Beveiligingsonderzoekers Nate Lawson en Taylor Nelson hebben ontdekt dat web applicaties, veel eenvoudiger dan voorheen aangenomen, gehackt kunnen worden door middel van timing attacks. Veel open-source libraries werken met de OAuth en OpenID autorisatie-standaarden. Diensten als Twitter en Digg werken bijvoorbeeld met deze inlogstandaarden. Veel van dit soort systemen zijn niet beveiligd tegen timing attacks, omdat ze voor onmogelijk worden gehouden.

Precisietiming

Timing attacks werken namelijk alleen met enorme precisie. Er wordt gekeken hoeveel seconden na de invoer van een wachtwoord de response terugkomt. Bepaalde loginsystemen controleren het wachtwoord teken voor teken en geven een foutmelding zodra ze een teken tegenkomen die niet overeenkomt met het juiste wachtwoord. Op een volledig foutieve inlogpoging komt dus net iets sneller een antwoord dan wanneer bijvoorbeeld de eerste paar karakters correct zijn.

Door de tijden te meten tussen de invoer en de response, kunnen hackers zo dus uiteindelijk het correcte wachtwoord vinden in theorie. Alleen is dit dus niet slechts zo in theorie volgens Lawson en Nelson. Overigens is de Xbox 360 drie jaar geleden ook al gehackt met een timing attack en smart cards zijn al jaren beveiligd tegen deze aanvallen. Dat hoeft echter niet via een netwerk, waardoor er met minder factoren rekening hoeft te worden gehouden.

Sceptisch

De meeste internet ontwikkelaars hebben altijd met de gedachte geleefd dat er te veel andere factoren zijn, verschillende vormen van netwerkruis, die responstijden langzamer of sneller maken. Waar nanoseconden het verschil uitmaken, zou het daardoor onmogelijk zijn om een succesvolle timing attack uit te voeren.

De waarheid is anders, blijkt nu. De onderzoekers hebben de aanvallen getest op het internet, Local Area Networks en cloud computing omgevingen. Ze konden in elk van de omgevingen de wachtwoorden achterhalen door algoritmes toe te passen die de netwerkruis wegrekenen. De bevindingen hiervan willen de onderzoekers bekend maken op de Black Hat conferentie die later deze maand plaatsvindt in Las Vegas. Ze willen nog niets specifiek zeggen over de responstijden zelf of welke producten er precies vatbaar zijn voor deze aanvallen.

Geen nood

Toch hoeven mensen zich nog geen zorgen te maken volgens het hoofd van de standaardenafdeling van Yahoo, genaamd Eran Hammer-Lahav. Hij heeft zowel aan de OAuth als de OpenID standaarden meegewerkt en is nog niet uit het raam gesprongen. “Ik denk niet dat enig provider de open-source libraries gebruikt voor implementatie aan de serverkant, en als dat wel het geval zou zijn, is dit nog steeds niet de meest voor de hand liggende aanval om uit te voeren”, zegt hij.

Het probleem kan volgens de onderzoekers voor de meeste libraries heel simpel opgelost worden, door ongeveer zes regeltjes code. Het enige wat er moet gebeuren is zorgen dat de responstijd even lang is bij een fout wachtwoord als bij een correcte invoer.

Cloud kwetsbaar

Saillant detail is de bevinding van de onderzoekers dat applicaties uit de cloud, zoals Amazon EC2 en Sliceghost in tegenstelling tot wat je wellicht zou denken kwetsbaarder zijn.

Dit terwijl Scott Morrison, de tech-baas bij Layer 7 Technologies beweert dat dit absoluut moeilijker zou moeten zijn. “Omdat verschillende virtuele systemen en applicaties vechten om de resources in de cloud, zijn er nog veel meer factoren zijn waar je rekening mee moet houden wat betreft eventuele vertragingen en dergelijke.” Hij vindt het werk van de onderzoekers echter wel erg belangrijk, omdat het laat zien dat ook een aanval die voor onmogelijk wordt gehouden toch kan werken.

Bron: Techworld