Forskere: Password Crack kan påvirke millioner

kendte kryptografiske angreb kan bruges af hackere til at logge ind på webapplikationer, der anvendes af millioner af brugere, ifølge to sikkerhedseksperter, der planlægger at diskutere problemet på en kommende sikkerhedskonference.

Forskere Nate Lawson og Taylor Nelson siger, at de har opdaget en grundlæggende sikkerhedsfejl, der påvirker snesevis af open source-softwarebiblioteker - herunder dem, der bruges af software, der implementerer OAuth- og OpenID-standarderne - som bruges til at kontrollere adgangskoder og brugernavne, når folk logger ind på websites. OAuth og OpenID-godkendelse accepteres af populære websteder som Twitter og Digg.

De fandt ud af, at nogle versioner af disse login systemer er sårbare over for det, der er kendt som et tidsangreb. Kryptografer har kendt om timingangreb i 25 år, men de anses generelt for at være meget vanskelige at trække ud over et netværk. Forskerne har til formål at vise, at det ikke er tilfældet.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Angrebene anses for at være så vanskelige, fordi de kræver meget præcise målinger. De springer adgangskoder ved at måle den tid, det tager for en computer at reagere på en login anmodning. På nogle loginsystemer vil computeren kontrollere adgangskode tegn en ad gangen og sparke en "login mislykket" meddelelse, så snart den opdager et dårligt tegn i adgangskoden. Det betyder, at en computer returnerer et helt dårligt loginforsøg en lille smule hurtigere end et login, hvor det første tegn i adgangskoden er korrekt.

Ved at prøve at logge ind igen og igen, cykler man gennem tegn og måler den tid det tager for computer til at reagere kan hackere i sidste ende finde ud af de korrekte adgangskoder.

Dette lyder meget teoretisk, men timingangreb kan faktisk lykkes i den virkelige verden. For tre år siden var en brugt til at hacke Microsofts Xbox 360-spil system, og folk, der bygger smarte kort, har tilføjet tidsangivelsesbeskyttelse i årevis.

Men internetudviklere har længe antaget, at der er for mange andre faktorer - kaldet network jitter - der sænker eller fremskynder svartiderne og gør det næsten umuligt at få den slags præcise resultater, hvor nanosekunder gør en forskel, der kræves for et vellykket tidsangreb.

Disse forudsætninger er forkerte, ifølge Lawson, grundlægger af Sikkerhedsrådgivningen Root Labs. Han og Nelson afprøvede angreb via internettet, lokalnet og i cloud computing-miljøer og fandt at de var i stand til at knække adgangskoder i alle miljøer ved at bruge algoritmer til at udrydde netværksjitteren.

De planlægger at diskutere deres angreb på Black Hat konferencen senere i måneden i Las Vegas.

"Jeg tror virkelig, folk skal se udnyttelser af det for at se, at dette er et problem, de skal reparere," sagde Lawson. Han siger, at han fokuserede på disse typer af webapplikationer netop fordi de så ofte anses for uskadelige for timingangreb. "Jeg ønskede at nå de mennesker, der var mindst opmærksomme på det," sagde han.

Forskerne fandt også, at der blev foretaget forespørgsler til programmer skrevet i fortolket sprog som Python eller Ruby - begge meget populære på nettet svar meget langsommere end andre typer sprog såsom C eller samlingssprog, hvilket gør timingangreb mere gennemførlige. "For sprog, der er fortolket, slutter du med en meget større tidsforskel, end folk tænkte," sagde Lawson.

Stadig er disse angreb ikke noget, som de fleste mennesker bør bekymre sig om, ifølge Yahoo's direktør for standarder Eran Hammer-Lahav, en bidragyder til både OAuth og OpenID projekter. "Jeg er ikke bekymret for det," skrev han i en e-mail-besked. "Jeg tror ikke, at nogen store udbydere bruger nogen af ​​open source-biblioteker til deres implementering på server-side, og selvom de gjorde det, er dette ikke et trivielt angreb på at udføre."

Lawson og Nelson har meddelt de softwareudviklere, der er berørt af problemet, men vil ikke frigive navnene på sårbare produkter, før de er rettet. For de fleste af de berørte biblioteker er løsningen enkel: Program systemet for at tage det samme tid for at returnere både korrekte og forkerte adgangskoder. Dette kan gøres i omkring seks linjer med kode, sagde Lawson.

Interessant set fandt forskerne, at skybaserede applikationer kunne være mere sårbare over for denne type angreb, fordi tjenester som Amazon EC2 og Slicehost giver angriberne en måde at få tæt på deres mål, hvilket reducerer netværksjitter.

Lawson og Nelson siger ikke før deres tale på Black Hat, hvor præcist deres timingmålinger var, men der er faktisk grunde til at det kan være sværere at trække denne type angreb i Clouden, ifølge Scott Morrison, CTO med Layer 7 Technologies, en cloud computing security provider.

Fordi mange forskellige virtuelle systemer og applikationer konkurrerer om at beregne ressourcer i skyen, kan det være svært at få pålidelige resultater, han sagde. "Alle disse ting arbejder for at hjælpe med at mildne dette særlige … angreb, fordi det blot tilføjer uforudsigelighed til hele systemet."

Han sagde stadig, at denne type forskning er vigtig, fordi den viser, hvordan et angreb, der næsten ikke er umuligt for nogle, kan virkelig arbejde.

Robert McMillan dækker computersikkerhed og generel teknologi, der bryder nyheder til IDG News Service. Følg Robert på Twitter på @bobmcmillan. Roberts e-mail-adresse er [email protected]