Kuriozita: OCR jako slabé místo

Pavel Houser , 02. listopad 2016 14:00 0 komentářů

Bezpečnostní výzkumníci Florian Heinz a Martin Kluge uvedli, že služby Comodo obsahovaly nezvyklou „bezpečnostní zranitelnost“, která vyplývala z použití OCR softwaru. V důsledku toho šlo získat https certifikát k doméně, kterou žadatel nevlastnil.

Původní informace se objevila na The Register. Tak tedy, jak příslušné manipulace týkající se domén mohou probíhat? Člověka napadne, že např. firma X si zaregistruje doménu Goog1e, pak zadá žádost o certifikát ke Google; teď musí software vydavatele být nastaven tak, že nehledá Google, ale vypíše si domény ve vlastnictví firmy X, tam najde Goog1e a ten OCR software vyhodnotí jako Google; tenhle scénář ovšem nedává úplně smysl, proč by se zde vůbec mělo používat OCR?

Pátrejme tedy dál, jak to bylo. Vše má souviset s ochranou e-mailových adres před roboty. V podobě obrázku se při výpisu z WHOIS generuje kontaktní e-mailová adresa vlastníka domény. Tu pak rozpoznával OCR software. Autoři proof-of-concept triku prostě využili toho, že adresa domain.bill...@a1telekom.at byla OCR softwarem rozpoznána jako domain.bill...@altelekom.at. Sem pak přišel příslušný certifikát, respektive „potvrzovací“ e-mail s odkazem, na který bylo třeba kliknout. Firma Comodo již používání OCR pozastavila (či změnila) a přezkoumává certifikáty, které byly vydány v posledních měsících.

Samo o sobě to nepůsobí jako zvláštní bezpečnostní trhlina (jak lze zneužít? man-in-the-middle, nebo bezprostředněji?), ale současně jde určitě o chytrý a celkem kuriózní trik. V jakých jiných kontextech lze s ochranou proti robotům takto pracovat a z ochrany udělat bezpečnostní díru? A nakonec, jak to funguje v doméně CZ?

„V doméně CZ nepoužíváme obrazovky Whois, takže tento problém nastat nemůže. Z obecného pohledu je určitě nešťastné vůbec spoléhat na data z Whois. Z pohledu tzv. domain validated certifikátů, které spoléhají jen na online data o vlastníkovi domény, je aktuálně nejlepším řešením pro uživatele používat bezplatnou certifikační autoritu Let's Encrypt,“ uvádí Jaromír Talíř, technický partner sdružení CZ.NIC.


Komentáře

RSS 

Komentujeme

Agilita a devops, přepracování a vyhoření

Pavel Houser , 12. červenec 2018 12:30
Pavel Houser

Michael Cote na The Register upozorňuje na častý problém: nové „agilní“ metody vývoje, všechny příst...

Více







RSS 

Zprávičky

Akcie Netflixu oslabily, Amazon a Disney konkurují

ČTK , 17. červenec 2018 09:36

Počet nových předplatitelů a tržby internetové televize Netflix zaostaly ve druhém čtvrtletí za oček...

Více 0 komentářů

Velitelství vojenských kybernetických sil by mohlo sídlit v Brně

ČTK , 17. červenec 2018 08:00

Vytvoření velitelství je naplánováno na začátek ledna 2019, od července pak vznikne výkonná část jed...

Více 0 komentářů

50 let Intelu

ČTK , 16. červenec 2018 09:06

Intel nejprve produkoval paměti typu RAM, ale na počátku sedmdesátých let se firma rozhodla rozšířit...

Více 0 komentářů

Kalendář

04. 08.

09. 08.
Black Hat USA 2018
09. 08.

12. 08.
DEF CON 26
06. 09.

07. 09.
Humusoft Technical Computing Camp 2018

Starší zprávičky

USA zrušily zákaz dodávek amerického zboží čínské ZTE

ČTK , 14. červenec 2018 08:00

Firma již v rámci urovnání sporu s americkou vládou souhlasila, že zaplatí pokutu miliardy dolarů....

Více 0 komentářů

Trh PC ve 2. čtvrtletí rostl, tvrdí Gartner i IDC

ČTK , 13. červenec 2018 16:35

Růst odbytu táhla zejména poptávka firemního segmentu podpořená operačním systémem Windows 10....

Více 0 komentářů

Polovina kryptoměnových firem zanikne během čtyř měsíců od ICO

ČTK , 13. červenec 2018 10:09

Nejlepší strategií je prý mince v primární nabídce koupit a hned první den obchodů na otevřeném trhu...

Více 0 komentářů

Americká vláda se odvolává proti fúzi AT&T a Time Warner

ČTK , 13. červenec 2018 10:07

Ministerstvo se odvolalo proti červnovému rozhodnutí soudu, který spojení posvětil přes dřívější nám...

Více 0 komentářů