Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
Privata nycklar vs Google » Kryptoblog

Privata nycklar vs Google

March 12th, 2006 by Joachim Strömbergson Leave a reply »

Assymetriska krypton är på många sätt fantastiska skapelser – matematiska konstruktioner som går att dela upp på ett sådant sätt att en publik operator, en nyckel kan användas för att kryptera ett meddelande och en andra, privat operator (nyckel) kan användas för att dekryptera samma meddelande.

Att denna typ av konstruktioner finns, att mänsklig fantasi är stor nog att formulera idén om en sådan konstruktion samt mänsklig intelligens är så beskaffad att man kunnat hitta/skapa praktiska implementationer av denna konstruktion är ytterst imponerande. Men konstruktionens säkerhet hänger på dom två operatorerna, mer specifikt att den privata operatorn verkligen är privat. Och här verkar både fantasi och intelligens fallera.

OpenSSL är ett av nyckelverktygen för att säkra upp e-handel och annan kommunikation på Internet. En viktig del av OpenSSL är den assymetriska delen (som används bland annat för utbyte av nyckel för snabbare symmetriska krypton). För OpenSSL lagras de privata nycklarna i en fil i det lokala filsystemet. Att försöka knäcka OpenSSLs assymetriska system är något som militärer roar sig med och föremål för distribuerade tävlingar där tusentals datorer arbetar tillsammans. Men skulle det gå att komma över filen med privata nycklar behövs inte denna massiva mängd datorresurser – säkerheten fallerar.
Filändelsen för OpenSSLs fil med privata nycklar är pex. Genom att ange filändelse samt lägga till private i en sökning på Google (öppnas i nytt fönster) visar det sig skrämmande nog gå att hitta många, närmare bestämt (vid senaste sökning) drygt 500 filer pex-filer med privata nycklar.

Sökningen skall alltså se ut så här:

filetype:pem pem intext:private

Detta är alltså inte en bugg i OpenSSL. Nej, problemet här är att man, dvs systemoperatörer, användare osv inte ser till att skydda det som måste hållas privat för att säkerheten i systemet inte skall upphävas. Google (och andra sökmotorer) hittar in på på många fler ställen än de flesta ens kan fantisera om.

Denna typ av Google-hack blir allt vanligare och har för den som utför attacken flera fördelar. Det krävs inga stora resurser för att hitta det man vill komma åt, dom står Google för. Vidare lämnas vesäntligen inga spår – den dator som drabbas av attacken ser bara att Googles webbspindel har varit på besök. På webbplatser som J0hnny.ihackstuff.com finns det här och flera liknande hemska Google hacks.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Advertisement

Leave a Reply

You must be logged in to post a comment.