Da biste to učinili, iskoristili su bug digitalne potvrde koje koriste web stranice da bi dokazale da su oni koji tvrde da su. Iskorištavanjem poznatih nedostataka u algoritmu hashing algoritama MD5 koji se koriste za izradu nekih od tih certifikata, istraživači su uspjeli hakirati Verisignov ovlaštenje za RapidSSL.com i stvoriti lažne digitalne certifikate za bilo koju web stranicu na Internetu.

[Dodatno čitanje: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows]

Upotrebom farmi Playstation 3 strojeva, istraživači su izgradili "autorsko ovlaštenje" koja bi tada mogla izdati lažne certifikate kojima bi vjerovali gotovo svi preglednici. Playstation's Cell procesor je popularan kod prekidača kodova jer je osobito dobar u obavljanju kriptografskih funkcija.

Oni planiraju predstaviti svoje nalaze na hakerskoj konferenciji Chaos Communication Congressa, održanom u utorak u Berlinu, u razgovoru koji je već bio predmet nekih špekulacija u zajednici internetske sigurnosti.

Istraživački rad obavio je međunarodni tim koji je uključivao neovisne istražitelje Jacob Appelbaum i Alexander Sotirov, kao i računalni znanstvenici Centrum Wiskunde & Informatica, Ecole Polytechnique Federale de Lausanne, Tehnološkog sveučilišta u Eindhovenu i Kalifornijskog sveučilišta u Berkeleyu. Iako istraživači vjeruju da je malo vjerojatan napad u stvarnom svijetu korištenjem njihovih tehnika, kažu da njihovo djelo pokazuje da algoritam hashinga MD5 više ne bi trebao biti korišten od strane tvrtkama koje izdaju digitalne certifikate. "To je poziv svima koji još uvijek koriste MD5", rekao je David Molnar diplomski student Berkeley koji je radio na projektu.

Uz Rapidssl.com, TC TrustCenter AG, RSA Data Security, Thawte i Verisign.co. jp svi koriste MD5 za generiranje svojih certifikata, tvrde istraživači.

Pokretanje napada je teško, jer loši momci moraju najprije trgnuti žrtvu u posjete zlonamjernoj web stranici koja domaćini lažnog digitalnog certifikata. To se može učiniti, međutim, pomoću onoga što se naziva napadom od čovjeka u sredini. Prošlog kolovoza istraživač sigurnosti Dan Kaminsky pokazao je kako bi se glavni nedostatak u sustavu internetskih domena mogao upotrijebiti za pokretanje napada na čovjeka u sredini. Ovim najnovijim istraživanjima sada je lakše pokrenuti ovaj tip napada na web stranice koje su osigurane pomoću SSL (Secure Sockets Layer) enkripcije koja se oslanja na vjerodostojne digitalne certifikate.

"Možete koristiti kaminsky DNS bug u kombinaciji s ovim kako bi se došlo do gotovo nemjerljivog krađe identiteta ", rekao je Molnar." Ovo nije pita na nebu o onome što se može dogoditi ili što bi netko mogao učiniti, to je dokaz onoga što su zapravo učinili rezultati koji su to dokazali ", napisao je HD Moore, direktor istraživanja sigurnosti u tvrtki BreakingPoint Systems, na objavljivanju bloga na razgovoru.

Kriptografi su postupno otjerali sigurnost MD5 od 2004. godine kada je tim koji je vodio Shandong Sveučilište Wang Xiaoyun pokazao je nedostatke u algoritmu.

S obzirom na stanje istraživanja MD5, ovlaštene osobe trebale su se nadograditi na sigurnije algoritme poput SHA-1 (Secure Hash Algorithm-1) "godinama prije", rekao je Bruce Schneier, poznati stručnjak za kriptografiju i glavni časnik sigurnosne tehnologije s BT.

RapidSSL.com će prestati izdavati MD5 certifikate do kraja siječnja i gleda kako potaknuti svoje korisnike da se nakon toga presele u nove digitalne certifikate, rekao je Tim Callan, potpredsjednik marketinga proizvoda sa tvrtkom Verisign.

Ali prvo, tvrtka želi dobro pogledati ovo najnovije istraživanje. Molnar i njegov tim su svojim otkrićima izravno prenijeli Verisign preko Microsoft, ali nisu izravno razgovarali s Verisignom, iz straha da bi tvrtka mogla poduzeti pravne akcije kako bi ukinuo razgovor. U prošlosti su tvrtke ponekad dobile sudačke naloge kako bi spriječili znanstvenike da pričaju na sjeckalnim konferencijama. Callan je rekao da je želio da mu je Verisign dobio više informacija. "Ne mogu izraziti kako sam razočarana što su mi blogeri i novinari obaviješteni o tome, ali nismo, s obzirom da smo mi ljudi koji moraju zapravo odgovoriti."

Iako je Schneier rekao da mu je impresioniran math iza ovog najnovijih istraživanja, rekao je da na Internetu postoje već važniji sigurnosni problemi - slabe točke koje izlažu velikim bazama podataka osjetljivih informacija, na primjer.

"Nije bitno da dobijete lažni MD5 certifikat, jer ionako nikada ne provjeravate svoje prijave ", rekao je. "Postoji nekoliko desetaka načina da lažiraju to i ovo je još jedno."