Forskare: Lösenordsprickning kan påverka miljontals

Forskare Nate Lawson och Taylor Nelson säger att de har upptäckt en grundläggande säkerhetsfel som påverkar dussintals programvaru bibliotek med öppen källkod - inklusive de som används av programvara som implementerar OAuth- och OpenID-standarderna - som används för att kontrollera lösenord och användarnamn när folk loggar in på webbplatser. OAuth och OpenID-autentisering accepteras av populära webbplatser som Twitter och Digg.

De fann att vissa versioner av dessa inloggningssystem är sårbara för vad som är känt som en tidsangivelse. Kryptografer har känt om tidsangrepp i 25 år, men de anses generellt vara mycket svåra att dra av över ett nätverk. Forskarna syftar till att visa att det inte är fallet.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Anfallen anses vara så svåra eftersom de kräver mycket exakta mätningar. De spricker lösenord genom att mäta den tid det tar för en dator att svara på en inloggningsförfrågan. På vissa inloggningssystem kommer datorn att kontrollera lösenords tecken en åt gången och sparka tillbaka ett "inloggnings misslyckat" meddelande så snart det visar ett dåligt tecken i lösenordet. Det betyder att en dator returnerar ett helt fel inloggningsförsök en liten bit snabbare än en inloggning där den första tecknen i lösenordet är korrekt.

Genom att försöka logga in igen och igen, cykla genom tecken och mäta den tid det tar för dator för att svara, kan hackare i slutändan räkna ut rätt lösenord.

Det här låter mycket teoretiskt, men tidsangrepp kan faktiskt lyckas i den verkliga världen. För tre år sedan brukade man hackat Microsofts Xbox 360-spelsystem, och personer som bygger smarta kort har lagt till skydd för tidsangrepp i flera år. Men Internetutvecklare har länge antagit att det finns för många andra faktorer - Att sakta ner eller snabba svarstiderna och göra det nästan omöjligt att få det typ av exakta resultat, där nanosekunder gör en skillnad som krävs för en lyckad tidsangrepp.

Dessa antaganden är felaktiga, enligt Lawson, grundare av säkerhetskonsulten Root Labs. Han och Nelson testade attacker över Internet, lokala nätverk och i molnberäkningsmiljöer och fann att de kunde spricka lösenord i alla miljöer genom att använda algoritmer för att gräva nätverksjitteren. De planerar att diskutera sina attacker på Black Hat-konferensen senare i månaden i Las Vegas. "

" Jag tycker verkligen att människor behöver se att det är ett problem de behöver fixa, "sa Lawson. Han säger att han fokuserade på dessa typer av webbapplikationer precis för att de så ofta anses vara oskadliga för tidsangrepp. "Jag ville nå de personer som var minst medvetna om det," sa han.

Forskarna fann också att frågor gjorda på program som skrevs på tolkade språk som Python eller Ruby - båda mycket populära på webben svar mycket långsammare än andra typer av språk som C eller monteringsspråk, vilket gör tidsangrepp mer genomförbara. "För språk som tolkas, hamnar du med en mycket större tidsskillnad än vad folk trodde", säger Lawson.

Fortfarande är dessa attacker inget som de flesta borde oroa sig över, enligt Yahoo: s direktör för standarder Eran Hammer-Lahav, en bidragsyter till både OAuth och OpenID-projekten. "Jag är inte bekymrad över det," skrev han i ett e-postmeddelande. "Jag tror inte att någon stor leverantör använder någon av de öppna källbiblioteken för deras implementering på serversidan, och även om de gjorde det här, är det inte en trivial attack att utföra."

Lawson och Nelson har anmält de programutvecklare som drabbats av problemet, men kommer inte släppa ut namnen på sårbara produkter tills de är fixade. För de flesta av de drabbade biblioteken är åtgärden enkel: Programmera systemet för att ta samma tid för att returnera både korrekta och felaktiga lösenord. Det här kan göras på ungefär sex rader av kod, säger Lawson.

Intressant visade forskarna att molnbaserade applikationer kan vara mer sårbara för dessa typer av attacker, eftersom tjänster som Amazon EC2 och Slicehost ger attackerna ett sätt att få nära sina mål, vilket minskar nätverksjitter.

Lawson och Nelson säger inte innan deras prata hos Black Hat hur exakt deras tidsmätningar var, men det finns faktiskt skäl att det kan vara svårare att dra av den här typen av angrepp i molnet, enligt Scott Morrison, CTO med Layer 7 Technologies, en cloud-computing-säkerhetsleverantör.

Eftersom många olika virtuella system och applikationer konkurrerar om att beräkna resurser i molnet kan det vara svårt att få pålitliga resultat, han sa. "Alla dessa saker fungerar för att hjälpa till att mildra denna speciella … attack eftersom det bara lägger till oförutsägbarhet för hela systemet."

Men han sa att denna typ av forskning är viktig eftersom den visar hur en attack, som verkar nästan omöjlig för vissa, kan verkligen fungera.

Robert McMillan täcker datasäkerhet och generell teknikbrytande nyheter för

IDG News Service

. Följ Robert på Twitter på @bobmcmillan. Roberts e-postadress är [email protected]