По сообщению The Register, исследователю-безопаснику Нэту Макхью (Nat McHugh) удалось воспроизвести атаку коллизией хеша, использованную хакерами для маскировки зловреда под Microsoft Windows Update. Это окончательно свидетельствует о ненадежности хеш-функции MD5.

Исследователь создал два изображения разных рок-музыкантов, Джеймса Брауна и Барри Вайта, с одинаковым хешем MD5. «Это просто две картинки, найденные в Интернете… Фактически я могу выбрать любое изображение или, конечно же, произвольные данные и создать на их основе коллизию», — отметил Макхью.

Вычисление дополнительных данных, необходимых для создания коллизии между двумя разнородными файлами, заняло несколько часов обычной облачной системы, что стоило Макхью меньше $1.

Попытки подбора полного набора данных для создания криптографических хеш-коллизий бессмысленны для любого, у кого нет доступа к суперкомпьютеру. Макхью удалось добавить к концам файлов дополнительные данные так, чтобы модифицированные файлы имели одно и то же значение хеша. Коллизии с выбранным префиксом для MD5 впервые были продемонстрированы еще в 2007 году.

В своем блоге Макхью объясняет, как ему удалось разработать набор данных для добавления к файлам: «Атака коллизией с выбранным префиксом работает через многократное добавление «почти коллизийных» блоков, которые все больше приближают значение хеша к целевому значению, пока они не станут идентичны». Такая атака значительно менее затратна, чем атака полным подбором данных.

Макхью заключил, что его опыт доказывает безнадежную криптографическую слабость и устарелость алгоритма MD5: «MD5 конкретно сломан. Хотя эти два изображения не демонстрируют возможности восстановления изначальных изображений, я не могу придумать ни единого случая, когда использование сломанной криптографической хеш-функции было бы оправданно. Это была атака коллизией с выбранным префиксом, похожая на ту, которая была использована для изготовления подложного SSL-сертификата, примененного для подписания зловреда Flame от имени Microsoft, для его маскировки под Windows Update».

Flame — хитроумный зловред, обнаруженный в 2012 году, но действовавший предположительно с 2010 года. Он использовался для кибершпионских атак против стран Среднего Востока. Большая часть зараженных систем располагалась в Иране.

Категории: Вредоносные программы