Исследователи: Crack Crack может повлиять на миллионы

Известная криптографическая атака может быть использована хакерами для входа в веб-приложения, используемые миллионами пользователей, по словам двух экспертов по безопасности, которые планируют обсудить эту проблему на предстоящей конференции по безопасности.

Исследователи Нейт Лоусон и Тейлор Нельсон заявили, что обнаружили основной недостаток безопасности, который затрагивает десятки библиотек программного обеспечения с открытым исходным кодом, включая те, которые используются программным обеспечением, реализующим стандарты OAuth и OpenID, - которые используются для проверки паролей и имен пользователей при входе на веб-сайты. Аутентификация OAuth и OpenID принимается на популярных веб-сайтах, таких как Twitter и Digg.

Они обнаружили, что некоторые версии этих систем входа уязвимы для того, что известно как временная атака. Криптографы знали о временных атаках в течение 25 лет, но их, как правило, считают очень сложными в сети. Исследователи стремятся показать, что это не так.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

Атаки считаются настолько сложными, что требуют очень точных измерений. Они взламывают пароли, измеряя время, необходимое компьютеру для ответа на запрос на вход. В некоторых системах входа на компьютер компьютер будет проверять пароли по одному за раз и отбрасывать сообщение «с ошибкой входа», как только он видит плохой символ в пароле. Это означает, что компьютер возвращает полностью неудачную попытку входа в систему чуть быстрее, чем логин, где правильный символ в пароле правильный.

Пытаясь снова и снова входить в систему, перемещаясь по символам и измеряя время, необходимое для компьютер для ответа, хакеры могут в конечном счете выяснить правильные пароли.

Все это звучит очень теоретически, но временные атаки могут действительно преуспеть в реальном мире. Три года назад один из них использовался для взлома игровой системы Microsoft Xbox 360, а люди, которые занимаются разработкой смарт-карт, уже много лет добавили защиту от временной атаки.

Но интернет-разработчики уже давно считают, что слишком много других факторов - - что замедляет или ускоряет время отклика и делает практически невозможным получение точных результатов, когда наносекунды имеют значение, требуемое для успешной атаки времени.

Эти предположения ошибочны, по словам Лоусона, основателя консультанта по вопросам безопасности Root Labs. Он и Нельсон тестировали атаки через Интернет, локальные сети и в облачных вычислительных средах, и обнаружили, что они смогли взломать пароли во всех средах, используя алгоритмы для отсеивания сетевого дрожания.

Они планируют обсудить свои атаки на конференции Black Hat в этом месяце в Лас-Вегасе.

«Я действительно думаю, что людям нужно видеть подвигами, чтобы понять, что это проблема, которую им нужно исправить», - сказал Лоусон. Он говорит, что он сосредоточился на этих типах веб-приложений именно потому, что их часто считают неуязвимыми для временных атак. «Я хотел связаться с людьми, которые меньше всего это понимали», - сказал он.

Исследователи также обнаружили, что запросы, сделанные в программах, написанных на интерпретируемых языках, таких как Python или Ruby, - очень популярны в Интернете ответы гораздо медленнее, чем другие типы языков, такие как C или язык ассемблера, что делает временные атаки более осуществимыми. «Для языков, которые интерпретируются, вы получаете гораздо большую разницу во времени, чем считали люди», - сказал Лоусон.

Тем не менее, эти атаки не являются чем-то большим, о чем большинство людей должны беспокоиться, согласно директору стандартов Yahoo Эрану Хаммер-Лахаву, вкладчик в проекты OAuth и OpenID. «Меня это не волнует, - писал он в сообщении электронной почты. «Я не думаю, что какой-либо крупный поставщик использует любую из библиотек с открытым исходным кодом для своей серверной реализации, и даже если бы это было так, это не тривиальная атака для выполнения».

Lawson и Nelson уведомили разработчиков программного обеспечения, затронутых этой проблемой, но не будут выпускать имена уязвимых продуктов до тех пор, пока они не будут исправлены. Для большинства затронутых библиотек исправление прост: запрограммируйте систему на такое же количество времени, чтобы вернуть как правильные, так и неправильные пароли. Интересно, что исследователи обнаружили, что облачные приложения могут быть более уязвимыми для этих типов атак, потому что такие услуги, как Amazon EC2 и Slicehost, дают злоумышленникам способ получить близко к их целям, тем самым уменьшая дрожание сети.

Лоусон и Нельсон не говорят перед их разговором в Black Hat, насколько точны их измерения времени, но есть на самом деле причины, по которым было бы сложнее снять этот тип атаки в облако, по словам Скотта Моррисона (Scott Morrison), CTO с Layer 7 Technologies, провайдером безопасности для облачных вычислений.

Поскольку многие разные виртуальные системы и приложения конкурируют за вычислительные ресурсы в облаке, трудно получить надежные результаты, он сказал. «Все эти действия помогают смягчить эту конкретную атаку, потому что она просто добавляет непредсказуемость для всей системы».

Тем не менее, он сказал, что этот тип исследований важен, поскольку он показывает, как атака, которая кажется почти невозможной для некоторых, действительно может работать.

Роберт Макмиллан покрывает компьютерную безопасность и общую технологию, ломая новости для

Служба новостей IDG. Следуйте за Робертом в Твиттере в @bobmcmillan. Адрес электронной почты Роберта: [email protected]