Tutkijat: salasanakatkaisu voi vaikuttaa miljoonia

hakkereita voidaan käyttää kirjautumaan miljoonien käyttäjien käyttimiin verkkosovelluksiin kahden turvallisuusasiantuntijan mukaan, jotka aikovat keskustella asiasta tulevassa turvallisuuskonferenssissa.

Tutkijat Nate Lawson ja Taylor Nelson sanovat löytäneensä joka vaikuttaa kymmeniin avoimen lähdekoodin ohjelmistokirjastoihin - mukaan lukien OAuth- ja OpenID-standardeja toteuttavien ohjelmistojen käyttämät - salasanat ja käyttäjätunnukset, kun ihmiset kirjautuvat verkkosivustoihin. OAuth- ja OpenID-tunnistukset hyväksytään suosituimilla WWW-sivustoilla, kuten Twitterillä ja Diggilla.

He havaitsivat, että jotkut versiot näistä sisäänkirjautumisjärjestelmistä ovat alttiita ajoitushyökkäykselle. Salaustekijät ovat tunteneet ajoituksen hyökkäyksiä 25 vuoden ajan, mutta niiden uskotaan yleensä olevan erittäin vaikeita vetää pois verkosta. Tutkijat pyrkivät osoittamaan, että näin ei ole.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Hyökkäysten uskotaan olevan niin vaikeita, koska ne vaativat erittäin tarkkoja mittauksia. He pilkkovat salasanat mittaamalla tietokoneen vastaamaan sisäänkirjautumispyyntöön kuluva aika. Joissakin kirjautumisjärjestelmissä tietokone tarkistaa salasanat yksi kerrallaan ja käynnistää kirjautumis epäonnistuneen viestin heti, kun se havaitsee salasanan väärän merkin. Tämä tarkoittaa, että tietokone palauttaa täysin huonon kirjautumisyrityksen hieman pienemmäksi kuin kirjautumisosoite, jossa salasanan ensimmäinen merkki on oikea.

Yritä kirjautua uudestaan ​​ja uudestaan, pyöräilemällä merkkejä ja mittaamalla siihen kuluva aika tietokone vastata, hakkerit voivat viime kädessä selvittää oikeat salasanat.

Tämä kaikki kuulostaa hyvin teoreettiselta, mutta ajoituksen hyökkäykset voivat todella menestyä todellisessa maailmassa. Kolme vuotta sitten yksi käytettiin hakemaan Microsoftin Xbox 360 -pelijärjestelmää, ja älykorttien rakentajat ovat lisänneet ajoituksen hyökkäyssuojaa jo vuosia.

Mutta Internet-kehittäjät ovat jo kauan olettaa, että on liian monia muita tekijöitä - - hidastaa tai nopeuttaa vasteaikaa ja tekee lähes mahdottomalta saada sellaisia ​​tarkkoja tuloksia, joissa nanosekunnat tekevät eron, mikä edellyttää onnistunutta ajoitushyökkäystä.

Nämä oletukset ovat väärässä Lawsonin, turvallisuusneuvonta Root Labs. Hän ja Nelson testasivat hyökkäyksiä Internetin, lähiverkkojen ja pilvipalveluympäristöjen avulla ja huomasivat, että he pystyivät murtamaan salasanat kaikissa ympäristöissä käyttämällä algoritmeja verkon jitterin poistamiseksi.

He aikovat keskustella hyökkäyksistään Black Hat -konferenssissa myöhemmin tässä kuussa Las Vegasiin.

"Uskon todellakin, että ihmisten täytyy nähdä sen hyödyt nähdäkseen, että tämä ongelma on korjattava", Lawson sanoi. Hän sanoo, että hän keskittyi tällaisiin web-sovelluksiin juuri siksi, että heitä niin usein pidetään haavoittumattomina ajoitushyökkäyksille. "Halusin päästä ihmisiin, jotka olivat vähiten tietoisia siitä", hän sanoi.

Tutkijat havaitsivat myös, että kysymyksiä, jotka on tehty tulkittujen kielten, kuten Pythonin tai Rubyn, vastauksia paljon hitaammin kuin muuntyyppiset kielet, kuten C tai kokoonpanokieli, mikä tekee ajoituksen hyökkäyksistä toteutumiskykyisempi. "Kielten tulkinnassa pääset paljon suurempaan ajoituseroon kuin ihmiset ajattelivat", Lawson sanoi.

Nämä hyökkäykset eivät kuitenkaan ole mitään, mistä useimmat ihmiset saattavat huolestua, Yahoo Director of Standards Eran Hammer-Lahavin mukaan, joka osallistui sekä OAuth- että OpenID-projekteihin. "En ole huolissasi siitä", hän kirjoitti sähköpostiviestinä. "En usko, että mikään suuri palveluntarjoaja käyttää avoimen lähdekoodin kirjastoja palvelinpuolen käyttöönsä, ja vaikka he tekisivätkin, tämä ei ole vähäpätöinen suorituksen suorittaminen."

Lawson ja Nelson ovat ilmoittaneet ongelmaan vaikuttaneille ohjelmistokehittäjille, mutta eivät vapauta haavoittuvien tuotteiden nimeä, ennen kuin ne ovat kiinteitä. Useimmille kirjastoille, jotka ovat vaikuttaneet, korjaus on yksinkertainen: Järjestelmän ohjelmointi kestää yhtä paljon aikaa sekä oikeiden että väärien salasanojen palauttamiseksi. Tämä voidaan tehdä noin kuudella koodin rivillä, Lawson totesi.

Mielenkiintoista on, että tutkijat havaitsivat, että pilvipohjaiset sovellukset voivat olla alttiimpia tällaisille hyökkäyksille, koska Amazon EC2: n ja Slicehostin palvelut antavat hyökkääjille mahdollisuuden saada

Lawson ja Nelson eivät sano ennen Black Hat'n puhetta, kuinka tarkkoja ajoitusmittauksiaan, mutta on todellakin syitä, joiden vuoksi tällaisen hyökkäyksen voi olla vaikeampi pilvi, Scott Morrison, CTO, Layer 7 Technologies, cloud computing -turvallisuustoimittaja.

Koska monet erilaiset virtuaaliset järjestelmät ja sovellukset kilpailee resurssien laskemiseen pilvessä, voi olla vaikea saada luotettavia tuloksia, hän sanoi. "Kaikki nämä asiat auttavat lieventämään tätä erityisesti … hyökkäystä, koska se vain lisää ennakoimattomuutta koko järjestelmään."

Hän kuitenkin sanoi, että tällainen tutkimus on tärkeä, koska se osoittaa, kuinka hyökkäys näyttää milteältä mahdottomalta, voi todella työskennellä.

Robert McMillan kattaa tietoturvan ja yleisen teknologian uutiset IDG News Service. Seuraa Robertin Twitterissä osoitteessa @bobmcmillan. Robertin sähköpostiosoite on [email protected]