Windows 2000 lek onthult vertrouwelijke informatie
Israëlische onderzoekers hebben een beveiligingslek in Windows 2000 aangetroffen waardoor een aanvaller vertrouwelijke e-mails, wachtwoorden en creditcardgegevens kan achterhalen. Het probleem zit hem in de de pseudo-random number generator (PRNG) die Windows gebruikt. De output van de generator is volgens onderzoekers cruciaal voor de veiligheid van de meeste applicaties die op Windows draaien. Toch is het exacte algoritme nooit gepubliceerd.
Leo Dorrendorf, Zvi Gutterman en Benny Pinkas onderzochten de binaire code van Windows 2000, nog steeds het populairste besturingssysteem na Windows XP. Ze reconstrueerden het algoritme dat de PRNG gebruikt, en vonden een manier om er misbruik van te maken. Het is namelijk mogelijk om alle eerder gegenereerde waardes, zoals SSL sleutels, te achterhalen. Hierdoor kan een aanvaller ook informatie van voor dat het systeem gehackt was terugvinden. "Deze aanval is gevaarlijker en efficiënter dan welke bekende aanval ook, waarbij een aanvaller alleen de SSL sleutels kan achterhalen als hij toegang tot de machine heeft op het moment dat men de sleutels gebruikt."
De aanval is volgens de onderzoekers niet eenvoudig, maar wel voor een aanvaller uit te voeren. "Ik denk dat mensen bij grote ondernemingen of mensen die vertrouwelijke gegevens beheren zich zorgen moeten maken." De kwetsbaarheid is alleen in Windows 2000 onderzocht, maar mogelijk zouden ook Vista en XP kwetsbaar zijn.
kwetsbaar zijn, maar men suggereert meer dan men kan waarmaken.
2000 machine dwz er moet een programma kunnen worden gestart
om de 'internal state' van de random generator te achterhalen.
Met SSL sleutels bedoelen de auteurs waarschijnlijk de SSL
'sessie keys' en niet de 'private keys'.
het systeem hebt en een waarde van de RPNG kan achterhalen,
dan kun je de laatste 128k aan waardes terughalen. Dan hoef
je alleen nog maar uit te vinden welke van die waardes voor
welke key gebruikt is, en dan kun je de key reconstrueren.
Succes!
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.