Mga Mananaliksik: Maaaring maapektuhan ng Password Crack ang Milyun-milyong

Nakita nila na ang ilang mga bersyon ng mga sistemang ito sa pag-login ay mahina sa kung ano ang kilala bilang isang pag-atake sa tiyempo. Alam ng mga cryptographer ang mga pag-atake ng tiyempo sa loob ng 25 taon, ngunit sa pangkalahatan ay iniisip na napakahirap na huminto sa isang network. Ang mga mananaliksik ay naglalayong ipakita na hindi iyon ang kaso.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Ang mga pag-atake ay naisip na napakahirap dahil nangangailangan sila ng mga tumpak na sukat. Sila ay pumutok ng mga password sa pamamagitan ng pagsukat ng oras na kinakailangan para sa isang computer upang tumugon sa isang kahilingan sa pag-login. Sa ilang mga sistema ng pag-login, ang computer ay mag-check ng mga character ng password nang paisa-isa, at kick back ng "nabigo ang pag-login" na mensahe sa lalong madaling makita ang isang masamang character sa password. Nangangahulugan ito na ang isang computer ay nagbabalik ng isang ganap na masamang pag-login na pagtatangka ng isang maliit na bit na mas mabilis kaysa sa isang pag-login kung saan tama ang unang karakter sa password.

Sa pamamagitan ng sinusubukang mag-log in muli at muli, pagbibisikleta sa pamamagitan ng mga character at pagsukat ng oras na kinakailangan para sa Ang computer ay tutugon, ang mga hacker ay maaaring mag-isip sa huli ng mga tamang password.

Ang lahat ng ito ay may tunog na panteorya, ngunit ang mga pag-atake ng oras ay maaaring magtagumpay sa tunay na mundo. Tatlong taon na ang nakararaan, ang isa ay ginagamit upang tadtarin ang sistema ng paglalaro ng Xbox 360 ng Microsoft, at ang mga taong nagtatayo ng mga smart card ay nagdagdag ng proteksyon sa pag-atake ng tiyempo sa mga taon.

Ngunit ang mga tagabuo ng Internet ay may matagal na ipinapalagay na may napakaraming iba pang mga kadahilanan - na tinatawag na network jitter - na nagpapabagal o nagpapabilis ng mga oras ng pagtugon at gawin itong halos imposible upang makuha ang uri ng tumpak na mga resulta, kung saan ang nanoseconds ay gumawa ng isang pagkakaiba, na kinakailangan para sa isang matagumpay na pag-atake sa tiyempo.

Ang mga pagpapalagay ay mali, ayon kay Lawson, tagapagtatag ng ang security consultancy Root Labs. Sinubukan Nelson at Nelson ang mga pag-atake sa Internet, lokal na mga network at sa mga kapaligiran sa cloud computing at natagpuan nila na ma-crack ang mga password sa lahat ng mga kapaligiran sa pamamagitan ng paggamit ng mga algorithm upang alisin ang network nerbiyusin. ang Black Hat conference mamaya sa buwang ito sa Las Vegas.

"Talagang tingin ko ang mga tao na kailangan upang makita ang mga pagsasamantala ng mga ito upang makita na ito ay isang problema na kailangan nila upang ayusin," sinabi Lawson. Sinabi niya na nakatuon siya sa mga ganitong uri ng mga application sa Web nang tumpak dahil madalas na iniisip na hindi maapektuhan ang pag-atake sa pag-ooras. "Nais kong maabot ang mga tao na hindi gaanong alam ito," ang sabi niya.

Natuklasan din ng mga mananaliksik na ang mga query na ginawa sa mga programang nakasulat sa mga interpretasyong wika tulad ng Python o Ruby - parehong napakapopular sa Web na binuo mas mabagal ang mga tugon kaysa sa iba pang mga uri ng mga wika tulad ng C o kapulungan ng wika, na ginagawang higit na posible ang pag-atake ng tiyempo. "Para sa mga lengguwahe na binibigyang kahulugan, nagtatapos ka ng isang mas malaking pagkakaiba sa panahon kaysa sa naisip ng mga tao," ayon kay Lawson. Gayunpaman, ang mga pag-atake na ito ay walang anuman na dapat mag-alala tungkol sa karamihan ng tao, ayon sa Yahoo Director of Standards Eran Hammer-Lahav, isang kontribyutor sa parehong mga proyekto ng OAuth at OpenID. "Hindi ako nag-aalala dito," sumulat siya sa isang e-mail na mensahe. "Hindi sa palagay ko ang anumang malalaking tagabigay ng serbisyo ay gumagamit ng alinman sa mga open source library para sa pagpapatupad ng kanilang server, at kahit na ginawa nila, ito ay hindi isang maliit na pag-atake upang maisagawa."

Nalaman na nina Lawson at Nelson ang mga developer ng software na apektado ng problema, ngunit hindi lilisan ang mga pangalan ng mga mahihina na produkto hanggang sa maayos ang mga ito. Para sa karamihan ng mga aklatan na apektado, ang pag-aayos ay simple: Programa ang sistema upang gawin ang parehong dami ng oras upang ibalik ang parehong tama at hindi tamang mga password. Ito ay maaaring gawin sa tungkol sa anim na linya ng code, sinabi ni Lawson.

Napakaakit, natuklasan ng mga mananaliksik na ang mga application na batay sa ulap ay maaaring mas mahina sa ganitong uri ng pag-atake dahil ang mga serbisyo tulad ng Amazon EC2 at Slicehost ay nagbibigay ng mga attackers ng isang paraan upang makakuha ng malapit sa kanilang mga target, kaya binabawasan ang jitter ng network.

Hindi sinasabi ni Lawson at Nelson bago ang kanilang pag-uusap sa Black Hat kung gaano katumpak ang kanilang mga sukat ng tiyempo, ngunit may mga tunay na kadahilanan na maaaring mas mahirap i-pull off ang ganitong uri ng pag-atake sa ang cloud, ayon kay Scott Morrison, CTO sa Layer 7 Technologies, isang cloud-computing security provider.

Dahil maraming iba't ibang mga virtual na sistema at mga aplikasyon ang nakikipagkumpitensya para sa mga mapagkukunang computing sa cloud, maaaring mahirap makuha ang mga maaasahang resulta, siya sinabi. "Lahat ng mga bagay na ito ay gumagana upang makatulong sa pagaanin ang partikular na … pag-atake na ito sapagkat ito ay nagdadagdag lamang ng hindi maipahahayag sa buong sistema."

Gayunpaman, sinabi niya ang ganitong uri ng pananaliksik ay mahalaga dahil nagpapakita ito kung paano isang atake, na tila halos imposible sa ilang, talagang gumagana.

Robert McMillan ay sumasaklaw sa seguridad ng computer at pangkalahatang teknolohiya ng breaking balita para sa

Ang IDG News Service

. Sundin si Robert sa Twitter sa @bobmcmillan. Ang e-mail address ni Robert ay [email protected]