शोधकर्ता: पासवर्ड क्रैक लाखों को प्रभावित कर सकता है

एक अच्छी- आने वाले सुरक्षा सम्मेलन में इस मुद्दे पर चर्चा करने की योजना रखने वाले दो सुरक्षा विशेषज्ञों के अनुसार, लाखों उपयोगकर्ताओं द्वारा उपयोग किए जाने वाले वेब अनुप्रयोगों में लॉग इन करने के लिए हैकर्स द्वारा ज्ञात क्रिप्टोग्राफिक हमले का उपयोग किया जा सकता है।

शोधकर्ता नेट लॉसन और टेलर नेल्सन ने कहा कि उन्होंने खोजा है एक बुनियादी सुरक्षा दोष जो ओपन और ओपनआईडी मानकों को लागू करने वाले सॉफ़्टवेयर द्वारा उपयोग किए जाने वाले सॉफ़्टवेयर द्वारा उपयोग किए जाने वाले दर्जनों ओपन-सोर्स सॉफ़्टवेयर पुस्तकालयों को प्रभावित करता है - जिसका उपयोग वेबसाइटों में लॉग इन करते समय पासवर्ड और उपयोगकर्ता नामों की जांच के लिए किया जाता है। ओएथ और ओपनआईडी प्रमाणीकरण ट्विटर और डिग जैसे लोकप्रिय वेबसाइटों द्वारा स्वीकार किए जाते हैं।

उन्होंने पाया कि इन लॉगिन सिस्टम के कुछ संस्करण एक समय के हमले के रूप में जाने जाने वाले लोगों के लिए कमजोर हैं। क्रिप्टोग्राफरों को 25 वर्षों तक हमले के समय के बारे में पता है, लेकिन उन्हें आम तौर पर नेटवर्क पर खींचने के लिए बहुत मुश्किल माना जाता है। शोधकर्ताओं का लक्ष्य यह दिखाना है कि यह मामला नहीं है।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

हमलों को इतना मुश्किल माना जाता है क्योंकि उन्हें बहुत सटीक माप की आवश्यकता होती है। वे किसी कंप्यूटर के लॉगिन अनुरोध का जवाब देने में लगने वाले समय को मापकर पासवर्ड क्रैक करते हैं। कुछ लॉगिन सिस्टम पर, कंप्यूटर एक समय में पासवर्ड वर्णों की जांच करेगा, और जैसे ही यह पासवर्ड में खराब चरित्र को स्पॉट करता है, "लॉग इन असफल" संदेश वापस लाएगा। इसका अर्थ यह है कि एक कंप्यूटर एक पूरी तरह से खराब लॉगिन अनुरोध करता है जो लॉगिन से थोड़ा तेज़ तेज़ प्रयास करता है जहां पासवर्ड में पहला अक्षर सही होता है।

बार-बार लॉग इन करने का प्रयास करके, अक्षरों के माध्यम से साइकिल चलाना और उस समय को मापना जवाब देने के लिए कंप्यूटर, हैकर्स आखिरकार सही पासवर्ड निकाल सकते हैं।

यह सब बहुत सैद्धांतिक लगता है, लेकिन समय पर हमले असली दुनिया में सफल हो सकते हैं। तीन साल पहले, माइक्रोसॉफ्ट के Xbox 360 गेमिंग सिस्टम को हैक करने के लिए इस्तेमाल किया गया था, और स्मार्ट कार्ड बनाने वाले लोगों ने वर्षों से समय पर हमले की सुरक्षा को जोड़ा है।

लेकिन इंटरनेट डेवलपर्स ने लंबे समय से माना है कि कई अन्य कारक हैं - जिन्हें नेटवर्क जिटर कहा जाता है - जो प्रतिक्रिया समय को धीमा या गति देता है और सटीक परिणामों के प्रकार को प्राप्त करने के लिए लगभग असंभव बना देता है, जहां नैनोसेकंड एक सफल समय के हमले के लिए आवश्यक अंतर डालते हैं।

लॉसन के संस्थापक के अनुसार, ये धारणाएं गलत हैं सुरक्षा परामर्श रूट लैब्स। उन्होंने और नेल्सन ने इंटरनेट, स्थानीय क्षेत्र के नेटवर्क और क्लाउड कंप्यूटिंग वातावरण में हमलों का परीक्षण किया और पाया कि वे नेटवर्क जिटर को बाहर निकालने के लिए एल्गोरिदम का उपयोग करके सभी वातावरण में पासवर्ड क्रैक करने में सक्षम थे।

वे अपने हमलों पर चर्चा करने की योजना बना रहे हैं लॉसन वेगास में इस महीने के अंत में ब्लैक हैट सम्मेलन।

