الباحثون: كلمة السر Crack يمكن أن تؤثر على الملايين

يقول الباحثان نيت لوسون وتايلور نيلسون إنهم اكتشفوا ثغرة أمنية أساسية تؤثر على العشرات من مكتبات البرامج مفتوحة المصدر - بما في ذلك تلك المستخدمة بواسطة البرامج التي تطبق معايير OAuth و OpenID - التي تُستخدم للتحقق من كلمات المرور وأسماء المستخدمين عندما يسجل الأشخاص الدخول إلى مواقع الويب. يتم قبول مصادقة OAuth و OpenID بواسطة مواقع ويب شائعة مثل Twitter و Digg.

وجدوا أن بعض إصدارات أنظمة تسجيل الدخول هذه عرضة لما يُعرف بهجوم توقيت. لقد عرف علماء التعمية عن هجمات توقيت لمدة 25 عامًا ، ولكن يُعتقد عمومًا أنه من الصعب جدًا سحبها عبر شبكة. ويهدف الباحثون إلى توضيح أن هذا ليس هو الحال.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

يُعتقد أن الهجمات صعبة للغاية لأنها تتطلب قياسات دقيقة للغاية. إنها تكسر كلمات المرور عن طريق قياس الوقت الذي يستغرقه جهاز الكمبيوتر للرد على طلب تسجيل الدخول. في بعض أنظمة تسجيل الدخول ، سيتحقق الكمبيوتر من كلمة المرور حرفًا واحدًا في كل مرة ، ويعيد رسالة "فشل تسجيل الدخول" بمجرد ظهور حرف سيئ في كلمة المرور. هذا يعني أن جهاز الكمبيوتر يعيد محاولة تسجيل دخول سيئة تمامًا ، أسرع قليلاً من تسجيل الدخول حيث يكون الحرف الأول في كلمة المرور صحيحًا.

بمحاولة تسجيل الدخول مرارًا وتكرارًا ، ركوب الدراجات من خلال الأحرف وقياس الوقت الذي يستغرقه الكمبيوتر للرد ، يمكن للقراصنة في نهاية المطاف معرفة كلمات المرور الصحيحة.

هذا كله يبدو نظريا للغاية ، ولكن هجمات توقيت يمكن أن تنجح في الواقع في العالم الحقيقي. قبل ثلاث سنوات ، تم استخدام جهاز واحد لإختراق نظام ألعاب Xbox 360 من Microsoft ، وقد أضاف الأشخاص الذين يقومون ببناء البطاقات الذكية الحماية ضد هجوم التوقيت لسنوات.

ولكن مطوري الإنترنت يفترض منذ فترة طويلة أن هناك العديد من العوامل الأخرى - تسمى الشبكة الارتعاش - أن تبطئ أو تسرع أوقات الاستجابة وتجعل من المستحيل تقريبا الحصول على نوع من النتائج الدقيقة ، حيث تحدث النانوثانية فرقا ، مطلوبا لهجوم توقيت ناجح.

هذه الافتراضات خاطئة ، وفقا لواسون ، مؤسس الاستشارات الأمنية رووت لابز. اختبر هو ونيلسون الهجمات على الإنترنت والشبكات المحلية وفي بيئات الحوسبة السحابية ووجدوا أنهم قادرون على كسر كلمات المرور في جميع البيئات باستخدام الخوارزميات للتخلص من غضب الشبكة.

ويخططون لمناقشة هجماتهم على وقال لوسون إن مؤتمر بلاك هات في وقت لاحق من هذا الشهر في لاس فيجاس. "أعتقد حقاً أن الناس يحتاجون إلى رؤية مآثره لمعرفة أن هذه مشكلة يحتاجون لإصلاحها". ويقول إنه ركز على هذه الأنواع من تطبيقات الويب لأنهم غالباً ما يُعتقد أنهم غير معرضين للهجمات على التوقيت. وقال: "كنت أريد الوصول إلى الأشخاص الذين كانوا أقل وعيًا بهذا الأمر."

ووجد الباحثون أيضًا أن الاستعلامات التي تم إعدادها للبرامج المكتوبة بلغات أخرى مثل بايثون أو روبي ، وكلاهما يتمتع بشعبية كبيرة على الويب ، استجابات أبطأ بكثير من الأنواع الأخرى من اللغات مثل لغة C أو لغة التجميع ، مما يجعل هجمات التوقيت أكثر جدوى. وقال لورسون "بالنسبة للغات التي يتم تفسيرها ، ينتهي بك الأمر بفارق توقيت أكبر بكثير مما ظن الناس".

مع ذلك ، هذه الهجمات ليست شيئًا يجب على معظم الناس القلق عليه ، وفقًا لمدير معايير ياهو عيران هامر لاهاف. ، مساهم في كل من مشروعات OAuth و OpenID. وكتب في رسالة عبر البريد الالكتروني "لست قلقا من ذلك." "لا أعتقد أن أي موفر كبير يستخدم أيًا من مكتبات المصدر المفتوح لتنفيذها من جانب الخادم ، وحتى إذا كان ذلك صحيحًا ، فهذه ليست هجومًا ضئيلًا لتنفيذها."

قام كل من Lawson و Nelson بإبلاغ مطوري البرامج المتأثرين بالمشكلة ، ولكن لن يقوموا بإطلاق أسماء المنتجات الضعيفة حتى يتم إصلاحها. بالنسبة لمعظم المكتبات المتأثرة ، يكون الإصلاح بسيطًا: برنامج النظام ليأخذ نفس الوقت من الوقت لإرجاع كلمات المرور الصحيحة وغير الصحيحة. ويمكن تحقيق ذلك في حوالي ستة سطور من الشفرات ، كما قال لوسون. على مقربة من أهدافهم ، مما يقلل من ارتعاش الشبكة.

لا يقول لوسون ونيلسون قبل كلامهما في Black Hat مدى دقة قياسات توقيتهما ، ولكن هناك أسبابًا في الواقع قد يكون من الصعب إخراج هذا النوع من الهجوم وفقًا للسكوت موريسون ، CTO مع Layer 7 Technologies ، وهي مزود أمان للحوسبة السحابية.

نظرًا لأن العديد من الأنظمة والتطبيقات الظاهرية المختلفة تتنافس على موارد الحوسبة في السحاب ، فقد يكون من الصعب الحصول على نتائج موثوق بها ، قال. "كل هذه الأشياء تعمل على المساعدة في التخفيف من حدة هذا الهجوم … لأنها تضيف فقط عدم إمكانية التنبؤ بالنظام بأكمله."

ومع ذلك ، قال إن هذا النوع من الأبحاث مهم لأنه يظهر كيف أن هجومًا ، يبدو مستحيلًا تقريبًا بالنسبة لبعض ، يمكن حقا العمل.

روبرت ماكميلان يغطي أمن الكمبيوتر والتكنولوجيا العامة الأخبار العاجلة عن

خدمة IDG الإخبارية

. اتبع روبرت على تويتر علىbobmcmillan. عنوان البريد الإلكتروني الخاص بـ Robert هو [email protected]