I punti deboli di SHA-1 e MD5 sono mai stati usati con successo in un attacco?

18

Praticamente tutte le guide, istruzioni e riferimenti per le password e l'hashing hanno un avvertimento in lettere grandi o in grassetto che indicano qualcosa del tipo:

SHA-1 and MD5 are NOT secure and should not be used.

Giusto, non è molto difficile usare SHA-256 o qualcos'altro. Ma ci sono stati esempi di queste debolezze effettivamente utilizzate con successo in un attacco? Quanto sono più deboli queste vulnerabilità a fare gli algoritmi?

    
posta leylandski 30.11.2015 - 16:04
fonte

4 risposte

25

Non sono a conoscenza di alcun attacco noto pubblicamente che utilizza collisione in SHA-1, ma le collisioni MD5 sono state probabilmente utilizzate già nel 2010 all'interno degli attacchi. Nel 2012 è stato scoperto che un malware dall'attacco Flame aveva una firma valida di Microsoft, che era possibile a causa di un attacco di collisione MD5. Vedi link per ulteriori dettagli.

Come usare MD5 o SHA-1 con password: hash semplice qualche password banale con MD5 o SHA-1 e poi cerca l'hash con google. Esempio:

 password:   "secret"
 md5 (hex):  "5ebe2294ecd0e0f08eab7690d2a6ee69"
 sha1 (hex): "e5e9fa1ba31ecd1ae84f75caaa474f3a663f05f4"

Il primo hit su google per l'hash MD5 ti presenta la password, così come il primo hit durante la ricerca per hash SHA1 . Così le password tipiche possono essere facilmente rilevate fino a quando l'hash non è salato.

A parte questo, anche SHA-256 è una cattiva scelta per le password. Questo tipo di algoritmi di hash sono progettati per essere veloci, il che rende solo più facile la forzatura delle password. Per maggiori dettagli su questo argomento vedi Quanto sono sicuri sha256 + hash salt per l'archiviazione delle password .

    
risposta data 30.11.2015 - 16:18
fonte
13

In particolare, MD5 è considerato cracked per un ottimo motivo :

The MD5 hash collision attack that hijacked the Windows Update system back in 2012 was replicated with just 65 US cents worth of cloud computing fees

Ci sono volute circa 10 ore di tempo di CPU per fare l'attacco. Questo particolare attacco ha utilizzato un attacco prefisso prescelto, il che significa che è possibile formattare i dati per impedire che l'attacco funzioni, ma il solo fatto che ciò possa essere fatto dichiara che la sicurezza del proprio hashing non è più presente nell'algoritmo di hashing, ma in il formato dei dati è hashing (che è un posto molto povero per mettere le garanzie di sicurezza).

    
risposta data 30.11.2015 - 17:52
fonte
1

Il malware di fiamma ha utilizzato una firma di aggiornamento Microsoft falsificata che utilizzava MD5. Il server in questione era stato trascurato quando si trattava di aggiornamenti di sicurezza e patch e i creatori di Flame (noto anche come sKyWIper) hanno sfruttato questo malware per porre i propri server di comando e controllo come legittimi server di aggiornamento Microsoft. Ha quindi infettato i computer con i suoi moduli, uno dei quali è stato indicato come Flame nel codice sorgente, da cui il nome. Il collegamento al rapporto del laboratorio di Crysys è qui.

    
risposta data 25.02.2016 - 17:10
fonte
-1

SHA-1 è stato assolutamente sfruttato con successo in attacchi noti. Dai un'occhiata a questo eccellente post sul sito Web di Whitehatsec che sfrutta l'utilizzo di SHA-1 per le richieste di firma URL link .

Per quanto riguarda la memorizzazione delle password, posso dire per esperienza personale che è banale ritagliare gli hash SHA1 crypt linux dai dump LDAP / LDIF usando OCLHashcat. I benchmark attuali di una singola gpu AMD 5970 mettono brsforap nsldap ({SHA}) a 3418.0 M / se nsldaps ({SSHA}) a 3401.1 M / s, che ho usato per gli hash bruteforce di 8 caratteri password in ore usando lo standard maschere di password.

    
risposta data 01.12.2015 - 00:46
fonte

Leggi altre domande sui tag