Kuriozita: OCR jako slabé místo

Pavel Houser , 02. listopad 2016 14:00 0 komentářů

Bezpečnostní výzkumníci Florian Heinz a Martin Kluge uvedli, že služby Comodo obsahovaly nezvyklou „bezpečnostní zranitelnost“, která vyplývala z použití OCR softwaru. V důsledku toho šlo získat https certifikát k doméně, kterou žadatel nevlastnil.

Původní informace se objevila na The Register. Tak tedy, jak příslušné manipulace týkající se domén mohou probíhat? Člověka napadne, že např. firma X si zaregistruje doménu Goog1e, pak zadá žádost o certifikát ke Google; teď musí software vydavatele být nastaven tak, že nehledá Google, ale vypíše si domény ve vlastnictví firmy X, tam najde Goog1e a ten OCR software vyhodnotí jako Google; tenhle scénář ovšem nedává úplně smysl, proč by se zde vůbec mělo používat OCR?

Pátrejme tedy dál, jak to bylo. Vše má souviset s ochranou e-mailových adres před roboty. V podobě obrázku se při výpisu z WHOIS generuje kontaktní e-mailová adresa vlastníka domény. Tu pak rozpoznával OCR software. Autoři proof-of-concept triku prostě využili toho, že adresa domain.bill...@a1telekom.at byla OCR softwarem rozpoznána jako domain.bill...@altelekom.at. Sem pak přišel příslušný certifikát, respektive „potvrzovací“ e-mail s odkazem, na který bylo třeba kliknout. Firma Comodo již používání OCR pozastavila (či změnila) a přezkoumává certifikáty, které byly vydány v posledních měsících.

Samo o sobě to nepůsobí jako zvláštní bezpečnostní trhlina (jak lze zneužít? man-in-the-middle, nebo bezprostředněji?), ale současně jde určitě o chytrý a celkem kuriózní trik. V jakých jiných kontextech lze s ochranou proti robotům takto pracovat a z ochrany udělat bezpečnostní díru? A nakonec, jak to funguje v doméně CZ?

„V doméně CZ nepoužíváme obrazovky Whois, takže tento problém nastat nemůže. Z obecného pohledu je určitě nešťastné vůbec spoléhat na data z Whois. Z pohledu tzv. domain validated certifikátů, které spoléhají jen na online data o vlastníkovi domény, je aktuálně nejlepším řešením pro uživatele používat bezplatnou certifikační autoritu Let's Encrypt,“ uvádí Jaromír Talíř, technický partner sdružení CZ.NIC.


Komentáře

RSS 

Komentujeme

Kradená auta: Další úkol pro bezpečnostní kamery

Pavel Houser , 16. srpen 2017 06:30
Pavel Houser

Bezpečnostní kamery, které hledají ukradená vozidla nebo mají za úkol vozidlo jednoznačně identifiko...

Více






Kalendář

24. 08. Webinář Synology - DSM 6.1 - Virtual Machine Manager
27. 08.

31. 08.
VMworld 2017
01. 09.

06. 09.
IFA 2017
RSS 

Zprávičky

Lenovo ve ztrátě, k zisku se má vrátit do 2 let

ČTK , 19. srpen 2017 10:12

Firma nevylučuje zdražení svých výrobků, aby udržela ziskové marže....

Více 0 komentářů

Generální ředitel Infosysu nečekaně rezignoval

ČTK , 19. srpen 2017 09:30

Od doby, co Sikka nastoupil do čela firmy, akcie stouply o více než pětinu....

Více 0 komentářů

Irsko odmítá požadavek EU, aby od Applu zpětně vybralo daně

ČTK , 18. srpen 2017 13:00

Jednání Applu údajně nebylo v rozporu s legislativou Irska ani Evropské unie....

Více 5 komentářů

Starší zprávičky

Ericsson zvažuje, že propustí až 25 000 zaměstnanců

ČTK , 18. srpen 2017 09:00

Švédská firma se v poslední době potýká se slábnoucí poptávkou ze strany telekomunikačních operátorů...

Více 0 komentářů

Alibaba téměř zdvojnásobila zisk, růst tržeb překonal odhady

ČTK , 18. srpen 2017 08:00

Alibaba, která patří k nejhodnotnějším firmám v Asii, profituje z rostoucích on-line nákupů čínských...

Více 0 komentářů

Telekomunikační úřad se chystá regulovat mobilní trh

ČTK , 17. srpen 2017 14:34

Přetrvává velký rozdíl mezi vyššími cenami pro domácnosti a nižšími cenami pro firmy, který dosahuje...

Více 0 komentářů

ShadowPad: malware v produktech NetSarang pro správu serverů

Pavel Houser , 17. srpen 2017 13:43

Útočníci schovali backdoor ShadowPad v softwaru využívaném stovkami světových společností včetně ban...

Více 0 komentářů