นักวิจัย: การโจมตีแบบเข้ารหัสลับที่เป็นที่รู้จักสามารถใช้แฮกเกอร์เข้าสู่เว็บแอพพลิเคชันที่ผู้ใช้หลายล้านคนใช้งานได้ตามที่ผู้เชี่ยวชาญด้านความปลอดภัยสองคนได้วางแผนที่จะหารือเกี่ยวกับปัญหาในการประชุมด้านความปลอดภัยที่กำลังจะมาถึงนี้

พวกเขาพบว่าระบบล็อกอินบางรุ่นมีความเสี่ยงต่อสิ่งที่เรียกว่าการโจมตีตามเวลา Cryptographers รู้เกี่ยวกับการโจมตีระยะเวลา 25 ปี แต่โดยทั่วไปแล้วพวกเขาคิดว่าจะยากที่จะดึงออกจากเครือข่าย นักวิจัยชี้ให้เห็นว่าไม่ใช่กรณีนี้

[การอ่านเพิ่มเติม: วิธีลบมัลแวร์ออกจากเครื่องพีซีที่ใช้ Windows ของคุณ]

การโจมตีทำได้ยากมากเพราะต้องใช้การวัดที่แม่นยำมาก พวกเขาร้าวรหัสผ่านโดยการวัดเวลาที่ใช้สำหรับเครื่องคอมพิวเตอร์เพื่อตอบสนองต่อคำขอเข้าสู่ระบบ ในระบบการเข้าสู่ระบบบางเครื่องคอมพิวเตอร์จะตรวจสอบอักขระรหัสผ่านทีละครั้งและเตะกลับข้อความว่า "เข้าสู่ระบบที่ล้มเหลว" ทันทีที่พบอักขระที่ไม่ถูกต้องในรหัสผ่าน ซึ่งหมายความว่าคอมพิวเตอร์ส่งคืนการเข้าสู่ระบบที่ไม่ถูกต้องให้หมดเร็วกว่าการเข้าสู่ระบบที่อักขระตัวแรกในรหัสผ่านถูกต้อง

การพยายามเข้าสู่ระบบอีกครั้งและอีกครั้งคือการขี่จักรยานผ่านตัวอักษรและการวัดเวลาที่ใช้สำหรับ คอมพิวเตอร์เพื่อตอบสนองแฮ็กเกอร์สามารถค้นหารหัสผ่านที่ถูกต้องได้ในที่สุด

ทั้งหมดนี้ฟังดูเป็นเรื่องเกี่ยวกับทฤษฎี แต่การโจมตีเวลาสามารถประสบความสำเร็จได้ในโลกแห่งความเป็นจริง สามปีก่อนมีคนใช้สับระบบเกม Xbox 360 ของ Microsoft และผู้ที่สร้างสมาร์ทการ์ดได้เพิ่มการป้องกันการโจมตีด้วยเวลาเป็นเวลาหลายปี

นักพัฒนาอินเทอร์เน็ตได้สันนิษฐานไว้ว่ามีปัจจัยอื่น ๆ อีกมากมายที่เรียกว่า jitter เครือข่าย - ที่ชะลอตัวลงหรือเร่งเวลาการตอบสนองและทำให้แทบเป็นไปไม่ได้ที่จะได้ผลลัพธ์ที่แม่นยำที่ความแตกต่างของ nanosecond จะต้องใช้สำหรับการโจมตีระยะเวลาที่ประสบความสำเร็จ

สมมติฐานดังกล่าวไม่ถูกต้องตามที่ลอว์สันผู้ก่อตั้ง ที่ปรึกษาด้านความปลอดภัย Root Labs เขาและเนลสันทดสอบการโจมตีผ่านทางอินเทอร์เน็ตเครือข่ายท้องถิ่นและในสภาพแวดล้อมคลาวด์คอมพิวติ้งและพบว่าพวกเขาสามารถร้าวรหัสผ่านในทุกสภาพแวดล้อมโดยใช้อัลกอริทึมเพื่อกำจัดวัชพืชออกจากเครือข่ายกระวนกระวายใจ

พวกเขาวางแผนที่จะหารือเกี่ยวกับการโจมตีของพวกเขาที่ การประชุม Black Hat ปลายเดือนนี้ที่ลาสเวกัส

