A kutatók: Jelszó-repedés több millióra is képes

a hackerek használhatják az ismert kriptográfiai támadást, hogy bejelentkezzenek a felhasználók millióinak által használt webes alkalmazásokhoz, két biztonsági szakértő szerint, akik a kérdést egy közelgő biztonsági konferencián szeretnék megvitatni.

A kutatók Nate Lawson és Taylor Nelson szerint felfedezték őket egy alapvető biztonsági hiba, amely több tucat nyílt forráskódú szoftverkönyvtárat érinti - beleértve az OAuth és OpenID szabványokat megvalósító szoftvereket is -, amelyek segítségével ellenőrizni lehet a jelszavakat és a felhasználóneveket, amikor az emberek bejelentkeznek weboldalakra. Az OAuth és az OpenID hitelesítést olyan népszerű webhelyek fogadják el, mint a Twitter és a Digg.

Azt találták, hogy ezeknek a bejelentkezési rendszereknek egyes verziói sebezhetőek az időzítési támadással kapcsolatban. A kriptográfusok 25 évig ismertek az időzítési támadásokról, ám általában úgy gondolják, hogy nagyon nehéz a hálózathoz húzni. A kutatók arra törekednek, hogy megmutassák, hogy ez nem így van.

[További olvasmány: Hogyan távolítsuk el a rosszindulatú programokat a Windows PC-jéről]

A támadások úgy gondolják, hogy nagyon nehézek, mert nagyon pontos méréseket igényelnek. Megszüntetik a jelszavakat azzal, hogy megmérik a számítógépnek a bejelentkezési kérésre való válaszadáshoz szükséges időt. Egyes bejelentkezési rendszereken a számítógép egyenként ellenőrzi a jelszó karaktereket, és visszavonja a "bejelentkezési hiba" üzenetet, amint rossz jelzést helyez el a jelszóban. Ez azt jelenti, hogy egy számítógép egy teljesen rossz bejelentkezési kísérletet kap egy kicsit gyorsabban, mint egy bejelentkezés, ahol a jelszó első karaktere helyes.

Ha újra és újra be szeretne jelentkezni, a karakterek közötti kerékpározás és a számítógépre válaszolni, a hackerek végül kitalálhatják a helyes jelszavakat.

Ez nagyon elméleti hangzásnak tűnik, de az időzítési támadások valóban sikeresek lehetnek a való világban. Három évvel ezelőtt felhasználták a Microsoft Xbox 360 játékrendszerét, és az emberek, akik intelligens kártyákat építenek, évek óta hozzáadják az időzítési támadást.

De az internetes fejlesztők már régóta azt feltételezték, hogy túl sok egyéb tényező van - úgynevezett hálózati jitter - ez lassítja vagy felgyorsítja a válaszidőket, és szinte lehetetlenné teszi, hogy pontosan olyan eredményt kapjon, ahol a nanoszekundumok különbséget tesznek a sikeres időzítési támadáshoz.

Ezek a feltételezések tévesek, Lawson szerint a Root Labs biztonsági tanácsadója. Ő és Nelson teszteltek támadásokat az interneten, a helyi hálózatokon és a számítási felhő-környezetekben, és megállapították, hogy képesek feltörni a jelszavakat minden környezetben, algoritmusokkal, hogy kidobják a hálózati jittert.

a Las Vegas-i Black Hat-konferencia későbbi hónapjában.

"Valóban úgy gondolom, hogy az embereknek meg kell figyelniük, hogy ez a probléma, amit meg kell erősíteniük" - mondta Lawson. Azt mondja, hogy ezekre a webes alkalmazásokra összpontosít, éppen azért, mert gyakran gondolják, hogy sebezhetetlenek az időzítési támadásokra. "Azt akartam, hogy elérjem azokat a népeket, akik a legkevésbé tudatában vannak."

A kutatók azt is megállapították, hogy az értelmezett nyelveken - például a Python vagy a Ruby - a válaszok sokkal lassabban, mint más nyelvtípusok, például a C vagy az assembly nyelv, és ezáltal az időzítési támadások is megvalósíthatók. "Az értelmezendő nyelvek esetében sokkal nagyobb időzítési különbség áll, mint az emberek," - mondta Lawson.

Mégis, ezek a támadások nem olyan, amire a legtöbb embernek aggódnia kell, a Yahoo igazgatója szerint Eran Hammer-Lahav, amely mind az OAuth, mind az OpenID projektekhez hozzájárult. "Nem érdekel," írta e-mailben. "Nem hiszem, hogy egyetlen nagy szolgáltató sem használná a nyílt forráskódú könyvtárakat a kiszolgálóoldali implementációra, és még ha igen, ez nem triviális támadás a végrehajtáshoz."

A Lawson és a Nelson értesítették a probléma által érintett szoftverfejlesztőket, de nem adják fel a kiszolgáltatott termékek nevét, amíg nem rögzítették őket. Az érintett könyvtárak többsége esetében a javítás egyszerű: Programozza be a rendszert, hogy ugyanolyan időt vehet igénybe a helyes és helytelen jelszavak visszaadásához. Ez kb. Hat sornyi kóddal lehetséges.

Érdekes módon a kutatók azt találták, hogy a felhőalapú alkalmazások sokkal sebezhetőbbek lehetnek az ilyen típusú támadásokkal szemben, mivel az Amazon EC2 és a Slicehost hasonló szolgáltatásokat nyújt a támadóknak közel a célokhoz, így csökkentve a hálózati jittert.

Lawson és Nelson nem mondják, mielőtt beszélgetnének a Black Hat-ban, mennyire pontosak voltak az időzítésük mérései, de ténylegesen vannak okai, hogy nehezebb lehúzni az ilyen típusú támadást a felhő szerint Scott Morrison, a Layer 7 Technologies cso portfóliója, egy felhő-számítástechnikai biztonsági szolgáltató.

Mivel sok különböző virtuális rendszer és alkalmazás versenyez a források számítási felhőben, nehéz lehet megbízható eredményeket elérni mondott. "Mindezek a dolgok segítenek enyhíteni ezt a … támadást, mert csak kiszámíthatatlanul növeli az egész rendszert."

Mégis azt mondta, hogy ez a fajta kutatás fontos, mert megmutatja, hogy egy támadás, ami szinte lehetetlen, tényleg működhet.

Robert McMillan a számítógépes biztonságra és az általános technológiai hírlevelekre vonatkozik az Az IDG News Service számára. Kövesse Robert a Twitteren @ bobmcmillan. Robert e-mail címe [email protected]