Hoe malware in torrentfiles geïnjecteerd kan worden
Vorige maand onthulde Google dat het erin was geslaagd het Secure Hash Algorithm te kraken. SHA-1 werd twintig jaar geleden ontwikkeld door de NSA en dient ter bescherming tegen vervalsingen van bestanden. De hashfunctie berekent een cryptografische hash aan de hand van een gegeven input. Deze reeks hexadecimale tekens is uniek voor het bestand waarvoor het werd gemaakt en kan gebruikt worden om na te kijken of er geen aanpassingen zijn toegebracht op de file. Dit zou immers resulteren in een andere hash.
Er is een tijd geweest dat zo’n 90 procent van het beveiligde internetverkeer gebruik maakte van SHA-1. Onder andere Google maant mensen al enige tijd aan om de overstap te maken naar nieuwere varianten van het hash-systeem, zoals SHA-256. Hierdoor maakt tegenwoordig bijna niemand nog gebruik van het algoritme. Door aan te tonen dat SHA-1 gekraakt kan worden, heeft Google het systeem vorige maand de finale doodsteek gegeven. Ook cybercriminelen zouden immers het systeem kunnen kraken, waarna ze mensen in de val kunnen lokken.
BitTorrent
Op biterrant.io kan je een praktisch voorbeeld terugvinden van de gevolgen die de SHA-1-kraak heeft. Op de website doet Tamas Jos uit de doeken hoe je gebruik kan maken van de kraak om malware te injecteren in torrentfiles. Deze bestanden worden massaal gedownload door mensen, waardoor een computervirus erg snel in omloop zou kunnen geraken.
BitTorrent steunt actief op SHA-1 om zijn bestanden te beveiligen. Het systeem verdeelt een file in gelijke delen, waarna van ieder gedeelte een SHA-1-hash wordt gemaakt. Deze hashes worden bewaard in de vertaalsleutel van de torrentfile. Wanneer je hierna probeert om het bestand te downloaden, zal gekeken worden in de datafile van het document waar je alle delen kan terugvinden. De bestanden worden van verschillende gebruikers – peers genaamd – gedownload, waarna de hashes voor ieder stuk worden nagekeken. Indien de hash van een deel niet klopt, zal het stuk bestand worden verwijderd en wordt er gezocht naar een andere peer waarvan je de data kan downloaden.
Botsing
Google heeft echter aangetoond dat het mogelijk is om een zogenaamde hashbotsing te genereren. Zo’n botsing komt voor wanneer twee bestanden toch dezelfde hash als resultaat geven. Hierdoor is het in theorie mogelijk voor hackers om een executabel te creëren die dezelfde hash heeft als een stuk van een torrentfile. Hierdoor verkrijg je twee verschillende executabels, waarbij één gedeelte verwisseld kan worden met andere code. Een hacker kan bijgevolg malware plaatsen in het uitwisselbare stuk van een torrentfile.
[related_article id=”212405″]Tamas Jos vertelt er in zijn bericht bij dat er voorlopig nog geen bewijs is dat cybercriminelen de techniek toepassen. Dat het mogelijk is om malware te injecteren in torrentfiles is echter reden genoeg om voorzichtig te zijn. Tamas Jos raadt je daarom aan om de hash van gedownloade bestanden steeds na te kijken. Ook is het verstandig om voortaan gebruik te maken van SHA-256, dat voorlopig nog niet is gekraakt.
