Kuriozita: OCR jako slabé místo

Pavel Houser , 02. listopad 2016 14:00 0 komentářů

Bezpečnostní výzkumníci Florian Heinz a Martin Kluge uvedli, že služby Comodo obsahovaly nezvyklou „bezpečnostní zranitelnost“, která vyplývala z použití OCR softwaru. V důsledku toho šlo získat https certifikát k doméně, kterou žadatel nevlastnil.

Původní informace se objevila na The Register. Tak tedy, jak příslušné manipulace týkající se domén mohou probíhat? Člověka napadne, že např. firma X si zaregistruje doménu Goog1e, pak zadá žádost o certifikát ke Google; teď musí software vydavatele být nastaven tak, že nehledá Google, ale vypíše si domény ve vlastnictví firmy X, tam najde Goog1e a ten OCR software vyhodnotí jako Google; tenhle scénář ovšem nedává úplně smysl, proč by se zde vůbec mělo používat OCR?

Pátrejme tedy dál, jak to bylo. Vše má souviset s ochranou e-mailových adres před roboty. V podobě obrázku se při výpisu z WHOIS generuje kontaktní e-mailová adresa vlastníka domény. Tu pak rozpoznával OCR software. Autoři proof-of-concept triku prostě využili toho, že adresa domain.bill...@a1telekom.at byla OCR softwarem rozpoznána jako domain.bill...@altelekom.at. Sem pak přišel příslušný certifikát, respektive „potvrzovací“ e-mail s odkazem, na který bylo třeba kliknout. Firma Comodo již používání OCR pozastavila (či změnila) a přezkoumává certifikáty, které byly vydány v posledních měsících.

Samo o sobě to nepůsobí jako zvláštní bezpečnostní trhlina (jak lze zneužít? man-in-the-middle, nebo bezprostředněji?), ale současně jde určitě o chytrý a celkem kuriózní trik. V jakých jiných kontextech lze s ochranou proti robotům takto pracovat a z ochrany udělat bezpečnostní díru? A nakonec, jak to funguje v doméně CZ?

„V doméně CZ nepoužíváme obrazovky Whois, takže tento problém nastat nemůže. Z obecného pohledu je určitě nešťastné vůbec spoléhat na data z Whois. Z pohledu tzv. domain validated certifikátů, které spoléhají jen na online data o vlastníkovi domény, je aktuálně nejlepším řešením pro uživatele používat bezplatnou certifikační autoritu Let's Encrypt,“ uvádí Jaromír Talíř, technický partner sdružení CZ.NIC.


Komentáře

RSS 

Komentujeme

V datových centrech už nejde o Windows?

Pavel Houser , 22. březen 2017 12:47
Pavel Houser

Trevor Pott si na The Register pokládá otázku o budoucnosti serverových Windows na platformě ARM. ...

Více






RSS 

Zprávičky

YouTube dál ztrácí inzerenty kvůli obavám z kontroverzních videí

ČTK , 26. březen 2017 09:00

Internetový portál pro sdílení videí YouTube dál ztrácí inzerenty kvůli obavám, že jejich reklamy bu...

Více 0 komentářů

Čínská ZTE přiznala nelegální zasílání zboží z USA do Íránu

ČTK , 25. březen 2017 09:00

Čínský výrobce telekomunikačního zařízení ZTE Corp. přiznal před soudem v Texasu vinu, že nelegálně ...

Více 1 komentářů

Bosch a IBM začaly spolupracovat na IoT pro průmysl

Pavel Houser , 24. březen 2017 13:08

Výrobci aut mohou nyní plánovat a organizovat aktualizaci softwaru u milionů vozů....

Více 0 komentářů

Starší zprávičky

Apple čeká na Novém Zélandu vyšetřování kvůli daním

ČTK , 24. březen 2017 13:00

Americkou společnost Apple čeká na Novém Zélandu vyšetřování, navzdory miliardovému obratu tam totiž...

Více 0 komentářů

Huawei a SUSE spolupracují na platformě pro kritické úlohy

Pavel Houser , 24. březen 2017 11:42

SUSE Linux Enterprise Server jako preferovaný standardní OS pro KunLu umožňuje výměnu procesorů a pa...

Více 0 komentářů

Novela zavádí lepší užití informačních systémů veřejné správy

ČTK , 24. březen 2017 08:00

Zákon má mj. zabránit duplicitě informačních systémů a plýtvání penězi při jejich nákupu....

Více 0 komentářů

Workplace Hub pro optimalizaci systémů i procesů

Pavel Houser , 23. březen 2017 16:09

Konica Minolta v partnerství se společnostmi Microsoft, HPE, Sophos, Canonical a BrainTribe přichází...

Více 0 komentářů