Penyelidik: Crack Kata Laluan Boleh Mempengaruhi Jutaan

Penyelidik Nate Lawson dan Taylor Nelson mengatakan mereka telah menemui kecacatan keselamatan asas yang memberi kesan kepada berpuluh-puluh perpustakaan perisian sumber terbuka - termasuk yang digunakan oleh perisian yang melaksanakan piawaian OAuth dan OpenID - yang digunakan untuk memeriksa kata laluan dan nama pengguna apabila orang log masuk ke laman web. Pengesahan OAuth dan OpenID diterima oleh laman web yang popular seperti Twitter dan Digg.

Mereka mendapati bahawa beberapa versi sistem log masuk terdedah kepada apa yang dikenali sebagai serangan masa. Cryptographers telah mengetahui tentang serangan masa selama 25 tahun, tetapi mereka umumnya dianggap sangat sukar untuk melepaskan rangkaian.

[Bacaan lanjut: Bagaimana untuk membuang malware dari PC Windows Anda]

Serangan ini dianggap sangat sukar kerana mereka memerlukan pengukuran yang sangat tepat. Mereka memecahkan kata laluan dengan mengukur masa yang diperlukan untuk komputer untuk bertindak balas terhadap permintaan log masuk. Pada sesetengah sistem log masuk, komputer akan memeriksa aksara kata laluan satu demi satu, dan menendang mesej "gagal login" sebaik sahaja ia melihat watak yang buruk dalam kata laluan. Ini bermakna komputer mengembalikan percubaan masuk yang benar-benar buruk sedikit lebih cepat daripada log masuk di mana aksara pertama dalam kata laluan adalah betul.

Dengan cuba log masuk sekali lagi, berbasikal melalui aksara dan mengukur masa yang diperlukan untuk komputer untuk bertindak balas, penggodam akhirnya dapat mengetahui kata laluan yang betul.

Ini semua bunyi sangat teori, tetapi serangan masa sebenarnya boleh berjaya di dunia nyata. Tiga tahun yang lalu, satu telah digunakan untuk menggodam sistem permainan Microsoft Xbox 360, dan orang yang membangunkan kad pintar telah menambah perlindungan serangan masa selama bertahun-tahun.

Tetapi pemaju internet telah lama menganggap bahawa terdapat terlalu banyak faktor lain - yang disebut jitter network - yang melambatkan atau mempercepatkan masa tindak balas dan menjadikannya hampir mustahil untuk mendapatkan jenis keputusan tepat, di mana nanodetik membuat perbezaan, diperlukan untuk serangan masa yang berjaya.

Andaian-andaian yang salah, menurut Lawson, pengasas makmal perundingan keselamatan. Dia dan Nelson menguji serangan ke atas Internet, rangkaian kawasan tempatan dan dalam persekitaran pengkomputeran awan dan mendapati mereka dapat melancarkan kata laluan dalam semua persekitaran dengan menggunakan algoritma untuk merosakkan jaring rangkaian.

Mereka merancang membincangkan serangan mereka di Persidangan Black Hat akhir bulan ini di Las Vegas.

"Saya benar-benar berfikir orang perlu melihat eksploitasi itu untuk melihat bahawa ini adalah masalah yang perlu mereka lakukan," kata Lawson. Dia mengatakan bahawa dia berfokus pada jenis aplikasi Web ini kerana mereka sering dianggap tidak dapat diserang dengan serangan masa. "Saya mahu menjangkau orang-orang yang kurang mengetahui tentangnya," katanya.

Para penyelidik juga mendapati bahawa pertanyaan yang dibuat untuk program yang ditulis dalam bahasa yang ditafsirkan seperti Python atau Ruby - kedua-duanya sangat popular di Web yang dihasilkan respons lebih perlahan daripada jenis bahasa lain seperti bahasa C atau bahasa assembly, menjadikan serangan masa lebih sesuai. "Bagi bahasa-bahasa yang ditafsirkan, anda mempunyai perbezaan masa yang lebih besar daripada yang difikirkan orang," kata Lawson. Namun, serangan-serangan ini bukan apa-apa yang perlu dibimbangkan oleh kebanyakan orang, menurut Yahoo Director of Standards Eran Hammer-Lahav, penyumbang kepada projek OAuth dan OpenID. "Saya tidak bimbang," katanya dalam mesej e-mel. "Saya tidak fikir mana-mana pembekal besar menggunakan mana-mana perpustakaan sumber terbuka untuk pelaksanaan pihak pelayan mereka, dan walaupun mereka melakukannya, ini bukan serangan remeh untuk dilaksanakan."

Lawson dan Nelson telah memberitahu pemaju perisian yang terjejas oleh masalah ini, tetapi tidak akan melepaskan nama produk terdedah sehingga mereka diperbaiki. Bagi kebanyakan perpustakaan yang terjejas, pembaikan adalah mudah: Program sistem untuk mengambil jumlah masa yang sama untuk mengembalikan kata laluan yang betul dan salah. Ini boleh dilakukan dalam kira-kira enam baris kod, kata Lawson.

Menariknya, para penyelidik mendapati bahawa aplikasi berasaskan awan boleh menjadi lebih rentan terhadap jenis serangan ini kerana perkhidmatan seperti Amazon EC2 dan Slicehost memberikan penyerang cara untuk mendapatkan

Lawson dan Nelson tidak mengatakan sebelum perbincangan mereka di Black Hat betapa tepatnya ukuran masa mereka, tetapi ada sebab yang sebenarnya mungkin lebih sukar untuk menarik serangan jenis ini dalam awan, menurut Scott Morrison, CTO dengan Layer 7 Technologies, penyedia keselamatan pengkomputeran awan.

Oleh kerana banyak sistem dan aplikasi maya yang berlainan bersaing untuk mengira sumber dalam awan, sukar untuk mendapatkan hasil yang dapat diandalkan, dia kata. "Semua perkara itu berfungsi untuk membantu mengurangkan serangan … ini kerana ia hanya menambah ketidakpastian kepada keseluruhan sistem."

Namun, beliau berkata penyelidikan jenis ini penting kerana ia menunjukkan bagaimana serangan, yang kelihatan hampir mustahil untuk beberapa, benar-benar boleh berfungsi.

Robert McMillan merangkumi keselamatan komputer dan teknologi berita umum untuk

Perkhidmatan Berita IDG

. Ikut Robert di Twitter di @bobmcmillan. Alamat e-mel Robert [email protected]