Car-tech

研究人员:密码破解可能会影响数百万人

推背圖第43象 兄弟有難,2027以後,兩岸找到更好的互動方式 TBT43

推背圖第43象 兄弟有難,2027以後,兩岸找到更好的互動方式 TBT43
Anonim

根据计划在即将召开的安全会议上讨论这个问题的两位安全专家称,黑客可以使用已知的加密攻击登录到数百万用户使用的Web应用程序。研究人员Nate Lawson和Taylor Nelson表示他们已经发现这是一个基本的安全漏洞,影响到许多开源软件库(包括实现OAuth和OpenID标准的软件所使用的软件库),用于在用户登录网站时检查密码和用户名。 OAuth和OpenID认证可以被流行的网站如Twitter和Digg所接受

他们发现这些登录系统的某些版本容易受到所谓的定时攻击。密码学家已经知道25年的时间攻击,但他们通常被认为是非常难以通过网络实现的。研究人员的目的是证明事实并非如此。

[进一步阅读:如何从Windows PC中移除恶意软件]

这些攻击被认为非常困难,因为它们需要非常精确的测量。他们通过测量计算机响应登录请求所需的时间来破解密码。在某些登录系统中,计算机会一次检查一个密码字符,并在密码中发现一个错误的字符时立即反馈“登录失败”消息。这意味着计算机会以比密码中第一个字符正确的登录名更快的速度返回完全错误的登录尝试。

通过尝试一次又一次登录,循环访问字符并测量所需的时间计算机做出反应,黑客最终可以找出正确的密码。

这听起来很理论,但是时间攻击实际上可以在现实世界中成功。三年前,曾有人用黑客入侵微软的Xbox 360游戏系统,制造智能卡的人多年来都加入了定时攻击防护。但互联网开发人员早就认为有太多其他因素 - 被称为网络抖动 - 减缓或加快响应时间,并使几乎不可能获得精确的结果,而纳秒时间有所改变,这是成功定时攻击所需的。

根据Lawson的创始人,这些假设是错误的。安全咨询公司Root Labs。他和纳尔逊测试了对互联网,局域网和云计算环境的攻击,并发现他们能够通过使用算法消除网络抖动来破解所有环境中的密码。他们计划在本月晚些时候在拉斯维加斯举行的黑帽大会上,

“我真的认为人们需要看到它的发现才能发现这是他们需要解决的问题,”Lawson说。他说,他专注于这些类型的Web应用程序正是因为它们经常被认为是无法忍受时间攻击的。 “我想要找到那些最不了解它的人,”他说,“研究人员还发现,对使用Python或Ruby等解释型语言编写的程序进行的查询 - 在Web上都很流行 - 响应比其他类型的语言(如C语言或汇编语言)慢得多,使得定时攻击更加可行。根据雅虎标准总监Eran Hammer-Lahav的说法,“对于那些被解释的语言,你最终会产生比人们想象的更大的时间差异,”Lawson说,“然而,这些攻击并不是大多数人应该担心的。 ,这是OAuth和OpenID项目的贡献者。 “我不关心它,”他在一封电子邮件中写道。 “我认为任何大型提供商都没有在其服务器端实现中使用任何开源库,即使他们这样做了,这也不是一个微不足道的攻击。”

Lawson和Nelson已通知受此问题影响的软件开发人员,但在解决问题之前不会公布易受攻击产品的名称。对于大多数受影响的库,修复很简单:编程系统以使用相同的时间来返回正确和不正确的密码。有趣的是,研究人员发现,基于云的应用程序可能更容易受到这种类型的攻击,因为像Amazon EC2和Slicehost这样的服务为攻击者提供了一种获取方法接近他们的目标,从而减少网络抖动。

Lawson和Nelson在Black Hat谈话之前并没有说他们的时间测量有多精确,但实际上有很多原因可能会导致这种类型的攻击难以实现根据云计算安全提供商Layer 7 Technologies首席技术官Scott Morrison的观点,因为许多不同的虚拟系统和应用程序正在竞争云中的计算资源,所以很难获得可靠的结果,他说过。 “所有这些都有助于缓解这种特殊的攻击,因为它只会增加整个系统的不可预测性。”然而,他说这种类型的研究很重要,因为它显示了一次攻击,这似乎几乎不可能,真的可以工作。

Robert McMillan涵盖了

IDG新闻服务

的计算机安全和通用技术突发新闻。在@bobmcmillan的Twitter上关注Robert。罗伯特的电子邮件地址是[email protected]