Poznati kriptografski napad mogao bi poslužiti hakeri za prijavu u web aplikacije koje koriste milijuni korisnika, tvrde dvojica sigurnosnih stručnjaka koji namjeravaju raspravljati o toj temi na nadolazećoj sigurnosnoj konferenciji.

Otkrili su da su neke verzije tih sustava za prijavu ranjive na ono što je poznato kao napad na vrijeme. Cryptographers su poznavali o vremenskim napadima već 25 godina, ali općenito se smatraju vrlo teško ukloniti preko mreže.

[Više čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Napadi se smatraju tako teškim jer zahtijevaju precizna mjerenja. Puknuće lozinki mjerenjem vremena koje računalo treba reagirati na zahtjev za prijavu. Na nekim sustavima za prijavu, računalo će provjeriti znakove lozinke jednu po jednu, i vratiti poruku "prijavu nije uspjela" čim ugleda loše lozinke. To znači da se računalo vraća potpuno lošem pokušaju prijave malo brže od prijave gdje je prvi znak u zaporci točan.

Pokušavajući se ponovno prijaviti, pretraživati ​​znakove i mjeriti vrijeme koje je potrebno za računalo da odgovori, hakeri u konačnici mogu otkriti ispravne lozinke.

Ovo sve zvuči vrlo teorijsko, ali timing napadi zapravo mogu uspjeti u stvarnom svijetu. Prije tri godine jedan je korišten za hakiranje Microsoftovog Xbox 360 sustava za igru, a ljudi koji grade smart kartice već godinama dodaju vremensku zaštitu.

Ali programeri Interneta dugo su pretpostavili da postoji previše drugih čimbenika - zvan mrežni podrhtavanje - koji usporavaju ili ubrzavaju vrijeme odziva i čine ga gotovo nemogućim da dobiju vrste preciznih rezultata, gdje nanosekunde čine razliku, potrebnu za uspješan napad u vremenu.

Te pretpostavke su pogrešne, prema Lawsonu, utemeljitelju sigurnosni savjetnik Root Labs. On i Nelson testirali su napade preko interneta, lokalnih mreža i u okruženjima računalstva u oblaku, te su otkrili da su u stanju spriječiti zaporku u svim okruženjima pomoću algoritama kako bi uklonili mrežni jitter.

Oni namjeravaju raspravljati o njihovim napadima na konferenciju Black Hat kasnije ovog mjeseca u Las Vegasu. "Stvarno mislim da ljudi trebaju vidjeti svoje pothvate kako bi vidjeli da je to problem koji im je potrebno popraviti", rekao je Lawson. On kaže da se usredotočio na ove vrste web aplikacija upravo zato što se tako često smatraju neranjivim na vrijeme napada. "Htjela sam doći do ljudi koji su bili najmanje svjesni toga", rekao je.

Istraživači su također utvrdili da se upiti upućeni programima napisanim na tumačenim jezicima kao što su Python ili Ruby - i vrlo popularni na webu - generirani odgovori mnogo sporije od drugih vrsta jezika kao što su C ili sastavni jezik, što čini napadačima više izvedivim. "Za jezike koji se interpretiraju, vi završite s puno većom razlučivostima vremena nego što su ljudi mislili", rekao je Lawson. Ipak, ovi napadi nisu ništa što bi većina ljudi trebalo brinuti, prema Yahoo direktoru standarda Eran Hammer-Lahav, pridonosi i projektima OAuth i OpenID. "Ne brinu me", napisao je u e-poruci. "Mislim da nitko od dobavljača ne koristi bilo koju od open source biblioteka za njihovu implementaciju na strani poslužitelja, pa čak i ako to učine, to nije trivijalni napad za izvršavanje."

Lawson i Nelson obavijestili su programere koji su pogođeni problemom, ali neće osloboditi imena ranjivih proizvoda sve dok ne budu fiksni. Za većinu knjižnica na koje se to odnosi, popravak je jednostavan: Programirajte sustav da uzme istu količinu vremena kako bi vratio ispravne i netočne zaporke. To se može učiniti u oko šest redaka koda, rekao je Lawson.

Zanimljivo je da su istraživači utvrdili da aplikacije temeljene na oblaku mogu biti podložnije tim tipovima napada jer usluge poput Amazon EC2 i Slicehost pružaju napadačima način da se dobije u blizini njihovih ciljeva, čime se smanjuje mrežna podrhtavanje.

Lawson i Nelson ne govore prije nego što su razgovarali u Black Hatu koliko su točna njihova mjerenja vremena, ali zapravo postoje razlozi zbog kojih bi bilo teže ukloniti ovu vrstu napada cloud, prema Scott Morrisonu, CTO-u s Layer 7 Technologiesom, računalnim pružateljima sigurnosnih usluga.

Budući da se mnogi različiti virtualni sustavi i aplikacije natječu za računanje resursa u oblaku, teško je dobiti pouzdane rezultate, on rekao je. "Sve te stvari pomažu ublažiti ovaj napad … jer samo dodaje nepredvidljivost čitavom sustavu." Ipak, on je rekao da je takva vrsta istraživanja važna jer pokazuje kako je napad koji se čini gotovo nemogućim za neke, stvarno može raditi.

Robert McMillan pokriva računalnu sigurnost i opću tehnologiju najnovije vijesti za

IDG News Service

. Slijedite Roberta na Twitteru @ bobmcmillan. Robertova adresa e-pošte je [email protected]