Znajdź zawartość

Miliony użytkowników serwisów społecznościowych i wielu innych witryn, na których wymagane jest logowanie, jest narażonych na atak. Nate Lawson i Taylor Nelson odkryli prosty błąd w dziesiątkach opensource'owych bibliotek, w tym takich, które są wykorzystywane do implementacji standardów OAuth i OpenID. Uwierzytelnianie dokonywane za ich pomocą jest akceptowane m.in. przez Twittera i Digga. Dziury powodują, że możliwe jest przeprowadzenie znanego od 25 lat ataku (timing attack) polegającego na analizie czasu potrzebnego do wykonania algorytmów kryptograficznych. Dotychczas sądzono, że ich przeprowadzenie przez sieć jest niezwykle trudne. Lawson i Nelson wykazali, że nie w tym przypadku. Timing attack wymaga przeprowadzenia niezwykle precyzyjnych pomiarów. Informacja o błędnym haśle jest bowiem zwracana natychmiast po napotkaniu pierwszego nieprawidłowego znaku. Oznacza to, że informacja, iż używamy hasła, w którym niewłaściwy jest pierwszy znak zostanie przekazana nieco szybciej, niż wówczas, gdy błędny będzie np. 3. znak. Specjaliści uważali, że przeprowadzenie ataku, w którym ważne są różnice liczone w milisekundach, jest niemal niemożliwe w przypadku, gdy nie mamy fizycznego dostępu do atakowanego systemu. Lawson i Nelson opracowali jednak algorytm, który pozwala na przeprowadzanie zdalnych ataków, gdyż uwzględniają one wszelkie zakłócenia związane z działaniem sieci komputerowych. Obaj specjaliści mają zamiar ujawnić szczegóły swoich badań na najbliższej konferencji Black Hat. Eran Hammer-Lahav z Yahoo!, który bierze udział w pracach OAuth i OpenID uważa, że przeciętny użytkownik nie ma czym się martić. "Nie sądzę, by jakikolwiek duży provider używał po stronie swojego serwera opensource'owych bibliotek. A jeśli nawet to robi, to atak nie jest łatwy do przeprowadzenia". Lawson i Nelson nie ujawnili, w których bibliotekach tkwi błąd. Powiadomili już ich twórców. Poprawienie luk jest niezwykle proste i nie powinno zająć więcej niż napisanie 6 linijek kodu. Wystarczy bowiem poinstruować oprogramowanie, by w identycznych odstępach czasu informowało zarówno o prawidłowych jak i nieprawidłowych hasłach. Metoda Lawsona i Nelsona została przetestowana w internecie, sieci lokalnej i chmurach obliczeniowych. Co ciekawe, chmury są bardziej narażone niż "zwykła" sieć, gdyż "przybliżają" napastnika do celu ataku, a zatem występują mniejsze zakłócenia spowodowane pracą w sieci.

Czterech znanych ekspertów ds. bezpieczeństwa, Dino Dai Zovi, Peter Ferrie z Symanteka, Nate Lawson z Root Labs i Thomas Ptacek z Matasaano rzuciło wyzwanie znanej polskiej specjalistce Joannie Rutkowskiej. Jest ona autorką technologii „Blue Pill”, która wykorzystuje technologię wirtualizacji procesorów AMD do ukrycia szkodliwego kodu. Dzięki niej, jak mówi Rutkowska, można stworzyć niewykrywalnego rootkita. Jej oponenci twierdzą, że program zostawiłby tak wiele śladów, iż nie zdołałby się ukryć i wezwali Rutkowską do udowodnienia swoich twierdzeń. Pani Joanna przyjęła wyzwanie, ale postawiła kilka warunków. Podstawowym jest znalezienie sponsora. Stworzenie odpowiedniego kodu będzie kosztowało ją i jej firmę 416 000 dolarów. Program musi być pisany od początku, gdyż „Blue Pill” powstało, gdy Rutkowska pracowała w innej firmie, więc nie może wykorzystać stworzonego wówczas kodu. Inny warunek to zapewnienie co najmniej 5 maszyn, na których zostanie przeprowadzony pokaz. Wtedy bowiem istnieje małe prawdopodobieństwo, że stworzony przez nią szkodliwy kod zostanie odkryty przypadkiem metodą zgadywania.