Forscher: Passwort-Crack könnte Millionen beeinflussen

Die Forscher Nate Lawson und Taylor Nelson haben sie entdeckt ein grundlegender Sicherheitsfehler, der sich auf Dutzende von Open-Source-Softwarebibliotheken auswirkt - einschließlich derer, die von Software verwendet werden, die OAuth- und OpenID-Standards implementiert -, die zum Überprüfen von Kennwörtern und Benutzernamen bei der Anmeldung von Websites verwendet werden. OAuth- und OpenID-Authentifizierung werden von gängigen Websites wie Twitter und Digg akzeptiert.

Sie haben festgestellt, dass einige Versionen dieser Anmeldesysteme anfällig für einen so genannten Timing-Angriff sind. Kryptographen wissen seit 25 Jahren über Timing-Attacken Bescheid, aber es wird allgemein angenommen, dass sie sehr schwer über ein Netzwerk zu erreichen sind. Die Forscher wollen zeigen, dass das nicht der Fall ist.

[Lesen Sie weiter: So entfernen Sie Malware von Ihrem Windows-PC]

Die Angriffe werden als so schwierig erachtet, weil sie sehr genaue Messungen erfordern. Sie knacken Kennwörter, indem sie die Zeit messen, die ein Computer benötigt, um auf eine Anmeldeanforderung zu antworten. Bei einigen Anmeldesystemen prüft der Computer nacheinander die Kennwortzeichen und löst die Meldung "Anmeldung fehlgeschlagen" aus, sobald ein ungültiges Zeichen im Kennwort gefunden wird. Dies bedeutet, dass ein Computer einen komplett schlechten Login-Versuch ein kleines bisschen schneller zurückgibt als ein Login, bei dem das erste Zeichen im Passwort korrekt ist.

Indem Sie versuchen, sich immer wieder einzuloggen, Zeichen zu durchlaufen und die Zeit zu messen Computer zu reagieren, können Hacker schließlich die richtigen Passwörter herausfinden.

Das klingt alles sehr theoretisch, aber Timing-Attacken können tatsächlich in der realen Welt erfolgreich sein. Vor drei Jahren wurde einer verwendet, um Microsofts Xbox 360-Glücksspielsystem zu hacken, und Leute, die Smartcards bauen, haben seit Jahren einen Timing-Angriffsschutz.

Aber Internetentwickler haben lange angenommen, dass es zu viele andere Faktoren gibt - Netzwerkjitter genannt - das verlangsamt oder beschleunigt die Antwortzeiten und macht es fast unmöglich, die Art von präzisen Ergebnissen zu erhalten, wo Nanosekunden einen Unterschied ausmachen, die für einen erfolgreichen Timing-Angriff erforderlich sind.

Diese Annahmen sind falsch, so Lawson, Gründer von die Sicherheitsberatung Root Labs. Er und Nelson testeten Angriffe über das Internet, lokale Netzwerke und in Cloud-Computing-Umgebungen und stellten fest, dass sie Passwörter in allen Umgebungen knacken konnten, indem sie Algorithmen verwendeten, um den Netzwerk-Jitter auszumerzen.

Sie planen, ihre Angriffe zu diskutieren Die Black-Hat-Konferenz wird später in diesem Monat in Las Vegas stattfinden.

"Ich glaube wirklich, dass die Leute Exploits sehen müssen, um zu sehen, dass dies ein Problem ist, das sie beheben müssen", sagte Lawson. Er sagt, er habe sich auf diese Art von Web-Anwendungen konzentriert, gerade weil man sie oft für Timing-Attacken als unverwundbar hält. "Ich wollte die Leute erreichen, die es am wenigsten wussten", sagte er.

Die Forscher fanden auch heraus, dass Anfragen an Programme in interpretierten Sprachen wie Python oder Ruby - beide sehr beliebt im Web - generiert wurden Antworten viel langsamer als andere Arten von Sprachen wie C oder Assembler, wodurch Timing-Attacken machbarer werden. "Für Sprachen, die interpretiert werden, haben Sie am Ende einen viel größeren Timing-Unterschied als die Leute dachten", sagte Lawson.

Dennoch sind diese Angriffe nichts, worüber sich die meisten Menschen Sorgen machen sollten, laut Yahoo Director of Standards Eran Hammer-Lahav, ein Beitrag zu den OAuth- und OpenID-Projekten. "Ich bin nicht davon betroffen", schrieb er in einer E-Mail-Nachricht. "Ich glaube nicht, dass ein großer Anbieter eine der Open-Source-Bibliotheken für seine serverseitige Implementierung verwendet, und selbst wenn, wäre dies kein trivialer Angriff."

Lawson und Nelson haben die von dem Problem betroffenen Softwareentwickler benachrichtigt, werden jedoch die Namen der gefährdeten Produkte erst freigeben, wenn sie behoben sind. Für die meisten betroffenen Bibliotheken ist die Behebung einfach: Programmieren Sie das System so, dass es die gleiche Zeit benötigt, um korrekte und falsche Passwörter zurückzugeben. Dies kann in etwa sechs Zeilen Code geschehen, sagte Lawson.

Interessanterweise fanden die Forscher heraus, dass Cloud-basierte Anwendungen anfälliger für diese Art von Angriffen sein könnten, da Dienste wie Amazon EC2 und Slicehost den Angreifern eine Möglichkeit bieten nahe bei ihren Zielen und reduziert so Netzwerkjitter.

Lawson und Nelson sagen vor ihrem Vortrag bei Black Hat nicht, wie genau ihre Timing-Messungen waren, aber es gibt Gründe, warum es schwieriger sein könnte, diese Art von Attacken durchzuführen Die Cloud, so Scott Morrison, CTO bei Layer 7 Technologies, einem Anbieter von Cloud-Computing-Sicherheit.

Da viele verschiedene virtuelle Systeme und Anwendungen um Rechenressourcen in der Cloud konkurrieren, kann es schwierig sein, zuverlässige Ergebnisse zu erzielen sagte. "All diese Dinge arbeiten, um diesen speziellen … Angriff zu lindern, weil es dem System nur noch Unvorhersehbarkeit hinzufügt."

Dennoch sagte er, dass diese Art von Forschung wichtig ist, weil sie zeigt, wie ein Angriff für manche unmöglich scheint, kann wirklich funktionieren.

Robert McMillan behandelt Computersicherheit und allgemeine Technologie, die Nachrichten für

Der IDG-Nachrichtenservice. Folge Robert auf Twitter unter @bobmcmillan. Roberts E-Mail-Adresse lautet [email protected]