Výzkumníci: Heslo Crack by mohlo mít vliv na miliony

Vědci Nate Lawsonová a Taylor Nelsonová tvrdí, že objevili základní bezpečnostní chyba, která postihuje desítky knihoven softwaru s otevřeným zdrojovým kódem - včetně těch, které používají software, který implementuje standardy OAuth a OpenID - slouží ke kontrole hesel a uživatelských jmen, když se lidé přihlásí na webové stránky. Autentifikace OAuth a OpenID jsou akceptovány na populárních webových stránkách, jako jsou Twitter a Digg.

Zjistili, že některé verze těchto přihlašovacích systémů jsou zranitelné na to, co se nazývá časový útok. Kryptografové věděli o časových útocích po dobu 25 let, ale obecně se o nich myslí, že je velmi těžké vytáhnout po síti. Výzkumníci se snaží ukázat, že tomu tak není.

Útoky jsou považovány za obtížné, protože vyžadují velmi přesná měření. Omezují hesla měřením doby potřebné k tomu, aby počítač reagoval na žádost o přihlášení. V některých přihlašovacích systémech bude počítač jednou po sobě zkontrolovat znaky hesla a po spuštění zprávy "přihlášení se nezdařilo", jakmile zaznamená špatný znak do hesla. To znamená, že počítač vrací úplně špatný přihlašovací pokus o trochu rychleji než přihlašovací jméno, kde je správně zadána první znak v hesle.

Při pokusu o přihlášení znovu a znovu se můžete pohybovat pomocí znaků a měřit čas potřebný pro zadání hesla. počítač reagovat, hackeři nakonec zjistí správná hesla.

To vše zní velmi teoreticky, ale načasování útoků může ve skutečnosti uspět v reálném světě. Před třemi lety se jeden z nich zvyklý hackovat systém Microsoft Xbox 360 a lidé, kteří vytvářejí čipové karty, přidali ochranu letounů proti útokům.

Ale vývojáři internetu dlouho předpokládali, že existuje příliš mnoho dalších faktorů - tzv. Síťový jitter - které zpomalují nebo zrychlují reakční časy a znemožňují téměř přesné výsledky, kdy nanosekundy dělají rozdíl, vyžadované pro úspěšný časový útok.

Tyto předpoklady jsou nesprávné, podle Lawsona, zakladatele bezpečnostní poradenství společnosti Root Labs. On a Nelson testovali útoky na internet, místní sítě a prostředí v prostředí cloud computingu a zjistili, že dokázali rozpoznat hesla ve všech prostředích pomocí algoritmů k odstranění jitteru v síti. na konferenci Black Hat později tento měsíc v Las Vegas. "" Já opravdu si myslím, že lidé potřebují vidět, jak to zneužívá, aby zjistili, že je to problém, který potřebují opravit, "řekl Lawson. Říká, že se soustředil na tyto typy webových aplikací, a to právě proto, že jsou často považováni za nezranitelný vůči časovým útokům. "Chtěla jsem oslovit lidi, kteří o tom nejméně vědí," řekl.

Výzkumníci také zjistili, že dotazy týkající se programů napsaných v interpretovaných jazycích, jako je Python nebo Ruby - oba velmi populární na webu odpovědi mnohem pomaleji než jiné typy jazyků, jako je jazyk C nebo montážní jazyk, což časovější útoky je mnohem praktičtější. "Pro jazyky, které jsou interpretovány, skončíte s mnohem větším časovým rozdílem, než si lidé mysleli," říká Lawson.

Nicméně tyto útoky nejsou nic, o co by se většina lidí měla obávat, podle Yahoo ředitele standardů Eran Hammer-Lahav, který přispívá k projektům OAuth i OpenID. "To mě netrápí," napsal v e-mailové zprávě. "Myslím, že žádný velký poskytovatel nepoužívá libovolnou knihovnu s otevřeným zdrojovým kódem pro implementaci na straně serveru a dokonce i když to udělal, není to triviální útok, který je třeba provést."

Lawson a Nelson oznámili vývojářům softwaru, na které se tento problém týká, ale nebudou vydávat jména zranitelných produktů, dokud nebudou opraveni. U většiny postižených knihoven je oprava jednoduchá: Programujte systém tak, aby se stejný čas vrátil k správným i nesprávným heslům. To může být provedeno asi v šesti řádcích kódu, říká Lawson.

Zajímavé je, že výzkumníci zjistili, že aplikace založené na cloudových aplikacích mohou být vůči těmto útokům více zranitelné, protože služby jako Amazon EC2 a Slicehost poskytují útočníkům způsob, jak se dostat blízko k jejich cílům, čímž se snižuje jitter.

Lawson a Nelson nehovoří před svými rozhovory v Black Hat o tom, jak přesné jsou jejich měření načasování, ale skutečně existují důvody, proč by mohlo být těžší odtrhnout tento typ útoku Podle společnosti Scott Morrison, CTO společnosti Layer 7 Technologies, poskytovatele zabezpečení cloud computing.

Protože mnoho různých virtuálních systémů a aplikací soutěží o výpočetní zdroje v cloudu, může být obtížné získat spolehlivé výsledky, řekl. "Všechny tyto věci pomáhají zmírnit tento konkrétní útok, protože prostě dodává celému systému nepředvídatelnost."

Přesto řekl, že tento typ výzkumu je důležitý, protože ukazuje, jaký útok, který se zdá být téměř nemožný pro některé, může opravdu fungovat.

Robert McMillan se týká počítačové bezpečnosti a obecných technologií, které přinášejí novinky pro

IDG News Service

. Sledujte Robert na Twitteru @bobmcmillan. Robertova e-mailová adresa je [email protected]