25 let stará chyba by mohla ohrozit miliony uživatelů

16. 7. 2010

Sdílet

Bezpečnostní analytici Nate Lawson a Taylor Nelson prý objevili chybu v několika open-sourceových softwarových databázích, které se využívají k ověřování uživatelských jmen a hesel na mnoha webových stránkách. Chyba je například v knihovnách, které využívají oblíbené webové portály jako Twitter nebo Digg. Ohroženy by tak mohly být miliony uživatelů po celém světě. Podle Lawsona a Nelsona jde proti webovým stránkám s postiženými softwarovými knihovnami provést tzv. "časový útok." O tom se ví již 25 let, avšak bezpečnostní odborníci jej obecně považovali za těžko proveditelný.

Časový útok spočívá v tom, že útočník měří čas, který uplyne mezi tím, než uživatel klikne na tlačítko "Přihlásit se" na dané webové stránce a jeho skutečným (ne)přihlášením. Některé přihlašovací systémy totiž  testují přihlašovací heslo znak po znaku, a jakmile narazí na špatný znak, vyhodnotí heslo jako neplatné. To znamená, že pokud útočník zkouší uhodnout heslo a vloží například alespoň první znak správně, přihlašovacímu systému zpracování celé operace (a vyhodnocení hesla jako neplatného) trvá o něco déle, než když je hned první znak neplatný. Útočníci se tak zkoušejí opakovaně přihlašovat a podle časové odezvy přihlašovacího systému postupně mění znaky.

I když jsou na časové útoky různé názory, Lawson a Nelson věří, že na webech se zmíněnou bezpečnostní chybou jsou použitelné. O možnostech tohoto útoku chtějí oba muži více promluvit na konferenci Black Hat, která se uskuteční příští měsíc v Las Vegas.

Našli jste v článku chybu?