"ผมคิดว่าคนส่วนใหญ่ต้องการที่จะเห็นการใช้ประโยชน์จากมันเพื่อให้เห็นว่านี่เป็นปัญหาที่พวกเขาต้องแก้ไข" ลอว์สันกล่าว เขากล่าวว่าเขามุ่งเน้นไปที่แอ็พพลิเคชันเว็บประเภทนี้ได้อย่างแม่นยำเพราะพวกเขามักคิดว่าจะไม่สามารถโจมตีเวลาได้ นักวิจัยยังพบว่าคำสั่งต่างๆที่เขียนขึ้นในภาษาที่ตีความเช่น Python หรือ Ruby ซึ่งเป็นที่นิยมมากในเว็บที่สร้างขึ้น การตอบสนองช้ากว่าภาษาอื่น ๆ เช่น C หรือภาษาแอสเซมบลีที่ทำให้การโจมตีเวลาเป็นไปได้มากขึ้น Lawson กล่าวว่า "สำหรับภาษาที่แปลความหมายคุณจะมีความแตกต่างของเวลามากขึ้นกว่าที่ใคร ๆ คิด"

การโจมตีดังกล่าวเป็นเรื่องที่คนส่วนใหญ่ต้องกังวลเกี่ยวกับเรื่องนี้โดยอ้างอิงจาก Yahoo Director of Standards Eran Hammer-Lahav ซึ่งเป็นผู้สนับสนุนทั้งโครงการ OAuth และ OpenID "ฉันไม่ได้กังวลกับมัน" เขาเขียนไว้ในข้อความอีเมล "ฉันไม่คิดว่าผู้ให้บริการรายใหญ่ใด ๆ กำลังใช้ไลบรารีโอเพนซอร์สใด ๆ สำหรับการใช้งานฝั่งเซิร์ฟเวอร์ของตนและแม้ว่าจะเป็นเช่นนั้น แต่นี่ไม่ใช่การโจมตีเล็กน้อยที่จะดำเนินการ"

ลอว์สันและเนลสันได้แจ้งให้นักพัฒนาซอฟต์แวร์ได้รับผลกระทบจากปัญหา แต่จะไม่เปิดเผยชื่อผลิตภัณฑ์ที่มีช่องโหว่จนกว่าจะได้รับการแก้ไข สำหรับไลบรารีส่วนใหญ่ที่ได้รับผลกระทบการแก้ไขทำได้โดยง่าย: ตั้งโปรแกรมให้ใช้เวลาในการคืนรหัสที่ถูกต้องและไม่ถูกต้อง นี้สามารถทำได้ในหกบรรทัดของรหัสลอว์สันกล่าวว่า

น่าสนใจนักวิจัยพบว่าการใช้งานระบบคลาวด์อาจเสี่ยงต่อการโจมตีประเภทนี้มากขึ้นเนื่องจากบริการเช่น Amazon EC2 และ Slicehost ให้ผู้บุกรุกได้รับวิธีการ ใกล้เคียงกับเป้าหมายลดการกระวนกระวายใจของเครือข่าย

ลอว์สันและเนลสันไม่ได้พูดก่อนการพูดคุยที่ Black Hat ว่าการวัดระยะเวลาของพวกเขาแม่นยำแค่ไหน แต่ก็มีเหตุผลที่จะทำให้การโจมตีแบบนี้เกิดขึ้นได้ยากขึ้น Cloud ตาม Scott Morrison, CTO กับ Layer 7 Technologies ซึ่งเป็นผู้ให้บริการระบบรักษาความปลอดภัยแบบ Cloud Computing

เนื่องจากระบบเสมือนจริงและแอพพลิเคชันที่แตกต่างกันจำนวนมากมีการแข่งขันกันในการคำนวณทรัพยากรในระบบคลาวด์จึงอาจเป็นเรื่องยากที่จะได้ผลลัพธ์ที่น่าเชื่อถือ กล่าว. "ทุกสิ่งเหล่านี้ช่วยบรรเทาการโจมตีครั้งนี้ … เพราะมันทำให้ระบบทั้งหมดไม่สามารถคาดเดาได้"

ยังคงกล่าวว่าการวิจัยประเภทนี้มีความสำคัญเนื่องจากมันแสดงให้เห็นว่าการโจมตีซึ่งดูเหมือนว่าแทบจะเป็นไปไม่ได้สำหรับบางคน, จริงๆสามารถทำงานได้

โรเบิร์ตแมคมิลแลนครอบคลุมข่าวกรองความปลอดภัยของคอมพิวเตอร์และข่าวเทคโนโลยีทั่วไปสำหรับ

IDG News Service

ติดตาม Robert ที่ Twitter ที่ @obobcmillan ที่อยู่อีเมลของ Robert คือ [email protected]