Car-tech

タイミング攻撃は、何百万人ものユーザーが使用するWebアプリケーションにログインする可能性があることを発見しました。セキュリティ上の専門家2人によると、何百万人ものユーザーが使用しているWebアプリケーションにログインするために、既知の暗号化攻撃がハッカーによって使用される可能性があると述べている。

Devar Bhabhi hot romance video देवर à¤à¤¾à¤à¥€ की साथ हॉट रोमाà¤

Devar Bhabhi hot romance video देवर à¤à¤¾à¤à¥€ की साथ हॉट रोमाà¤
Anonim

これらのログインシステムの一部のバージョンでは、タイミング攻撃と呼ばれるものが脆弱であることが判明しました。暗号技術者は25年間のタイミング攻撃について知られていましたが、一般的にはネットワーク経由で引きつけるのは非常に難しいと考えられています。

[詳しい読書:あなたのWindows PCからマルウェアを取り除く方法]

攻撃は非常に正確な測定が必要であるため、難しいと考えられています。彼らは、コンピュータがログイン要求に応答するのにかかる時間を測定することによって、パスワードを解読します。いくつかのログインシステムでは、コンピュータはパスワード文字を一度に1つずつチェックし、パスワードに悪い文字が見つかるとすぐに「ログインに失敗しました」というメッセージを返します。これは、コンピュータが完全に悪いログイン試行を、パスワードの最初の文字が正しいログインよりも少し早く返すことを意味します。

何度もログインして文字をサイクリングし、ハッカーは最終的に正しいパスワードを知ることができます。

これはすべて非常に理論的ですが、タイミング攻撃は現実世界で成功することができます。 3年前には、マイクロソフトのXbox 360ゲームシステムをハックするために使用され、スマートカードを作成する人々は、数年間にタイミング攻撃の防御を追加していました。しかし、インターネット開発者は、ネットワークジッタ - レスポンスタイムを遅くしたりスピードアップしたりして、ナノ秒がどこに影響を与えるような正確な結果を得るのをほとんど不可能にして、タイミング攻撃を成功させる必要があります。

これらの前提は間違っています。セキュリティコンサルティングのRoot Labs。彼とネルソンは、インターネット、ローカルエリアネットワーク、クラウドコンピューティング環境での攻撃をテストし、アルゴリズムを使用してネットワークジッタを排除してすべての環境でパスワードを盗み出すことができることを発見しました。今月中にラスベガスで開催されたブラックハットカンファレンス。

「ローソンは、これが修正する必要のある問題であることを人々が知る必要があると思っている。彼は、これらのタイプのWebアプリケーションは、タイミング攻撃には無防備であると考えられているため、集中していると言います。彼は、「PythonやRubyのようなインタプリタ言語で書かれたプログラム(Web上で非常に人気が高い)に対してクエリを実行すると、 Cやアセンブリ言語など他の言語よりもはるかにゆっくりと応答し、タイミング攻撃をより実現可能にします。ローソン氏によると、「解釈される言語については、思ったよりもはるかに大きなタイミング差がある」(ローソン氏)YahooのディレクターであるEran Hammer-Lahavによれば、これらの攻撃はほとんどの人にとって心配すべきものではないOAuthプロジェクトとOpenIDプロジェクトの両方に貢献しています。 「私は心配していない」と彼は電子メールで書いた。 「大きなプロバイダがオープンソースライブラリをサーバ側の実装に使用しているとは思っていません。たとえそれが実行されたとしても、実行するのは簡単な攻撃ではありません。」

LawsonとNelsonは問題の影響を受けたソフトウェア開発者に通知したが、修正されるまで脆弱な製品の名前は公開しない。影響を受けるほとんどのライブラリでは、修正は簡単です:正しい時間と間違ったパスワードの両方を返すために同じ時間がかかるようにシステムをプログラムします。興味深いことに、Amazon EC2やSlicehostのようなサービスは攻撃者に攻撃を与えるため、クラウドベースのアプリケーションはこの種の攻撃に対してより脆弱である可能性があることがわかりました。その目標に近づき、ネットワークのジッタを減らすことができます。

ブラックソンでの講演の前にローソンとネルソンは言っていませんが、実際のタイミング測定はどれほど正確ですか。実際にこのタイプの攻撃をやめるのは難しいでしょう。多くの異なる仮想システムとアプリケーションがクラウドのコンピューティングリソースと競合しているため、信頼性の高い結果を得るのは難しいかもしれませんが、クラウドコンピューティングのセキュリティプロバイダであるレイヤ7テクノロジーズのCTO、スコット・モリソン(Scott Morrison)前記。 「これらのすべてのことは、この特定の攻撃を緩和するために働いています…システム全体に予期せぬものが加わるからです。」と彼は言いましたが、このタイプの研究は重要です。なぜなら、

IDG News Service

のコンピュータセキュリティと一般的な技術ニュースを扱っています。 @bobmcmillanのTwitterでRobertに従ってください。ロバートの電子メールアドレスは[email protected]です。