c.m.g
19-07-2010, 10:43
pubblicato: domenica 18 luglio 2010 da Lpt on fire!
http://static.blogo.it/ossblog/beard.jpg
I ricercatori Nate Lawson e Taylor Nelson hanno verificato che molte funzioni che gestiscono l’autenticazione degli utenti in alcuni software open source, fra cui anche OpenID (http://lists.openid.net/pipermail/openid-security/2010-July/thread.html) o OAuth (http://groups.google.com/group/oauth/browse_thread/thread/f3e9ec6c3aa0fe1a), possono essere attaccate con un timing attack.
L’attacco consiste nel valutare i tempi di risposta del sistema in base all’input fornito e calcolare quindi la stringa corretta un carattere alla volta. I programmatori che non conoscono questo problema, purtroppo, utilizzano funzioni che tornano al chiamante al primo byte differente, aprendo la porta a questo genere di attacchi temporali.
Si tratta di una falla di sicurezza meno teorica di quello che si pensi e la cui soluzione è banale. Al momento hanno contattato i progetti che sono vulnerabili, ma non ne hanno pubblicato l’elenco.
Foto | RobotSkirts (http://www.flickr.com/photos/42252366@N00/2559567784/)
Fonte: OssBlog (http://www.ossblog.it/post/6519/timing-attack-per-alcuni-progetti-open-source) Via | ComputerWorld (http://www.computerworld.com/s/article/9179224/Researchers_Authentication_crack_could_affect_millions)
http://static.blogo.it/ossblog/beard.jpg
I ricercatori Nate Lawson e Taylor Nelson hanno verificato che molte funzioni che gestiscono l’autenticazione degli utenti in alcuni software open source, fra cui anche OpenID (http://lists.openid.net/pipermail/openid-security/2010-July/thread.html) o OAuth (http://groups.google.com/group/oauth/browse_thread/thread/f3e9ec6c3aa0fe1a), possono essere attaccate con un timing attack.
L’attacco consiste nel valutare i tempi di risposta del sistema in base all’input fornito e calcolare quindi la stringa corretta un carattere alla volta. I programmatori che non conoscono questo problema, purtroppo, utilizzano funzioni che tornano al chiamante al primo byte differente, aprendo la porta a questo genere di attacchi temporali.
Si tratta di una falla di sicurezza meno teorica di quello che si pensi e la cui soluzione è banale. Al momento hanno contattato i progetti che sono vulnerabili, ma non ne hanno pubblicato l’elenco.
Foto | RobotSkirts (http://www.flickr.com/photos/42252366@N00/2559567784/)
Fonte: OssBlog (http://www.ossblog.it/post/6519/timing-attack-per-alcuni-progetti-open-source) Via | ComputerWorld (http://www.computerworld.com/s/article/9179224/Researchers_Authentication_crack_could_affect_millions)