Skocz do zawartości
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Błąd w opensource'owych bibliotekach

dodany przez KopalniaWiedzy.pl, w Technologia

Rekomendowane odpowiedzi

KopalniaWiedzy.pl    317

KopalniaWiedzy.pl
Napisano

Miliony użytkowników serwisów społecznościowych i wielu innych witryn, na których wymagane jest logowanie, jest narażonych na atak. Nate Lawson i Taylor Nelson odkryli prosty błąd w dziesiątkach opensource'owych bibliotek, w tym takich, które są wykorzystywane do implementacji standardów OAuth i OpenID. Uwierzytelnianie dokonywane za ich pomocą jest akceptowane m.in. przez Twittera i Digga. Dziury powodują, że możliwe jest przeprowadzenie znanego od 25 lat ataku (timing attack) polegającego na analizie czasu potrzebnego do wykonania algorytmów kryptograficznych. Dotychczas sądzono, że ich przeprowadzenie przez sieć jest niezwykle trudne. Lawson i Nelson wykazali, że nie w tym przypadku.

Timing attack wymaga przeprowadzenia niezwykle precyzyjnych pomiarów. Informacja o błędnym haśle jest bowiem zwracana natychmiast po napotkaniu pierwszego nieprawidłowego znaku. Oznacza to, że informacja, iż używamy hasła, w którym niewłaściwy jest pierwszy znak zostanie przekazana nieco szybciej, niż wówczas, gdy błędny będzie np. 3. znak.

Specjaliści uważali, że przeprowadzenie ataku, w którym ważne są różnice liczone w milisekundach, jest niemal niemożliwe w przypadku, gdy nie mamy fizycznego dostępu do atakowanego systemu.

Lawson i Nelson opracowali jednak algorytm, który pozwala na przeprowadzanie zdalnych ataków, gdyż uwzględniają one wszelkie zakłócenia związane z działaniem sieci komputerowych. Obaj specjaliści mają zamiar ujawnić szczegóły swoich badań na najbliższej konferencji Black Hat.

Eran Hammer-Lahav z Yahoo!, który bierze udział w pracach OAuth i OpenID uważa, że przeciętny użytkownik nie ma czym się martić. "Nie sądzę, by jakikolwiek duży provider używał po stronie swojego serwera opensource'owych bibliotek. A jeśli nawet to robi, to atak nie jest łatwy do przeprowadzenia".

Lawson i Nelson nie ujawnili, w których bibliotekach tkwi błąd. Powiadomili już ich twórców. Poprawienie luk jest niezwykle proste i nie powinno zająć więcej niż napisanie 6 linijek kodu. Wystarczy bowiem poinstruować oprogramowanie, by w identycznych odstępach czasu informowało zarówno o prawidłowych jak i nieprawidłowych hasłach.

Metoda Lawsona i Nelsona została przetestowana w internecie, sieci lokalnej i chmurach obliczeniowych. Co ciekawe, chmury są bardziej narażone niż "zwykła" sieć, gdyż "przybliżają" napastnika do celu ataku, a zatem występują mniejsze zakłócenia spowodowane pracą w sieci.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jurgi    1

Jurgi
Napisano

Ale wydaje mi się, że będzie to dotyczyć tylko przypadku haseł trzymanych w formie jawnej, w przypadku hashowanych chyba nie jest coś takiego możliwe?

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Przemek Kobel    65

Przemek Kobel
Napisano
Poprawienie luk jest niezwykle proste i nie powinno zająć więcej niż napisanie 6 linijek kodu.

 

hmm....

 

$ct=gettimeofday(true);

... autoryzacja ...

usleep(max(1,1000000*(3-gettimeofday(true)+$ct)));

 

Wyrównanie do trzech sekund.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jurgi    1

Jurgi
Napisano

Sześć linijek, ale zależy w jakim języku. :D

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Przemek Kobel    65

Przemek Kobel
Napisano

W Perlu wystarczyłaby pewnie jedna (z możliwością zapisania na dwadzieścia sposobów). Tak czy owak, to są tylko dwa polecenia, które i tak byłyby zbędne, gdyby np. serwer nie pozwalał na zbyt częste próby logowania.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Przejdź do listy tematów

