[Linuxtrent] Re: [Fwd: more MD5 colliding examples]
- From: Matteo Ianeselli <m.ianeselli@xxxxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Tue, 06 Dec 2005 15:33:59 +0100
Roberto Resoli ha scritto:
Non è proprio così, come diceva Flavio trovare dei dati "non innocui"
(cioè con un intento malevolo, e quindi con un senso compiuto) collidenti
con dei dati "innocui" assegnati senbra non ancora fattibile in tempo
ragionevole,
per quanto esistano esempi preoccupanti:
http://www.cits.rub.de/MD5Collisions/
A dire il vero pensavo a questo (è di un anno fa):
http://www.doxpara.com/md5_someday.pdf
Chiaro che l'intento malevolo c'è fin dall'inizio. L'idea è che qualcuno
metta in giro una versione dormiente di un certo software che poi può
essere sostituita con una versione non dormiente senza che tripwire o
simili se ne possano accorgere, complicando alquanto eventuali analisi
preventive
Mi par di capire che in ambiente Windows la cifratura degli eseguibili
(con descrittazione al volo) sia prassi abbastanza comune -- a
differenza del mondo Unix dove magari ti lasciano pure le tabelle dei
simboli...
Da un analisi della versione "dormiente" si troverebbe solo che a un
certo punto vien decrittato del codice eseguibile che però risulta in
dati privi di senso (cosa sospetta, ma non più di tanto in ragione di
quanto sopra).
+++
Chiaro che il tutto è riconducibile al solito "non eseguire binari
sconosciuti sul sistema", ma quella che viene messa in questione è
appunto la possibilità, male che vada, di arrivare a conoscere veramente
cosa fa un binario tramite reverse engineering. Forse servirà a
convincere la gente che i binari crittati sono da considerarsi sospetti
in generale.
--
| \ \ | ___|_ |_ | ianezz a casa sua... :-)
| _ \ | \ | _| / / Verba volant, scripta
_|_/ _\_| _|____|___|___| manent, data corrupted
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts: