Американский математик Зак Харрис сумел непреднамеренно спасти от мошенничества тысячи людей, рассказывает Wired. Все началось со случайного письма, полученного Харрисом от рекрутингового отделения Google. Ему предлагали обсудить возможность работы в Google, которая Харрису была малоинтересна, но его внимание привлекла чрезвычайно слабая цифровая подпись письма (DKIM, DomainKeys Identified Mail) – цифровой сертификат, с помощью проверки DNS подтверждающий, что письмо действительно пришло с домена, заявленного в электронном адресе отправителя.
Текущие стандарты DKIM предписывают, чтобы все ключи, используемые для идентификации, были как минимум 1024-битные. Рекрутер Google же, предлагая в письме место программиста, отправил его с 512-битным ключом. Харрис подумал, что это является своего рода тестом, который ему предлагается пройти, взломал ключ и отправил поддельное письмо якобы с домена google.com Ларри Пейджу, подписавшись Сергеем Брином.
В Google шутку оценили, и спустя какое-то время Харрис обнаружил, что компания сменила свои электронные подписи на 2048-битные, взломать которые практически невозможно. Добрый математик, не разглашая найденную им уязвимость, предупредил о ней также компании eBay, Yahoo, Twitter и Amazon, которые тоже использовали 512-битные ключи, и PayPal, LinkedIn, US Bank и HSBC, пользовавшиеся 768-битными. Если бы информация об уязвимости попала к злоумышленникам, это грозило бы перечисленным компаниям многомиллионными убытками. Харрис де-факто не является специалистом по кибербезопасности, и к открытию его привело чистое любопытство.
Slon.ru
Математик хохмы ради взломал цифровую подпись Google
26 октября 2012 08:31