Araştırmacılar: Şifre Crack Milyonları Etkileyebilir

Araştırmacılar Nate Lawson ve Taylor Nelson, keşfettiklerini söyledikleri bilinen kriptografik saldırı, bilgisayar korsanları tarafından milyonlarca kullanıcı tarafından kullanılan Web uygulamalarına giriş yapmak için iki güvenlik uzmanına göre kullanılabiliyordu. Kullanıcılar web sitelerinde oturum açtıklarında şifreleri ve kullanıcı adlarını kontrol etmek için kullanılan düzinelerce açık kaynaklı yazılım kütüphanesini (OAuth ve OpenID standartlarını uygulayan yazılımlar tarafından kullanılanlar dahil) etkileyen temel bir güvenlik hatası. OAuth ve OpenID kimlik doğrulaması Twitter ve Digg gibi popüler Web siteleri tarafından kabul edilmektedir.

Bu oturum açma sistemlerinin bazı sürümlerinin zamanlama saldırısı olarak bilinenlere karşı savunmasız olduklarını tespit ettiler. Kriptograflar 25 yıldır zamanlama saldırıları hakkında bilgi sahibi oldular, ancak genellikle bir ağ üzerinden çekilmelerinin çok zor olduğu düşünülüyor. Araştırmacılar bunun böyle olmadığını gösteriyor.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Saldırılar çok zor olduğu için çok hassas ölçümler gerektiriyor. Bir bilgisayarın giriş isteğine yanıt vermesi için gereken süreyi ölçerek parolaları kırıyorlar. Bazı giriş sistemlerinde, bilgisayar şifre karakterlerini birer birer kontrol edecek ve şifrede kötü bir karakter belirlediğinde "giriş başarısız" mesajını geri alacak. Bu, bir bilgisayarın tamamen kötü bir giriş denemesini, parolanın ilk karakterinin doğru olduğu oturum açma işleminden çok daha hızlı bir şekilde döndürdüğü anlamına gelir.

Tekrar tekrar girmeye çalışarak, karakterleri dolaşarak ve süreyi ölçerek Bilgisayarın cevap vermesi için, bilgisayar korsanları eninde sonunda doğru şifreleri bulabilirler

Bu her şey çok teorik geliyor ama zamanlama saldırıları gerçek dünyada başarılı olabilir. Üç yıl önce, Microsoft'un Xbox 360 oyun sistemini kandırmak için kullanıldı ve akıllı kartlar geliştiren kişiler yıllarca zamanlama saldırı koruması eklediler.

Fakat İnternet geliştiricileri uzun zamandır birçok başka faktörün var olduğunu varsaydılar. - tepki sürelerini yavaşlatır veya hızlandırır ve başarılı bir zamanlama saldırısı için gerekli olan nanosaniyelerin bir fark yarattığı kesin sonuçların elde edilmesini neredeyse imkansız kılar.

Lawson'a göre, bu varsayımlar yanlıştır. güvenlik danışmanlığı Kök Labs. O ve Nelson, internet, yerel alan ağları ve bulut bilişim ortamlarındaki saldırıları test ettiler ve ağ ortamını ayıklamak için algoritmaları kullanarak tüm ortamlarda şifreleri çözebildiklerini keşfettiler.

Saldırılarını tartışmayı planlıyorlar. “Bu hafta Las Vegas'ta Black Hat konferansı.

“ İnsanların bunu düzeltmek için ihtiyaç duydukları bir sorun olduğunu görmek için insanların sömürüsünü görmeleri gerektiğini düşünüyorum ”diyor Lawson. Bu tür Web uygulamalarına tam olarak odaklandığını söylüyor çünkü zamanlama saldırılarına karşı savunmasız kaldıkları düşünülüyor. “En az farkında olan insanlara ulaşmak istedim,” dedi.

Araştırmacılar ayrıca, Python veya Ruby gibi yorumlanmış dillerde yazılmış programlara yapılan sorguları, her ikisi de Web'de çok popüler buldular. C veya assembly dili gibi diğer dil türlerinden çok daha yavaş yanıtlar vererek, zamanlama saldırılarını daha kolay hale getirir. "Yorumlanan diller için, insanların düşündüğünden çok daha büyük bir zamanlama farkı ile sonuçlanırsınız." Dedi.

Yahoo Eran Hammer-Lahav Standartları Direktörü'ne göre, bu saldırılar çoğu insanın endişelenmesi gereken bir şey değil., hem OAuth hem de OpenID projelerine katkıda bulunuyor. "Ben bununla ilgilenmiyorum," diye bir e-posta mesajında ​​yazdı. "Ben herhangi bir büyük sağlayıcının, sunucu tarafında uygulama için açık kaynak kitaplıklarından herhangi birini kullandığını düşünmüyorum, ve eğer yapsalar bile, bu, yürütmek için önemsiz bir saldırı değildir."

Lawson ve Nelson, sorundan etkilenen yazılım geliştiricilere haber verdiler, ancak savunmasız ürünlerin isimlerini sabit olana kadar serbest bırakmayacaklar. Etkilenen kütüphanelerin çoğunda, düzeltme basittir: Sistemi, hem doğru hem de yanlış parolaları döndürmek için aynı süreyi alacak şekilde programlayın. Bu, altı satırlık bir kod içinde yapılabilir, dedi.

İlginçtir ki araştırmacılar, bulut tabanlı uygulamaların bu tür saldırılara karşı daha savunmasız olabileceğini keşfettiler çünkü Amazon EC2 ve Slicehost gibi servisler saldırganlara hedeflerine yakın, böylece ağ atlayıcısını azaltıyor.

Lawson ve Nelson, Black Hat'teki konuşmalarından önce zamanlama ölçümlerinin ne kadar hassas olduğunu söylemiyorlar, fakat aslında bu tür saldırıları ortadan kaldırmak daha zor olabilir. Bulut, bir bulut bilgi işlem güvenliği sağlayıcısı olan Layer 7 Technologies ile birlikte CTOON'a göre bulut.

Bulutta bilgi işlem kaynakları için birçok farklı sanal sistem ve uygulama rekabet ettiğinden, güvenilir sonuçlar elde etmek zor olabilir. dedim. "Bütün bu şeyler, bu özel… saldırının azaltılmasına yardımcı olmak için çalışıyor. Çünkü saldırı, tüm sisteme tahmin edilemezlik katıyor."

Yine de, bu tür bir araştırmanın önemli olduğunu söyledi çünkü bir saldırının nasıl bir saldırı olduğunu gösterdiğini gösteriyor. Gerçekten de işe yarayabilir

Robert McMillan, IDG News Service için bilgisayar güvenliği ve genel teknoloji haberlerini kapsar. @bobmcmillan'da Robert'ı takip edin. Robert'in e-posta adresi [email protected]