Forskere: Passordbrudd kan påvirke millioner

kjent kryptografisk angrep kan brukes av hackere til å logge på webapplikasjoner som brukes av millioner av brukere, ifølge to sikkerhetseksperter som planlegger å diskutere problemet ved en kommende sikkerhetskonferanse.

Forskere Nate Lawson og Taylor Nelson sier at de har oppdaget en grunnleggende sikkerhetsfeil som påvirker dusinvis av åpen kildekode-programvarebibliotek - inkludert de som brukes av programvare som implementerer OAuth- og OpenID-standardene - som brukes til å sjekke passord og brukernavn når folk logger på nettsteder. OAuth og OpenID-godkjenning aksepteres av populære nettsteder som Twitter og Digg.

De fant ut at noen versjoner av disse innloggingssystemene er sårbare for det som kalles et tidsangrep. Kryptografer har kjent om tidsangrep i 25 år, men de regnes generelt for å være svært vanskelig å trekke ut over et nettverk. Forskerne har som mål å vise det ikke.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Angrepene antas å være så vanskelige fordi de krever svært nøyaktige målinger. De knekker passord ved å måle tiden det tar for en datamaskin for å svare på en påloggingsforespørsel. På enkelte påloggingssystemer vil datamaskinen sjekke passordkarakterene en om gangen, og sparke en "innlogging mislyktes" melding så snart det ser ut til et dårlig tegn i passordet. Dette betyr at en datamaskin returnerer et helt dårlig påloggingsforsøk, en liten bit raskere enn en pålogging der den første tegn i passordet er riktig.

Ved å prøve å logge inn igjen og igjen, sykler du gjennom tegn og måler tiden det tar for datamaskin for å svare, kan hackere til slutt finne ut de riktige passordene.

Alt dette høres veldig teoretisk ut, men tidsangrep kan faktisk lykkes i den virkelige verden. For tre år siden var en vant til å hacke Microsofts Xbox 360-spillsystem, og folk som bygger smarte kort har lagt til tidsbestemt angrepssikkerhet i mange år. Men internasjonal utviklere har lenge antatt at det er for mange andre faktorer - kalt nettverksjitter - som senker eller øker responstidene, og gjør det nesten umulig å få de slags nøyaktige resultater, hvor nanosekunder gjør en forskjell som kreves for et vellykket tidsangrep.

Disse antakelsene er feil, ifølge Lawson, grunnlegger av Sikkerhetskonsulenten Root Labs. Han og Nelson testet angrep over Internett, lokalnettverk og i cloud computing-miljøer og fant at de klarte å knekke passord i alle miljøer ved hjelp av algoritmer for å utrydde nettverksjitteren. De planlegger å diskutere angrepene sine på Black Hat-konferansen senere denne måneden i Las Vegas.

"Jeg tror virkelig folk trenger å se utnyttelser av det for å se at dette er et problem de trenger for å fikse," sa Lawson. Han sier at han fokuserte på disse typer webapplikasjoner nettopp fordi de så ofte antas å være uskyldige til tidsangrep. "Jeg ønsket å nå de som var minst klar over det," sa han.

Forskerne fant også at forespørsler til programmer skrevet på tolket språk som Python eller Ruby - begge veldig populære på nettet - genererte Svarene er mye langsommere enn andre typer språk som C eller forsamlingsspråket, noe som gjør tidsangrepene mer gjennomførbare. "For språk som tolkes, ender du med en mye større tidsforskjell forskjell enn folk trodde," sa Lawson.

Disse angrepene er likevel ikke noe de fleste bør bekymre seg for, ifølge Yahoo direktør for standarder Eran Hammer-Lahav, en bidragsyter til både OAuth og OpenID-prosjektene. "Jeg er ikke bekymret for det," skrev han i en e-postmelding. "Jeg tror ikke at noen store leverandør bruker noen av åpen kildebibliotek for deres server-sideimplementering, og selv om de gjorde det, er dette ikke et trivielt angrep å utføre."

Lawson og Nelson har varslet programvareutviklerne som er berørt av problemet, men vil ikke frigjøre navnene på sårbare produkter før de er løst. For de fleste av de berørte bibliotekene er løsningen enkel: Program systemet for å ta samme tid for å returnere både korrekte og feilaktige passord. Dette kan gjøres i omtrent seks linjer med kode, sa Lawson.

Det var interessant at forskerne fant at skybaserte applikasjoner kunne være mer utsatt for denne type angrep fordi tjenester som Amazon EC2 og Slicehost gir angriperne en måte å få i nærheten av deres mål, og dermed redusere nettverksjitter.

Lawson og Nelson sier ikke før deres snakk på Black Hat hvor nøyaktig deres tidsmålinger var, men det er faktisk grunner til at det kan være vanskeligere å trekke av denne typen angrep i skyen, ifølge Scott Morrison, CTO med Layer 7 Technologies, en cloud-computing-sikkerhetsleverandør.

Fordi mange forskjellige virtuelle systemer og applikasjoner konkurrerer om å beregne ressurser i skyen, kan det være vanskelig å få pålitelige resultater, han sa. "Alle disse tingene jobber for å bidra til å redusere dette … angrepet fordi det bare legger til uforutsigbarhet for hele systemet."

Likevel sa han at denne typen forskning er viktig fordi den viser hvordan et angrep, som virker nesten umulig for noen, kan virkelig fungere.

Robert McMillan dekker datasikkerhet og generell teknologibrytende nyheter for

IDG News Service

. Følg Robert på Twitter på @bobmcmillan. Roberts e-postadresse er [email protected]