Badacze: złamanie hasła może mieć wpływ na miliony

Hackery mogą używać znanego ataku kryptograficznego do logowania się do aplikacji internetowych wykorzystywanych przez miliony użytkowników, według dwóch ekspertów ds. bezpieczeństwa, którzy planują omówić tę kwestię podczas zbliżającej się konferencji poświęconej bezpieczeństwu.

Naukowcy Nate Lawson i Taylor Nelson twierdzą, że odkryli podstawowa luka w zabezpieczeniach, która wpływa na dziesiątki bibliotek oprogramowania open source - w tym te używane przez oprogramowanie implementujące standardy OAuth i OpenID - które są używane do sprawdzania haseł i nazw użytkowników, gdy użytkownicy logują się na stronach internetowych. Uwierzytelnianie OAuth i OpenID jest akceptowane przez popularne strony internetowe takie jak Twitter i Digg.

Stwierdzili, że niektóre wersje tych systemów logowania są podatne na tak zwany atak czasowy. Kryptografowie wiedzieli o atakach synchronizacyjnych przez 25 lat, ale generalnie uważa się, że bardzo trudno jest je ściągnąć z sieci. Badacze starają się pokazać, że tak nie jest.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Ataki są tak trudne, ponieważ wymagają bardzo dokładnych pomiarów. Pękną hasła, mierząc czas potrzebny komputerowi na odpowiedź na żądanie logowania. W niektórych systemach logowania komputer będzie sprawdzał znaki hasła pojedynczo i odsyła komunikat "nieudane logowanie", gdy tylko wykryje zły znak w haśle. Oznacza to, że komputer zwraca całkowicie złą próbę zalogowania się odrobinę szybciej niż loginu, w którym pierwszy znak w haśle jest poprawny.

Próbując zalogować się ponownie, przechodzić przez kolejne znaki i mierzyć czas potrzebny na zalogowanie się. komputer reaguje, hakerzy mogą ostatecznie znaleźć prawidłowe hasła.

To wszystko brzmi bardzo teoretycznie, ale ataki czasu mogą faktycznie odnieść sukces w realnym świecie. Trzy lata temu, jeden był używany do hackowania systemu Microsoft Xbox 360, a ludzie, którzy budują karty inteligentne, mają od lat ochronę przed atakami czasowymi.

Ale twórcy internetu od dawna zakładali, że istnieje zbyt wiele innych czynników - zwanych fluktuacjami sieci - spowalniają lub przyspieszają czas reakcji i sprawiają, że prawie niemożliwe jest uzyskanie dokładnych wyników, w których nanosekunda robi różnicę, niezbędną do udanego ataku czasowego.

Te założenia są błędne, według Lawsona, założyciela doradca ds. bezpieczeństwa Root Labs. On i Nelson testowali ataki w Internecie, sieciach lokalnych i środowiskach przetwarzania w chmurze i odkryli, że są w stanie złamać hasła we wszystkich środowiskach, używając algorytmów do eliminacji fluktuacji sieci.

Planują przedyskutować swoje ataki na konferencja Black Hat w tym miesiącu w Las Vegas.

"Naprawdę uważam, że ludzie muszą zobaczyć exploity, aby zobaczyć, że jest to problem, który muszą naprawić", powiedział Lawson. Mówi, że skupił się na tego typu aplikacjach internetowych właśnie dlatego, że są one często uważane za niewrażliwe na ataki czasowe. "Chciałem dotrzeć do ludzi, którzy byli najmniej świadomi tego," powiedział.

Naukowcy odkryli również, że zapytania do programów napisanych w językach interpretowanych, takich jak Python lub Ruby - zarówno bardzo popularne w Internecie - generowane reaguje o wiele wolniej niż inne typy języków, takie jak język C lub assembler, czyniąc ataki czasowe bardziej wykonalnymi. "W przypadku języków, które są interpretowane, kończy się znacznie większa różnica w czasie, niż ludzie myśleli" - powiedział Lawson.

Mimo to, ataki te nie są niczym, na co większość ludzi powinna się martwić, zgodnie z tym, co powiedział Yahoo Director of Standards Eran Hammer-Lahav, współtwórca projektów OAuth i OpenID. "Nie przejmuję się tym", napisał w wiadomości e-mail. "Nie sądzę, aby jakikolwiek duży dostawca korzystał z którejkolwiek z bibliotek open source do implementacji po stronie serwera, a nawet gdyby tak było, nie jest to trywialny atak do wykonania."

Lawson i Nelson powiadomili twórców oprogramowania, których dotyczy problem, ale nie ujawnią nazw zagrożonych produktów, dopóki nie zostaną naprawione. W przypadku większości bibliotek, których dotyczy problem, poprawka jest prosta: Zaprogramuj system, aby uzyskać tyle samo czasu na zwrócenie poprawnych i niepoprawnych haseł. Można to zrobić w około sześciu linijkach kodu, powiedział Lawson.

Co ciekawe, naukowcy odkryli, że aplikacje oparte na chmurze mogą być bardziej podatne na tego rodzaju ataki, ponieważ usługi takie jak Amazon EC2 i Slicehost dają atakującym sposób na uzyskanie blisko swoich celów, redukując w ten sposób jitter w sieci.

Lawson i Nelson nie mówią przed rozmową w Black Hat, jak precyzyjne są ich pomiary w czasie, ale istnieją powody, dla których może być trudniej wykonać tego typu atak w Chmura, według Scotta Morrisona, CTO z Layer 7 Technologies, dostawcą zabezpieczeń cloud computing.

Ponieważ wiele wirtualnych systemów i aplikacji konkuruje o obliczanie zasobów w chmurze, może być trudno uzyskać wiarygodne wyniki, powiedziany. "Wszystkie te rzeczy pomagają złagodzić ten konkretny … atak, ponieważ po prostu dodaje nieprzewidywalność całemu systemowi."

Powiedział, że tego rodzaju badania są ważne, ponieważ pokazują, jak atak, który wydaje się prawie niemożliwy dla niektórych, naprawdę może zadziałać.

Robert McMillan zajmuje się bezpieczeństwem komputerowym i wiadomościami dotyczącymi przełomowych technologii dla News Service IDG. Obserwuj Roberta na Twitterze na @bobmcmillan. Adres e-mail Roberta to [email protected]