Beveiliging webapplicaties blijkt kwetsbaar
De twee onderzoekers, Nate Lawson en Taylor Nelson, willen eind deze maand op de Black Hat-conferentie in Las Vegas de toegangsbeveiliging van webapplicaties aan de kaak stellen. Zij zeggen een fundamentele beveiligingsfout te hebben ontdekt waar tientallen open-sourcesoftwarebibliotheken mank aan gaan, meldt Computerworld.
Shutterstock
Shutterstock
De omstreden open-sourcesoftware is wijdverbreid voor de controle van gebruikersnamen en wachtwoorden bij het inloggen op webdiensten en webapplicaties. Voorbeelden van deze softwarelibraries zijn OAuth en OpenID.
Lawson en Nelson ontdekten dat sommige inlogsystemen vatbaar zijn voor een zogeheten ‘timing-aanval’. Dat is weliswaar al 15 jaar bekend onder cryptografen, maar algemeen werd aangenomen dat het bijzonder lastig is zo’n aanval via een netwerk op te zetten omdat heel precieze tijdmetingen nodig zijn. Volgens beide onderzoekers is dat in werkelijkheid helemaal niet zo moeilijk.
Een timing-aanval is gebaseerd op het meten van de tijd die verloopt tussen het ingeven van het wachtwoord en de reactie van de server. Sommige aanmeldsystemen reageren al direct met een foutmelding als de gebruiker het eerste onjuiste teken heeft ingevoerd. Een totaal verkeerd wachtwoord levert een iets snellere respons op dan een wachtwoord waarin de eerste letter correct is. Door keer op keer aanmeldpogingen te doen met verschillende lettercombinaties en steeds de reactiesnelheid te meten, kan een aanvaller zo uiteindelijk het correcte wachtwoord achterhalen.
Beveiligingsexperts namen altijd aan dat er te veel andere factoren in het spel zijn, zoals ‘jitter’ op het netwerk, die een accurate meting van de reactietijd verstoren. Niet waar, zegt Lawson. Uit testen die hij en Nelson uitvoerden via internet, lokale netwerken en cloudomgevingen blijkt het mogelijk om met behulp van speciale algoritmen de invloed van jitter weg te filteren en wachtwoorden te kraken.
De twee onderzoekers zeggen dat ze de betrokken softwareontwikkelaars hebben gewaarschuwd voor de kwetsbaarheid van hun inlogprocedures. Ze zullen echter geen namen van specifieke softwarebibliotheken publiceren voordat deze zijn dichtgetimmerd. De oplossing is in de meeste gevallen eenvoudig: de inlogroutine moet precies even snel reageren op foute als op correcte wachtwoorden. Die aanpassing hoeft niet meer dan 6 regels programmacode te kosten.
Lawson is oprichter van Root Labs, een adviesbureau voor IT-beveiliging. Hij is mede-ontwerper van de kopieerbescherming van Blu-raydiscs (BD+). Lawson en zijn collega Taylor Nelson houden hun lezing ‘Exploiting timing attacks in widespread systems’ op woensdag 28 juli, de eerste dag van de 2-daagse Black Hat USA-conferentie in Las Vegas.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee