Военный Образцовый оркестр Почётного караула выступил в Измайловском парке с программой «На страже воинских традиций»

Потенциальная угроза для миллионов пользователей, десятилетиями считавшаяся теоретической, перешла в стадию реальной эксплуатации. Группа исследователей безопасности представила доказательства успешной атаки на алгоритм хеширования SHA-1, который до сих пор используется для проверки целостности данных в устаревших системах, банковских транзакциях и цифровых подписях. Речь идет не просто об академическом прорыве, а о первом задокументированном случае практического взлома, который позволяет злоумышленникам создавать поддельные документы и программное обеспечение, неотличимые от оригиналов.

Коллизия, которая изменила правила игры

Специалистам удалось осуществить так называемую «атаку коллизией»: они создали два совершенно разных набора данных, которые генерируют идентичный 160-битный хеш. До недавнего времени считалось, что для этого потребуются астрономические вычислительные мощности, однако новая методика, основанная на модифицированном алгоритме поиска, сократила затраты до уровня, доступного крупным хакерским группам или спонсируемым государствам игрокам. Демонстрация включала создание двух разных PDF-файлов с одинаковой цифровой подписью.

Как это работает на практике

Злоумышленник берет легитимный контракт или обновление антивируса. Затем, используя метод подбора, он модифицирует незначительные биты в файле-двойнике, сохраняя при этом его визуальное содержимое и функциональность. Оригинал и подделка имеют абсолютно одинаковый хеш SHA-1. Если система проверяет только хеш (а не само содержимое), вредоносный файл пройдет верификацию. Главная опасность кроется в наследии: миллионы устройств «Интернета вещей» (IoT), старые версии Git, системы контроля версий и некоторые банковские API все еще полагаются на SHA-1.

Уязвимые сектора: кому грозит наибольший риск

Наиболее критическая ситуация сложилась в корпоративном секторе и государственных учреждениях, где обновление криптографических стандартов часто отстает на годы. Особенно уязвимыми оказались:

• Системы электронного документооборота, где подлинность архивов проверяется через старые хеш-суммы.
• Обновления прошивок для промышленного оборудования и медицинских приборов.
• Цепочки поставок ПО (Supply Chain), где пакеты программ скачиваются с репозиториев, использующих SHA-1 для верификации.

Эксперты подчеркивают, что атака не требует физического доступа к устройству — достаточно перехватить трафик или подменить файл на сервере.

Ответственность и инерция безопасности

Крупные технологические компании, такие как Google и Microsoft, начали поэтапный отказ от SHA-1 еще в 2017 году, предупреждая о приближающейся «криптографической зиме». Однако процесс миграции на SHA-256 и SHA-3 идет крайне медленно. По оценкам аналитиков, около 15% всех публичных SSL-сертификатов до сих пор используют SHA-1, а в закрытых корпоративных сетях этот показатель может достигать 40%. Причина — высокая стоимость замены оборудования и необходимость переписывать ядро легаси-систем.

Текущий инцидент доказывает, что теория окончательно превратилась в практику. Теперь любая организация, игнорирующая переход на современные алгоритмы, рискует не просто данными, а репутацией и финансовой стабильностью. Подделка цифровой подписи открывает дорогу для масштабных фишинговых кампаний, где жертва получает письмо с «официальным» вложением от банка или госоргана.

События последних лет показывали, что SHA-1 — это бомба замедленного действия. Еще в 2019 году была продемонстрирована атака SHAttered, требующая 110 лет работы GPU, что делало ее экономически невыгодной. Нынешняя методика сокращает время до нескольких недель и снижает бюджет атаки до нескольких десятков тысяч долларов. Это меняет экономику киберпреступности: подделка одного контракта или сертификата теперь стоит дешевле, чем разработка целевого вредоносного ПО.

В ближайшие полгода стоит ожидать волну проверок со стороны регуляторов и аудиторов. Компании, которые не предоставят план миграции на SHA-2 или SHA-3, могут столкнуться с блокировкой лицензий и отказом в страховании киберрисков. Для обычных пользователей главный совет — немедленно обновить браузеры и операционные системы, так как производители уже начали патчить уязвимые места, связанные с проверкой старых хешей. Игнорирование этой угрозы больше не является вариантом.