Kuriozita: OCR jako slabé místo

Pavel Houser , 02. listopad 2016 14:00 0 komentářů

Bezpečnostní výzkumníci Florian Heinz a Martin Kluge uvedli, že služby Comodo obsahovaly nezvyklou „bezpečnostní zranitelnost“, která vyplývala z použití OCR softwaru. V důsledku toho šlo získat https certifikát k doméně, kterou žadatel nevlastnil.

Původní informace se objevila na The Register. Tak tedy, jak příslušné manipulace týkající se domén mohou probíhat? Člověka napadne, že např. firma X si zaregistruje doménu Goog1e, pak zadá žádost o certifikát ke Google; teď musí software vydavatele být nastaven tak, že nehledá Google, ale vypíše si domény ve vlastnictví firmy X, tam najde Goog1e a ten OCR software vyhodnotí jako Google; tenhle scénář ovšem nedává úplně smysl, proč by se zde vůbec mělo používat OCR?

Pátrejme tedy dál, jak to bylo. Vše má souviset s ochranou e-mailových adres před roboty. V podobě obrázku se při výpisu z WHOIS generuje kontaktní e-mailová adresa vlastníka domény. Tu pak rozpoznával OCR software. Autoři proof-of-concept triku prostě využili toho, že adresa domain.bill...@a1telekom.at byla OCR softwarem rozpoznána jako domain.bill...@altelekom.at. Sem pak přišel příslušný certifikát, respektive „potvrzovací“ e-mail s odkazem, na který bylo třeba kliknout. Firma Comodo již používání OCR pozastavila (či změnila) a přezkoumává certifikáty, které byly vydány v posledních měsících.

Samo o sobě to nepůsobí jako zvláštní bezpečnostní trhlina (jak lze zneužít? man-in-the-middle, nebo bezprostředněji?), ale současně jde určitě o chytrý a celkem kuriózní trik. V jakých jiných kontextech lze s ochranou proti robotům takto pracovat a z ochrany udělat bezpečnostní díru? A nakonec, jak to funguje v doméně CZ?

„V doméně CZ nepoužíváme obrazovky Whois, takže tento problém nastat nemůže. Z obecného pohledu je určitě nešťastné vůbec spoléhat na data z Whois. Z pohledu tzv. domain validated certifikátů, které spoléhají jen na online data o vlastníkovi domény, je aktuálně nejlepším řešením pro uživatele používat bezplatnou certifikační autoritu Let's Encrypt,“ uvádí Jaromír Talíř, technický partner sdružení CZ.NIC.


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

RSS 

Zprávičky

Za vzněcováním smartphonu iPhone 6 jsou vnější vlivy, tvrdí Apple

ČTK , 08. prosinec 2016 11:30

Firma Apple odmítla podezření čínských uživatelů svého chytrého telefonu iPhone 6, že za problémy s ...

Více 0 komentářů

Verizon prodá firmě Equinix datová centra za 3,6 miliardy USD

ČTK , 08. prosinec 2016 10:00

Největší americký mobilní operátor Verizon Communications prodá specializované společnosti Equinix 2...

Více 0 komentářů

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů

Starší zprávičky

Nejvyšší soud USA se postavil na stranu Samsungu proti Applu

ČTK , 07. prosinec 2016 12:30

Americký nejvyšší soud se v mnohaletém patentovém sporu mezi výrobci chytrých telefonů Apple a Samsu...

Více 0 komentářů

Evropská komise Microsoftu schválila převzetí sítě LinkedIn

ČTK , 07. prosinec 2016 10:30

Evropská komise schválila americké softwarové společnosti Microsoft záměr koupit za 26 miliard dolar...

Více 0 komentářů

Porozumění větám, konkurence pro Turingův test

Pavel Houser , 06. prosinec 2016 18:00

Konverzační roboti mají stále problémy pochopit věty, kde smysl nelze vyvodit ze samotné gramatické ...

Více 0 komentářů

Americká GoDaddy koupí evropský webhosting Host Europe

ČTK , 06. prosinec 2016 16:00

Americký registrátor internetových domén GoDaddy, který je ve svém oboru největší na světě, se dohod...

Více 0 komentářů