"मुझे सच में लगता है कि लोगों को यह देखने के लिए इसका शोषण देखने की ज़रूरत है कि यह एक समस्या है जिसे उन्हें ठीक करने की जरूरत है।" उन्होंने कहा कि उन्होंने इन प्रकार के वेब अनुप्रयोगों पर ध्यान केंद्रित किया क्योंकि उन्हें अक्सर समय पर हमलों के लिए असुरक्षित माना जाता है। उन्होंने कहा, "मैं उन लोगों तक पहुंचना चाहता था जो कम से कम इसके बारे में जानते थे।"

शोधकर्ताओं ने यह भी पाया कि पाइथन या रूबी जैसे व्याख्या की गई भाषाओं में लिखे गए कार्यक्रमों के लिए किए गए प्रश्न - वेब पर बहुत लोकप्रिय अन्य प्रकार की भाषाओं जैसे सी या असेंबली भाषा की तुलना में प्रतिक्रिया धीरे-धीरे प्रतिक्रिया देती है, जिससे समय पर हमले अधिक व्यवहार्य होते हैं। लॉसन ने कहा, "जिन भाषाओं की व्याख्या की गई है, उनके लिए आप लोगों के विचार से ज्यादा समय के अंतर के साथ खत्म हो जाते हैं।" 99

फिर भी, ये हमले कुछ भी नहीं हैं जिनके बारे में ज्यादातर लोगों को चिंता करनी चाहिए, याहू के निदेशक मानन हैमर-लाहव, ओएथ और ओपनआईडी परियोजनाओं दोनों में योगदानकर्ता। उन्होंने एक ई-मेल संदेश में लिखा, "मैं इससे चिंतित नहीं हूं।" "मुझे नहीं लगता कि कोई भी बड़ा प्रदाता अपने सर्वर-साइड कार्यान्वयन के लिए किसी भी ओपन सोर्स लाइब्रेरी का उपयोग कर रहा है, और यहां तक ​​कि अगर उन्होंने किया, तो यह निष्पादित करने के लिए एक छोटा सा हमला नहीं है।"

लॉसन और नेल्सन ने समस्या से प्रभावित सॉफ्टवेयर डेवलपर्स को अधिसूचित किया है, लेकिन जब तक वे तय नहीं किए जाते हैं, तो कमजोर उत्पादों के नाम जारी नहीं करेंगे। प्रभावित अधिकांश पुस्तकालयों के लिए, फिक्स सरल है: सिस्टम को सही और गलत दोनों पासवर्ड लौटने के लिए समान समय लेने के लिए प्रोग्राम करें। यह कोड की लगभग छः पंक्तियों में किया जा सकता है, लॉसन ने कहा।

दिलचस्प बात यह है कि शोधकर्ताओं ने पाया कि क्लाउड-आधारित अनुप्रयोग इन प्रकार के हमलों के लिए अधिक असुरक्षित हो सकते हैं क्योंकि अमेज़ॅन ईसी 2 और स्लाइसहोस्ट जैसी सेवाएं हमलावरों को पाने का एक तरीका देती हैं इस प्रकार अपने लक्ष्यों के करीब, इस प्रकार नेटवर्क जिटर को कम करता है।

लॉसन और नेल्सन ब्लैक हैट पर अपनी बात से पहले नहीं कह रहे हैं कि उनके समय माप कितने सटीक थे, लेकिन वास्तव में इस तरह के हमले को दूर करना मुश्किल हो सकता है क्लाउड-कंप्यूटिंग सुरक्षा प्रदाता, लेयर 7 टेक्नोलॉजीज के साथ सीटीओ स्कॉट मॉरिसन के अनुसार क्लाउड।

क्योंकि क्लाउड में कंप्यूटिंग संसाधनों के लिए कई अलग-अलग वर्चुअल सिस्टम और एप्लिकेशन प्रतिस्पर्धा कर रहे हैं, इसलिए विश्वसनीय परिणाम प्राप्त करना मुश्किल हो सकता है, वह कहा हुआ। "उन सभी चीजें इस विशेष को कम करने में मदद करने के लिए काम करती हैं … हमले क्योंकि यह सिर्फ पूरे सिस्टम के लिए अप्रत्याशितता को जोड़ता है।"

फिर भी, उन्होंने कहा कि इस प्रकार का शोध महत्वपूर्ण है क्योंकि यह दिखाता है कि कैसे हमला, कुछ लोगों के लिए लगभग असंभव प्रतीत होता है, वास्तव में काम कर सकते हैं।

रॉबर्ट मैकमिलन में आईडीजी समाचार सेवा के लिए कंप्यूटर सुरक्षा और सामान्य तकनीक तोड़ने वाली खबरें शामिल हैं। @bobmcmillan पर ट्विटर पर रॉबर्ट का पालन करें। रॉबर्ट का ई-मेल पता [email protected]