Ricercatori: il crack delle password potrebbe influenzare milioni

Un noto attacco crittografico potrebbe essere utilizzato dagli hacker per accedere ad applicazioni Web utilizzate da milioni di utenti, secondo due esperti di sicurezza che intendono discutere il problema in una prossima conferenza sulla sicurezza.

I ricercatori Nate Lawson e Taylor Nelson dicono di aver scoperto un difetto di sicurezza di base che colpisce decine di librerie software open source, comprese quelle utilizzate dal software che implementa gli standard OAuth e OpenID, che vengono utilizzate per controllare password e nomi utente quando le persone accedono a siti Web. Le autenticazioni OAuth e OpenID sono accettate dai popolari siti Web come Twitter e Digg.

Hanno scoperto che alcune versioni di questi sistemi di accesso sono vulnerabili a ciò che è noto come attacco di temporizzazione. I crittografi conoscono gli attacchi di cronometraggio per 25 anni, ma in genere si ritiene che siano molto difficili da portare su una rete. I ricercatori mirano a dimostrare che non è questo il caso.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

Si pensa che gli attacchi siano così difficili perché richiedono misurazioni molto precise. Rompono le password misurando il tempo impiegato da un computer per rispondere a una richiesta di accesso. Su alcuni sistemi di accesso, il computer controlla i caratteri della password uno alla volta e respinge un messaggio di "accesso non riuscito" non appena rileva un carattere errato nella password. Ciò significa che un computer restituisce un tentativo di accesso completamente sbagliato un po 'più veloce di un accesso in cui il primo carattere della password è corretto.

Provando ad accedere di nuovo e di nuovo, passando in rassegna i caratteri e misurando il tempo necessario per computer per rispondere, gli hacker possono alla fine capire le password corrette.

Tutto ciò suona molto teorico, ma gli attacchi temporali possono effettivamente avere successo nel mondo reale. Tre anni fa, uno era abituato a hackerare il sistema di gioco Xbox 360 di Microsoft, e le persone che costruiscono smart card hanno aggiunto protezione temporale per anni.

Ma gli sviluppatori di Internet hanno a lungo presunto che ci siano troppi fattori, chiamati jitter di rete - che rallentano o accelerano i tempi di risposta e rendono quasi impossibile ottenere il tipo di risultati precisi, in cui i nanosecondi fanno la differenza, necessari per un attacco tempestivo riuscito.

Questi presupposti sono sbagliati, secondo Lawson, fondatore di la consulenza di sicurezza Root Labs. Lui e Nelson hanno testato attacchi su Internet, reti locali e in ambienti di cloud computing e hanno scoperto di essere in grado di decifrare password in tutti gli ambienti utilizzando algoritmi per eliminare il jitter di rete.

Hanno in programma di discutere i loro attacchi a La conferenza di Black Hat alla fine di questo mese a Las Vegas.

"Credo davvero che le persone debbano vedere gli exploit per vedere che questo è un problema che devono essere risolti", ha detto Lawson. Dice di essersi concentrato su questi tipi di applicazioni Web proprio perché sono così spesso ritenuti invulnerabili agli attacchi temporali. "Volevo raggiungere le persone che erano meno consapevoli di ciò", ha detto.

I ricercatori hanno anche scoperto che le query fatte a programmi scritti in linguaggi interpretati come Python o Ruby - entrambi molto popolari sul Web - hanno generato risposte molto più lente rispetto ad altri tipi di linguaggi come C o linguaggio assembly, rendendo più attuabili gli attacchi temporali. "Per le lingue che vengono interpretate, si finisce con una differenza temporale molto maggiore di quanto si pensasse", ha detto Lawson.

Tuttavia, questi attacchi non sono nulla di cui la maggior parte delle persone dovrebbe preoccuparsi, secondo Yahoo Director of Standards Eran Hammer-Lahav, un collaboratore di entrambi i progetti OAuth e OpenID. "Non ne sono interessato", ha scritto in un messaggio di posta elettronica. "Non penso che nessun grande fornitore stia utilizzando alcuna delle librerie open source per la loro implementazione lato server, e anche se lo facessero, questo non è un attacco banale da eseguire."

Lawson e Nelson hanno notificato agli sviluppatori di software interessati dal problema, ma non rilasceranno i nomi dei prodotti vulnerabili fino a quando non saranno corretti. Per la maggior parte delle librerie interessate, la correzione è semplice: programmare il sistema affinché impieghi lo stesso tempo per restituire password corrette e non corrette. Questo può essere fatto in circa sei righe di codice, ha detto Lawson.

È interessante notare che i ricercatori hanno scoperto che le applicazioni basate su cloud potrebbero essere più vulnerabili a questo tipo di attacchi perché servizi come Amazon EC2 e Slicehost danno agli aggressori un modo per ottenere vicino ai loro obiettivi, riducendo così il jitter di rete.

Lawson e Nelson non stanno dicendo prima della loro discussione a Black Hat quanto fossero precise le loro misure temporali, ma ci sono in realtà dei motivi per cui sarebbe più difficile tirare fuori questo tipo di attacco il cloud, secondo Scott Morrison, CTO con Layer 7 Technologies, un fornitore di sicurezza di cloud computing.

Poiché molti sistemi virtuali e applicazioni diversi sono in competizione per le risorse di elaborazione nel cloud, può essere difficile ottenere risultati affidabili, disse. "Tutte queste cose funzionano per mitigare questo particolare … attacco perché aggiunge semplicemente imprevedibilità all'intero sistema."

Tuttavia, ha detto che questo tipo di ricerca è importante perché mostra come un attacco, che sembra quasi impossibile ad alcuni

Robert McMillan copre le ultime novità in materia di sicurezza informatica e tecnologia generale per Servizio IDG. Segui Robert su Twitter all'indirizzo @bobmcmillan. L'indirizzo e-mail di Robert è [email protected]