemplo, una base de datos de hashes de contraseñas no pueden ser utilizados para establecer las contraseñas, pero se puede utilizar para que coincida con una contraseña para su hash y verificarlo. Las funciones hash son vitales para el comercio en línea, distribución de archivos seguros y otras partes importantes de la infraestructura cibernética.
Una parte maligna que quiere encontrar una manera de encontrar los pares de datos, lo que generaría hashes idénticos, llamados de una colisión. Un criminal con colisiones de hash puede interceptar la comunicación y actuar como un hombre de mediana, de espiar en el intercambio o la modificación de que lo que le plazca.
Para MD5, que se desarrolló en la década de 1990, una manera de realizar el ataque fue teorizado en 2004, aunque se consideró poco práctica por la comunidad cibernética. En 2008, Stevens y su grupo se las arregló para mejorar el método y la construcción de una Autoridad de Certificación pícaro, un cuerpo con autoridad para emitir certificados digitales.
La vulnerabilidad demostrada de MD5 impulsado a los gobiernos nacionales y los líderes de TI para acelerar el cambio hacia mejores y más seguras las funciones de hash. En junio de 2009, Stevens hizo público exactamente cómo él y su equipo realizaron el ataque, asegurando que esto no pondría en peligro la Internet.
Pero al parecer Microsoft no rechazar D5 firmas basadas en su Servicio de Licencias de Terminal Server (TSLS), y los autores del virus de la Llama hecho uso de esta, la ejecución de un ataque de colisión en febrero de 2010, Stevens especula en un comunicado . El resultado de este ataque era un certificado de firma de código que parece ser de Microsoft que puede ser utilizado para firmar las actualizaciones de Windows. Stevens descubrió que el ataque se llevó a cabo mediante software a la medida su equipo crearon la criptografía para sus investigaciones.
Más interesante aún, el ataque de colisión de llama es una variante completamente nueva y desconocida, no la de Stevens que se utiliza. Agrega que el método utilizado por los programadores de la llama ya estaba en desarrollo antes de junio de 2009, cuando él y sus colegas revelaron su punto de vista sobre el problema. "Esto nos ha llevado a la conclusión de que el diseño de la llama se basa en parte en el criptoanálisis de clase mundial, " dice Stevens.
El virus de la llama fue utilizada por atacantes no identificados para una operación de espionaje masiva en el Medio Oriente, que se prolongó durante al menos dos años. Fue reportada por primera vez a finales de mayo. Algunos expertos en seguridad cibernética considera que el nivel de sofisticación evidente en el malware muestra Estado-nación a nivel de respaldo que se necesitaba para crearlo.
Viejo Condor
RT.com (SIC)