Kuriozita: OCR jako slabé místo

Pavel Houser , 02. listopad 2016 14:00 0 komentářů

Bezpečnostní výzkumníci Florian Heinz a Martin Kluge uvedli, že služby Comodo obsahovaly nezvyklou „bezpečnostní zranitelnost“, která vyplývala z použití OCR softwaru. V důsledku toho šlo získat https certifikát k doméně, kterou žadatel nevlastnil.

Původní informace se objevila na The Register. Tak tedy, jak příslušné manipulace týkající se domén mohou probíhat? Člověka napadne, že např. firma X si zaregistruje doménu Goog1e, pak zadá žádost o certifikát ke Google; teď musí software vydavatele být nastaven tak, že nehledá Google, ale vypíše si domény ve vlastnictví firmy X, tam najde Goog1e a ten OCR software vyhodnotí jako Google; tenhle scénář ovšem nedává úplně smysl, proč by se zde vůbec mělo používat OCR?

Pátrejme tedy dál, jak to bylo. Vše má souviset s ochranou e-mailových adres před roboty. V podobě obrázku se při výpisu z WHOIS generuje kontaktní e-mailová adresa vlastníka domény. Tu pak rozpoznával OCR software. Autoři proof-of-concept triku prostě využili toho, že adresa domain.bill...@a1telekom.at byla OCR softwarem rozpoznána jako domain.bill...@altelekom.at. Sem pak přišel příslušný certifikát, respektive „potvrzovací“ e-mail s odkazem, na který bylo třeba kliknout. Firma Comodo již používání OCR pozastavila (či změnila) a přezkoumává certifikáty, které byly vydány v posledních měsících.

Samo o sobě to nepůsobí jako zvláštní bezpečnostní trhlina (jak lze zneužít? man-in-the-middle, nebo bezprostředněji?), ale současně jde určitě o chytrý a celkem kuriózní trik. V jakých jiných kontextech lze s ochranou proti robotům takto pracovat a z ochrany udělat bezpečnostní díru? A nakonec, jak to funguje v doméně CZ?

„V doméně CZ nepoužíváme obrazovky Whois, takže tento problém nastat nemůže. Z obecného pohledu je určitě nešťastné vůbec spoléhat na data z Whois. Z pohledu tzv. domain validated certifikátů, které spoléhají jen na online data o vlastníkovi domény, je aktuálně nejlepším řešením pro uživatele používat bezplatnou certifikační autoritu Let's Encrypt,“ uvádí Jaromír Talíř, technický partner sdružení CZ.NIC.


Komentáře


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
18. 02. WordCamp Praha 2017
RSS 

Zprávičky

Za vznícení mobilů Samsungu mohly baterie, firma odloží Galaxy S8

ČTK , 23. leden 2017 12:00

Za případy vznícení chytrých telefonů Galaxy Note 7 jihokorejské společnosti Samsung Electronics stá...

Více 0 komentářů

Foxconn zvažuje velkou investici do továrny v USA

ČTK , 23. leden 2017 08:29

Tchajwanská společnost Foxconn zvažuje, že investuje přes sedm miliard dolarů (zhruba 177 miliard Kč...

Více 0 komentářů

ČTÚ pohrozil O2 a Vodafonu odebráním licencí na LTE kvůli cenám

ČTK , 22. leden 2017 14:00

Český telekomunikační úřad (ČTÚ) znovu vyzval operátory O2 a Vodafone, aby do měsíce snížili velkoob...

Více 0 komentářů

Starší zprávičky

Menší e-shopy kvůli EET zruší platbu kartou

ČTK , 22. leden 2017 07:00

Řada menších tuzemských e-shopů od března, kdy pro ně začne platit elektronická evidence tržeb (EET...

Více 2 komentářů

Na další rozvoj ekonomického systému bude Praha vypisovat tendry

ČTK , 21. leden 2017 14:00

Na další rozvoj ekonomického systému Ginis bude Praha vypisovat jednotlivé veřejné zakázky. Pražští ...

Více 0 komentářů

Tržby IBM klesaly i ve 4.čtvrtletí loňského roku, akciím se daří

ČTK , 21. leden 2017 07:00

Americká počítačová společnost International Business Machines (IBM) zaznamenala další, již devatená...

Více 0 komentářů

Facebook postaví v Dánsku datové centrum

ČTK , 20. leden 2017 14:00

Americký provozovatel sociální sítě Facebook postaví v dánském městě Odense nové datové centrum, kte...

Více 0 komentářů