  • Podobna zawartość

    • KopalniaWiedzy.pl
      Apple zapłaci nawet milion za informację o dziurach
      przez KopalniaWiedzy.pl
      Za znalezienie luki w produktach Apple'a można będzie otrzymać do miliona dolarów. Ivan Krstic, odpowiedzialny w Apple'u za kwestie bezpieczeństwa, poinformował podczas dorocznej konferencji Black Hat, że firma zwiększa z 200 000 do 1 000 000 limit kwoty, jaką płaci za znalezione dziury. Przedsiębiorstwo chce w ten sposób zachęcić odkrywców luk, by informowali je o ich istnieniu, zamiast by sprzedawali je na czarnym rynku.
      Co więcej, program nagród nie będzie ograniczony tylko do iPhone'a ale będzie dotyczył również innych produktów, jak iPad, Mac, Apple Watch czy Apple TV.
      Dotychczas firma płaciła do 200 000 USD za informacje o dziurach, ale krytykowano ją, że to zbyt mała kwota, więc istnieje pokusa sprzedaży informacji na czarnym rynku, co negatywnie odbiłoby się na bezpieczeństwie użytkowników firmowych produktów.
      Oczywiście nie dostaniemy miliona dolarów za każdą informację o luce. Najwyższą kwotę przewidziano tylko dla znalazców najpoważniejszych najbardziej groźnych dziur. Ponadto do 500 000 dolarów zwiększono kwotę za informacje o dziurach pozwalających na nieuprawniony dostęp do danych użytkownika.

      « powrót do artykułu
    • KopalniaWiedzy.pl
      Dziurawe sterowniki wielkich producentów zagrażają Windows
      przez KopalniaWiedzy.pl
      Eksperci z firmy Eclypisium ostrzegają, że ponad 40 sterowników dla systemu Windows zawiera dziury, które mogą zostać wykorzystane do ataku na pecety i serwery. Błędy występują w produktach wielu gigantów IT, takich jak Intel, Toshiba, Huawei czy Asus. Narażone na atak są wszystkie wersje Windows.
      Dziury znalezione przez pracowników Eclypsium pozwalają na zwiększenie uprawnień w dostępie do sprzętu. Za ich powstanie odpowiada niedbałość w pisaniu kodu i niezwracanie uwagi na kwestie bezpieczeństwa.
      Eclypsium już poinformowało wszystkich 20 producentów sterowników. Dotychczas 15 z nich poprawiło swoje oprogramowanie. Sterowniki załatali m.in. Intel, Huawei, Toshiba, NVIDIA, Gigabyte, Biostar, AsRock, AMI, Realtek, ASUSTek czy AMD. Kilku producentów nie wypuściło jeszcze poprawek, dlatego ich nazw nie ujawniono.
      Błędy w sterownikach zdarzają się dość często. W czerwcu Microsoft poprawiał swój sterownik dla urządzeń bezprzewodowych firmy Broadcom, a w marcu specjaliści z Redmond poinformowali Huawei o znalezieniu dziury w sterowniku highendowych MateBook'ów.

      « powrót do artykułu
    • KopalniaWiedzy.pl
      Inżynier Microsoft proponuje porzucenie języków C i C++
      przez KopalniaWiedzy.pl
      Gavin Thomas, który w Microsofcie sprawuje funkcję Principal Security Engineering Manager, zasugerował, że ze względów bezpieczeństwa czas porzucić języki C i C++. Thomas argumentuje na blogu Microsoftu, że rezygnacja ze starszych języków na rzecz języków bardziej nowoczesnych pozwoli na wyeliminowanie całej klasy błędów bezpieczeństwa.
      Od 2004 roku każdy błąd naprawiony w oprogramowaniu Microsoftu jest przez nas przypisywany do jednej z kategorii. Matt Miller podczas konferencji Blue Hat w 2019 roku zauważył, że większość tych dziur powstaje wskutek działań programistów, którzy przypadkowo wprowadzają do kodu C i C++ błędy związane z zarządzeniem pamięcią. Problem narasta w miarę jak Microsoft tworzy coraz więcej kodu i coraz silniej zwraca się w stronę oprogramowania Open Source. A Microsoft nie jest jedyną firmą, która ma problemy z błędami związanymi  z zarządzaniem pamięcią, pisze Thomas.
      W dalszej części swojego wpisu menedżer wymienia liczne zalety C++, ale zauważa, że język ten ma już swoje lata i pod względem bezpieczeństwa czy metod odstaje od nowszych języków. Zamiast wydawać kolejne zalecenia i tworzyć narzędzia do walki z błędami, powinniśmy skupić się przede wszystkim na tym, by programiści nie wprowadzali błędów do kodu, czytamy.
      Dlatego też Thomas proponuje porzucenie C++. Jednym z najbardziej obiecujących nowych języków programistycznych zapewniających bezpieczeństwo jest Rust, opracowany oryginalnie przez Mozillę. Jeśli przemysł programistyczny chce dbać o bezpieczeństwo, powinien skupić się na rozwijaniu narzędzi dla developerów, a nie zajmować się tymi wszystkimi pobocznymi sprawami, ideologią czy przestarzałymi metodami i sposobami rozwiązywania problemów.

