חוקרים: סדק סיסמה יכול להשפיע על מיליוני

"על פי שני מומחי אבטחה המתכננים לדון בנושא במהלך ועידת אבטחה קרובה. [

] חוקרים נאט לאוסון וטיילור נלסון אומרים כי הם גילו פגם אבטחה בסיסי המשפיע על עשרות ספריות תוכנה קוד פתוח - כולל אלה המשמשות את התוכנה המיישמת את תקני OAuth ו- OpenID - המשמשות לבדיקת סיסמאות ושמות משתמש כאשר אנשים נכנסים לאתרי אינטרנט. אימות OAuth ו- OpenID מתקבלים על-ידי אתרי אינטרנט פופולריים כגון Twitter ו- Digg.

הם גילו כי גרסאות מסוימות של מערכות כניסה אלה חשופות למה שמכונה התקפת תזמון. Cryptographers ידעו על עיתוי התקפות במשך 25 שנים, אבל הם חשבו בדרך כלל להיות מאוד קשה לשלוף מעל הרשת. החוקרים מנסים להראות שזה לא המקרה.

[המשך קריאה: כיצד להסיר תוכנות זדוניות מהמחשב Windows]

ההתקפות נחשבות כל כך קשות כי הם דורשים מדידות מדויקות מאוד. הם לפצח סיסמאות על ידי מדידת הזמן שנדרש עבור המחשב להגיב לבקשת כניסה. על כמה מערכות כניסה, המחשב יבדוק את סיסמאות הסיסמה אחת בכל פעם, ו לבעוט בחזרה "התחברות נכשלה" הודעה ברגע זה כתמים דמות רעה הסיסמה. פירוש הדבר שהמחשב מחזיר ניסיונות התחברות גרועים לחלוטין מהר יותר מאשר התחברות שבה התו הראשון בסיסמא הוא הנכון.

על ידי ניסיון להיכנס שוב ושוב, רכיבה על אופניים באמצעות תווים ומדידת הזמן הדרוש המחשב יכול להגיב, האקרים יכולים בסופו של דבר להבין את הסיסמאות הנכונות. כל זה נשמע מאוד תיאורטית, אבל התקפות תזמון יכול באמת להצליח בעולם האמיתי. לפני שלוש שנים, אחד היה רגיל לפרוץ את מערכת המשחקים Xbox 360 של מיקרוסופט, ואנשים שבנו כרטיסים חכמים הוסיפו הגנה לתקוף עיתוי במשך שנים. אבל מפתחי אינטרנט הניחו מזמן כי ישנם גורמים רבים מדי - שנקרא ריצוד רשת - כי להאט או להאיץ את זמני התגובה ולהפוך אותו כמעט בלתי אפשרי להשיג את סוג של תוצאות מדויקות, שבו nanoseconds לעשות את ההבדל, נדרש לתקוף עיתוי מוצלח.

הנחות אלה טועים, על פי לאוסון, מייסד הייעוץ הבטחוני רוט מעבדות. הוא ונלסון בחנו את ההתקפות על האינטרנט, על רשתות מקומיות ועל סביבות מחשוב ענן ומצאו שהם הצליחו לפצח סיסמאות בכל הסביבות באמצעות אלגוריתמים כדי לסלק את הרשת.> הם מתכוונים לדון בהתקפות שלהם ב את הכנס של Black Hat מאוחר יותר החודש בלאס וגאס. "אני באמת חושב שאנשים צריכים לראות את זה מנצלים כדי לראות את זה בעיה שהם צריכים לתקן," אמר לוסון. הוא אומר שהוא התמקד בסוגים אלה של יישומי אינטרנט דווקא משום שהם נחשבים לעתים קרובות כל כך בלתי פגיעים להתקפות עיתוי. "רציתי להגיע לאנשים שהכי פחות מודעים לזה", הוא אומר. החוקרים מצאו גם ששאלות שנשלחו לתוכניות שנכתבו בשפות מתורגמות כגון Python או Ruby - הן פופולריות מאוד ברשת - שנוצרו תגובות הרבה יותר לאט מאשר סוגים אחרים של שפות כגון C או שפת הרכבה, ביצוע התקפות תזמון יותר ריאלי. "עם זאת, ההתקפות הללו אינן דבר שרוב האנשים צריכים לדאוג לו", אומר יאהו, מנהל מכון התקנים, ערן המר-להב., תורם לפרויקטים של OAuth ו- OpenID. "אני לא מודאג מזה", כתב בהודעת דואר אלקטרוני. "אני לא חושב שכל ספק גדול משתמש בכל אחת מספריות הקוד הפתוח עבור יישומי השרתים שלהם, וגם אם הם עשו זאת, זה לא מתקפה של מה בכך".לוסון ונלסון הודיעו למפתחי התוכנה המושפעים מהבעיה, אך לא ישחררו את שמות המוצרים הפגיעים עד שיתוקנו. עבור רוב הספריות מושפע, לתקן את זה פשוט: תוכנית המערכת לקחת את אותה כמות של זמן כדי להחזיר הן סיסמאות נכונות ו לא נכונות. מעניין הדבר, החוקרים מצאו כי יישומים מבוססי ענן יכולים להיות פגיעים יותר להתקפות מסוג זה משום ששירותים כמו אמזון EC2 ו- Slicehost מעניקים לתוקפים דרך להגיע קרוב למטרה שלהם, ובכך להפחית את להתעצבן הרשת.

לאוסון ו נלסון לא אומרים לפני הדיבור שלהם ב Black Hat כמה מדויק מדידת העיתוי שלהם, אבל יש סיבות לכך שזה עלול להיות קשה יותר כדי לסלק את זה סוג של התקפה ענן, על פי סקוט מוריסון, CTO עם שכבת 7 טכנולוגיות, ספק אבטחה מחשוב ענן. אמר. "כל הדברים האלה פועלים כדי לעזור להפחית את זה בפרט … התקפה כי זה פשוט מוסיף unredictability לכל המערכת." עם זאת, הוא אמר כי סוג זה של מחקר חשוב כי זה מראה איך התקפה, זה נראה כמעט בלתי אפשרי כמה, באמת יכול לעבוד.

רוברט מקמילן מכסה את אבטחת המחשב ואת הטכנולוגיה הכללית חדשות חמות עבור

שירות IDG חדשות

. עקוב אחר רוברט בטוויטר ב @bobmcmillan. כתובת הדואר האלקטרוני של רוברט היא [email protected]