Investigadores: la grieta de la contraseña podría afectar a millones

Los piratas informáticos podrían utilizar el conocido ataque criptográfico para iniciar sesión en las aplicaciones web utilizadas por millones de usuarios, según dos expertos en seguridad que planean discutir el tema en una próxima conferencia de seguridad. Los investigadores Nate Lawson y Taylor Nelson dicen que descubrieron un defecto de seguridad básico que afecta a docenas de bibliotecas de software de código abierto, incluidas las utilizadas por software que implementa los estándares OAuth y OpenID, que se utilizan para verificar contraseñas y nombres de usuario cuando las personas inician sesión en sitios web. Los sitios web populares como Twitter y Digg.

aceptan la autenticación OAuth y OpenID. Descubrieron que algunas versiones de estos sistemas de inicio de sesión son vulnerables a lo que se conoce como ataque de temporización. Los criptógrafos han sabido sobre los ataques de temporización durante 25 años, pero en general se cree que son muy difíciles de lograr a través de una red. Los investigadores intentan demostrar que no es el caso.

[Más información: cómo eliminar el malware de su PC con Windows]

Se piensa que los ataques son tan difíciles porque requieren mediciones muy precisas. Destruyen contraseñas al medir el tiempo que le lleva a una computadora responder a una solicitud de inicio de sesión. En algunos sistemas de inicio de sesión, la computadora verificará los caracteres de la contraseña de uno en uno y rechazará un mensaje de "inicio de sesión fallido" tan pronto como detecte un carácter incorrecto en la contraseña. Esto significa que una computadora devuelve un intento de inicio de sesión completamente incorrecto un poco más rápido que un inicio de sesión donde el primer carácter de la contraseña es correcto.

Intentando iniciar sesión una y otra vez, pasando por los personajes y midiendo el tiempo que demora la Para responder a una computadora, los piratas informáticos pueden en última instancia descubrir las contraseñas correctas.

Todo esto suena muy teórico, pero los ataques de sincronización pueden tener éxito en el mundo real. Hace tres años, uno se usó para hackear el sistema de juegos Xbox 360 de Microsoft, y las personas que crean tarjetas inteligentes han agregado protección contra ataques de tiempo durante años.

Pero los desarrolladores de Internet siempre han supuesto que hay muchos otros factores, llamados fluctuaciones de red - que ralentiza o acelera los tiempos de respuesta y hace que sea casi imposible obtener el tipo de resultados precisos, donde los nanosegundos marcan la diferencia, necesarios para un ataque de temporización exitoso.

Estas suposiciones son incorrectas, según Lawson, fundador de la consultora de seguridad Root Labs. Él y Nelson probaron ataques a través de Internet, redes de área local y en entornos de computación en la nube y descubrieron que podían descifrar contraseñas en todos los entornos mediante el uso de algoritmos para eliminar la inestabilidad de la red.

Planean discutir sus ataques a la conferencia Black Hat a finales de este mes en Las Vegas.

"Realmente creo que la gente necesita ver explotaciones para ver que este es un problema que deben solucionar", dijo Lawson. Él dice que se centró en este tipo de aplicaciones web, precisamente porque a menudo se piensa que son invulnerables a los ataques de tiempo. "Quería llegar a las personas que menos lo sabían", dijo.

Los investigadores también descubrieron que las consultas realizadas a programas escritos en lenguajes interpretados como Python o Ruby, ambos muy populares en la Web, generan las respuestas son mucho más lentas que otros tipos de lenguajes como C o ensamblador, lo que hace que los ataques de sincronización sean más factibles. "Para los idiomas que se interpretan, terminas con una diferencia de tiempo mucho mayor de lo que la gente pensaba", dijo Lawson.

Aún así, estos ataques no son nada de lo que la gente deba preocuparse, según el director de estándares de Yahoo Eran Hammer-Lahav, colaborador de los proyectos OAuth y OpenID. "No me preocupa", escribió en un mensaje de correo electrónico. "No creo que ningún proveedor grande esté utilizando ninguna de las bibliotecas de código abierto para su implementación en el servidor, y aunque lo hicieran, este no es un ataque trivial para ejecutar".

Lawson y Nelson han notificado a los desarrolladores de software afectados por el problema, pero no divulgarán los nombres de los productos vulnerables hasta que no se solucionen. Para la mayoría de las bibliotecas afectadas, la solución es simple: programe que el sistema tome la misma cantidad de tiempo para devolver las contraseñas correctas y las incorrectas. Esto se puede hacer en aproximadamente seis líneas de código, dijo Lawson.

Curiosamente, los investigadores encontraron que las aplicaciones basadas en la nube podrían ser más vulnerables a este tipo de ataques porque servicios como Amazon EC2 y Slicehost les dan a los atacantes una forma de obtener cerca de sus objetivos, reduciendo así la inestabilidad de la red.

Lawson y Nelson no dicen antes de su charla en Black Hat qué tan precisas fueron sus mediciones de tiempo, pero en realidad hay razones por las que podría ser más difícil realizar este tipo de ataque en la nube, según Scott Morrison, CTO de Layer 7 Technologies, un proveedor de seguridad de computación en la nube.

Debido a que muchos sistemas y aplicaciones virtuales diferentes compiten por los recursos informáticos en la nube, puede ser difícil obtener resultados confiables, dijo. dijo. "Todas estas cosas funcionan para ayudar a mitigar este ataque en particular … porque solo agrega imprevisibilidad al sistema completo".

Aún así, dijo que este tipo de investigación es importante porque muestra cómo un ataque, que parece casi imposible para algunos, realmente puede funcionar.

Robert McMillan cubre las últimas noticias de seguridad informática y tecnología general para

El servicio de noticias IDG. Sigue a Robert en Twitter en @bobmcmillan. La dirección de correo electrónico de Robert es [email protected]