      « powrót do artykułu
    • KopalniaWiedzy.pl
      Błąd w obliczeniach dot. ogrzewania się oceanów
      przez KopalniaWiedzy.pl
      Niedawno donosiliśmy o wynikach badań, z których wynika, że oceany ogrzały się bardziej niż dotychczas sądziliśmy. Teraz ich autorzy informują, że popełnili błąd w obliczeniach. Podkreślają przy tym, że pomyłka nie falsyfikuje użytej metodologii czy nowego spojrzenia na biochemię oceanów, na których metodologię tę oparto. Oznacza jednak, że konieczne jest ponowne przeprowadzenie obliczeń.
      Jak mówi współautor badań, Ralph Keeling, od czasu publikacji wyników badań w Nature, ich autorzy zauważyli dwa problemy. Jeden z nich związany jest z nieprawidłowym podejściem do błędów pomiarowych podczas mierzenia poziomu tlenu. Sądzimy, że łączy efekt tych błędów będzie miał niewielki wpływ na ostateczny wynik dotyczący ilości ciepła pochłoniętego przez oceany, ale wynik ten będzie obarczony większym marginesem błędu. Właśnie prowadzimy ponowne obliczenia i przygotowujemy się do opublikowania autorskiej poprawki na łamach Nature, stwierdza Keeling.
      Redakcja Nature również postanowiła pochylić się nad problemem. Dla nas, wydawców, dokładność publikowanych danych naukowych ma zasadnicze znaczenie. Jesteśmy odpowiedzialni za skorygowanie błędów w artykułach, które opublikowaliśmy, oświadczyli przedstawiciele pisma.

      « powrót do artykułu
    • KopalniaWiedzy.pl
      Apple załata dziurę wykorzystaną przez FBI
      przez KopalniaWiedzy.pl
      Apple zamknie lukę, która pozwala organom ścigania na zdobycie informacji osobistych z zablokowanego iPhone'a. Dziura zostanie załatana wraz z najbliższą aktualizacją iOS-a.
      Po jej naprawieniu nie będzie już możliwe pobranie danych przez port Lightning. Nadal będzie on wykorzystywany do transferu danych, jednak jeśli w ciągu godziny po zablokowaniu telefonu urządzenie nie zostanie odblokowane za pomocą hasła, transfer danych zostanie wyłączony.
      To właśnie tę dziurę wykorzystano podczas głośnego włamania do iPhone'a mordercy z San Bernardino. Po odmowie współpracy ze strony Apple'a, FBI wynajęło nieujawnioną dotychczas firmę, która wydobyła dane z zablokowanego telefonu.
      Postawa Apple'a, które odmówiło FBI pomocy przy zdobyciu danych z telefonu terrorysty, wywołała dyskusję na temat kwestii prawnych, etycznych i technicznych. Koncern został ostro skrytykowany m.in. przez kandydata na prezydenta, Donalda Trumpa.
      Teraz firma jeszcze bardziej zwiększy bezpieczeństwo swoich urządzeń i utrudni tym samym organom ścigania dostęp do telefonów przestępców. Dyrektor wykonawczy Apple'a Tim Cook stwierdził, że prawo do prywatności jest podstawowym prawem człowieka i skrytykował Facebooka oraz Google'a za przechowywanie i przetwarzanie w celach marketingowych olbrzymich ilości dancyh swoich użytkowników. Sprzeciwiał się też próbom uzyskania przez FBI dostępu do iPhone'a terrorysty z San Bernardino twierdząc, że stworzyłoby to niebezpieczny precedens.
      Nie wiadomo, dlaczego Apple tak długo zwlekało z załataniem dziury, która była znana organom ścigania i, prawdopodobnie, przestępcom.

      « powrót do artykułu

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...