Bug Online

Flame, crv koji je zarazio iranska, ali i brojna druga računala, sigurno je nastao u dobro sponzoriranom (državnom) okruženju i na njemu su radili vrhunski kriptografi i matematičari, tvrde Marc Stevens i B.M.M. de Weger u poruci koju su poslali na kriptografski forum. Radi se o revolucionarno novom pristupu napadu koji koristi „MD5 chosen-prefix collision“ koji su ova dva kriptografa sama detaljno teorijski razradili.

Još 2008. je njihov teoretski rad iskorišten da se uz pomoć 200 Playstationa 3 nađu kolizije u MD5 algoritmu i iskorištavanjem slabosti u načinu na koji rade SSL certifikati uspjelo se proizvesti izmišljenog davatelja certifikata čije certifikate prihvaćaju svi veći preglednici i svi operativni sustavi.

Ipak, radilo se tek o akademskom pokušaju koji nije izašao van testnog laboratorija, a Flame, koji je tek nedavno otkriven iako cirkulira već dvije godine, je prvi primjer MD5 kolizijskog napada koji se koristi u stvarnom svijetu.

Crv koristi tehniku lažnog sigurnosnog certificiranja malicioznog koda koji izgleda kao dolazi od Microsofta. Korištenjem lažnih servera na mrežama na kojima su se nalazila računala zaražena ovim crvom i certificiranjem modula unutar Flamea, ovaj je program uspio iskoristiti Microsoftov sustav automatskog ažuriranja koji inače distribuira zakrpe na stotine milijuna računala diljem svijeta.

Iako se kolizijski napad bazira na ranijoj ideji koju su razrađivali Stevens i de Weger, donosi posve nove kriptografske ideje koje nisu tek implementacija onih ranije predstavljenih u njihovim i drugim radovima. Umjesto toga, radi se o novim spoznajama implementiranim u kod prije ikakve objave u stručnim časopisima.

Kaspersky Lab, CrySyS, Symantec i mnogi drugi kriptoanalitičari i sigurnosni eksperti uvjereni su da se radi o državno sponzoriranom crvu, a pretpostavke su da dolazi iz američke NSA i izraelske vojne obavještajne službe.