Pesquisadores: Crack de senha pode afetar milhões

Um ataque criptográfico conhecido poderia ser usado por hackers para acessar aplicativos da Web usados ​​por milhões de usuários, de acordo com dois especialistas em segurança que planejam discutir o problema em uma conferência de segurança. uma falha básica de segurança que afeta dezenas de bibliotecas de software de código aberto - incluindo aquelas usadas pelo software que implementa os padrões OAuth e OpenID - que são usadas para verificar senhas e nomes de usuários quando as pessoas fazem login em sites. As autenticações OAuth e OpenID são aceitas pelos sites populares, como o Twitter e o Digg.

Eles descobriram que algumas versões desses sistemas de login são vulneráveis ​​ao que é conhecido como um ataque de temporização. Criptógrafos sabem sobre os ataques de temporização há 25 anos, mas geralmente são muito difíceis de realizar em uma rede. Os pesquisadores pretendem mostrar que não é o caso.

[Leitura adicional: Como remover malware do seu PC com Windows]

Os ataques são considerados tão difíceis porque exigem medições muito precisas. Eles decifram senhas medindo o tempo que um computador leva para responder a uma solicitação de login. Em alguns sistemas de login, o computador verificará os caracteres de senha um de cada vez e retrocederá uma mensagem de "login com falha" assim que identificar um caractere incorreto na senha. Isso significa que um computador retorna uma tentativa de login completamente ruim um pouco mais rápido do que um login em que o primeiro caractere da senha está correto.

Ao tentar efetuar login novamente, percorrer os caracteres e medir o tempo que leva para o computador para responder, os hackers podem finalmente descobrir as senhas corretas.

Isso tudo soa muito teórico, mas os ataques de timing podem realmente ter sucesso no mundo real. Três anos atrás, um era usado para hackear o sistema de jogos Xbox 360 da Microsoft, e as pessoas que constroem cartões inteligentes adicionaram proteção contra ataques por tempo há anos.

Mas os desenvolvedores da Internet presumiram há muitos outros fatores - chamado jitter de rede. - Isso diminui ou acelera os tempos de resposta e torna quase impossível obter o tipo de resultados precisos, onde nanossegundos fazem a diferença necessária para um ataque de temporização bem sucedido.

Essas suposições estão erradas, de acordo com Lawson, fundador da a consultoria de segurança Root Labs. Ele e Nelson testaram ataques pela Internet, redes locais e em ambientes de computação em nuvem e descobriram que eram capazes de decifrar senhas em todos os ambientes usando algoritmos para eliminar o jitter da rede.

Eles planejam discutir seus ataques em a conferência Black Hat no final deste mês, em Las Vegas.

"Eu realmente acho que as pessoas precisam ver exploits dele para ver que este é um problema que eles precisam consertar", disse Lawson. Ele diz que se concentrou nesses tipos de aplicativos da Web precisamente porque eles são frequentemente considerados invulneráveis ​​aos ataques de temporização. "Eu queria alcançar as pessoas que estavam menos conscientes disso", disse ele.

Os pesquisadores também descobriram que as consultas feitas a programas escritos em linguagens interpretadas, como Python ou Ruby, são muito populares na Web. respostas muito mais lentamente do que outros tipos de linguagens, como C ou assembly, tornando os ataques de temporização mais viáveis. "Para idiomas que são interpretados, você acaba com uma diferença de tempo muito maior do que as pessoas pensavam", disse Lawson.

Ainda assim, esses ataques não são nada que a maioria das pessoas deva se preocupar, segundo o diretor de normas do Yahoo Eran Hammer-Lahav., colaborador dos projetos OAuth e OpenID. "Eu não estou preocupado com isso", ele escreveu em uma mensagem de e-mail. "Eu não acho que nenhum grande provedor esteja usando qualquer uma das bibliotecas de código aberto para sua implementação no lado do servidor, e mesmo se o fizerem, este não é um ataque trivial para executar."

Lawson e Nelson notificaram os desenvolvedores de software afetados pelo problema, mas não divulgam os nomes dos produtos vulneráveis ​​até que sejam corrigidos. Para a maioria das bibliotecas afetadas, a correção é simples: Programe o sistema para levar o mesmo tempo para retornar as senhas corretas e incorretas. Isso pode ser feito em cerca de seis linhas de código, disse Lawson.

Curiosamente, os pesquisadores descobriram que aplicativos baseados em nuvem poderiam ser mais vulneráveis ​​a esse tipo de ataque porque serviços como o Amazon EC2 eo Slicehost dão aos invasores uma maneira de obter próximo de seus alvos, reduzindo assim o jitter de rede.

Lawson e Nelson não estão dizendo antes de suas palestras no Black Hat quão precisas eram suas medições de tempo, mas na verdade existem motivos para que seja mais difícil realizar esse tipo de ataque a nuvem, de acordo com Scott Morrison, CTO da Layer 7 Technologies, um provedor de segurança de computação em nuvem.

Como muitos sistemas e aplicativos virtuais diferentes competem por recursos de computação na nuvem, pode ser difícil obter resultados confiáveis. disse. "Todas essas coisas funcionam para ajudar a mitigar esse ataque em particular … porque apenas adiciona imprevisibilidade a todo o sistema."

Ainda assim, ele disse que esse tipo de pesquisa é importante porque mostra como um ataque, que parece quase impossível para alguns, realmente pode funcionar.

Robert McMillan cobre segurança de computador e tecnologia geral que dá notícias recentes para

O Serviço de Notícias de IDG. Siga Robert no Twitter em @bobmcmillan. O endereço de e-mail de Robert é [email protected]