COVID-19 and IBD: Updates and Live Q&A
Les chercheurs Nate Lawson et Taylor Nelson disent avoir découvert une faille de sécurité de base affectant des douzaines de bibliothèques logicielles open-source - y compris celles utilisées par les logiciels qui implémentent les standards OAuth et OpenID - utilisées pour vérifier les mots de passe et les noms d'utilisateur lorsque les utilisateurs se connectent à des sites Web. OAuth et l'authentification OpenID sont acceptés par les sites Web populaires tels que Twitter et Digg.
Ils ont constaté que certaines versions de ces systèmes de connexion sont vulnérables à ce qu'on appelle une attaque de synchronisation. Les cryptographes connaissent les attaques de synchronisation depuis 25 ans, mais ils sont généralement considérés comme très difficiles à réussir sur un réseau. Les chercheurs veulent montrer que ce n'est pas le cas
[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]
Les attaques sont considérées comme si difficiles car elles nécessitent des mesures très précises. Ils percent les mots de passe en mesurant le temps nécessaire à un ordinateur pour répondre à une demande de connexion. Sur certains systèmes de connexion, l'ordinateur vérifie les caractères du mot de passe un à la fois et relance un message d'erreur «Connexion Échec» dès qu'il détecte un mauvais caractère dans le mot de passe. Cela signifie qu'un ordinateur renvoie une tentative de connexion complètement mauvaise un peu plus vite qu'un login où le premier caractère du mot de passe est correct.En essayant de vous connecter encore et encore, parcourir les caractères et mesurer le temps qu'il faut pour le ordinateur pour répondre, les pirates peuvent finalement trouver les bons mots de passe.
Tout cela semble très théorique, mais les attaques de synchronisation peuvent effectivement réussir dans le monde réel. Il y a trois ans, on avait l'habitude de pirater le système de jeu Xbox 360 de Microsoft, et les gens qui construisent des cartes à puce ont ajouté une protection contre les attaques pendant des années.
Les développeurs Internet ont longtemps supposé qu'il y avait trop d'autres facteurs - qui ralentissent ou accélèrent les temps de réponse et rendent presque impossible d'obtenir le genre de résultats précis, où les nanosecondes font la différence, nécessaire pour une attaque de synchronisation réussie.
Ces hypothèses sont fausses, selon Lawson, fondateur de le cabinet de conseil en sécurité Root Labs. Lui et Nelson ont testé les attaques sur Internet, les réseaux locaux et les environnements de cloud computing et ont trouvé qu'ils étaient capables de casser les mots de passe dans tous les environnements en utilisant des algorithmes pour éliminer la gigue du réseau.
Ils prévoient de discuter de leurs attaques La conférence de Black Hat plus tard ce mois-ci à Las Vegas
"Je pense vraiment que les gens ont besoin de voir les exploits pour voir que c'est un problème qu'ils doivent résoudre", a déclaré Lawson. Il dit qu'il s'est concentré sur ces types d'applications Web précisément parce qu'ils sont si souvent considérés comme invulnérables à la synchronisation des attaques.
Les chercheurs ont également découvert que les requêtes faites à des programmes écrits dans des langages interprétés tels que Python ou Ruby - tous deux très populaires sur le Web - ont généré réponses beaucoup plus lentement que d'autres types de langages tels que le langage C ou assembleur, rendant les attaques de synchronisation plus réalisables. "Pour les langues qui sont interprétées, vous vous retrouvez avec une différence de temps beaucoup plus grande que les gens pensaient", a déclaré Lawson.
Pourtant, ces attaques ne sont rien que la plupart des gens devraient s'inquiéter, selon Yahoo directeur des normes Eran Hammer-Lahav, contributeur aux projets OAuth et OpenID. "Je ne suis pas concerné par cela", a-t-il écrit dans un message électronique. "Je ne pense pas qu'un grand fournisseur utilise l'une des bibliothèques open source pour son implémentation côté serveur, et même si c'est le cas, ce n'est pas une attaque triviale à exécuter."
Lawson et Nelson ont notifié les développeurs de logiciels affectés par le problème, mais ne publieront pas les noms des produits vulnérables tant qu'ils n'auront pas été corrigés. Pour la plupart des bibliothèques affectées, le correctif est simple: programmez le système pour qu'il prenne autant de temps pour renvoyer les mots de passe corrects et incorrects. Il est intéressant de noter que les chercheurs ont découvert que les applications en nuage pourraient être plus vulnérables à ce type d'attaques car des services comme Amazon EC2 et Slicehost permettent aux attaquants d'obtenir près de leurs cibles, réduisant ainsi la gigue du réseau.
Lawson et Nelson ne disent pas avant leur conversation à Black Hat à quel point leurs mesures de timing étaient précises, mais il y a des raisons pour lesquelles il serait plus difficile de lancer ce type d'attaque. le cloud, selon Scott Morrison, directeur de la technologie chez Layer 7 Technologies, un fournisseur de solutions de cloud computing.
Parce que de nombreux systèmes et applications virtuels rivalisent pour les ressources informatiques dans le cloud, il peut être difficile d'obtenir des résultats fiables. m'a dit. "Toutes ces choses fonctionnent pour aider à atténuer cette … attaque parce qu'elle ajoute simplement de l'imprévisibilité à tout le système."
Pourtant, il a dit que ce type de recherche est important parce qu'il montre comment une attaque, qui semble presque impossible à certains, peut vraiment travailler.
Robert McMillan couvre la sécurité informatique et les nouvelles générales de dernière heure pour
The IDG News Service
. Suivez Robert sur Twitter à @bobmcmillan. L'adresse électronique de Robert est [email protected]
Le chiffre d'affaires mondial des semi-conducteurs devrait baisser cette année, la demande pour les PC et les produits électroniques grand public diminuant, et la tendance continuera d'affecter les fabricants de puces l'an prochain. Selon Dale Ford, vice-président principal chez iSuppli, la crise a entraîné une baisse des dépenses pour des produits tels que l'électronique grand public et les PC. Le ralentissement des commandes de semi-conducteurs utilisés dans ces produits a à son tour affecté l
Il n'y a aucune force motrice qui pourrait immédiatement sortir le marché des semi-conducteurs et la tendance pourrait se poursuivre l'an prochain. Ford estime que les conditions du marché des semi-conducteurs pourraient s'améliorer d'ici la fin de l'année 2009 alors que les économies se stabilisent.
Les chercheurs du MIT disent que les traits plus denses peuvent être gravés sur des puces Les chercheurs du Massachusetts Institute of Technology disent avoir fait une percée avec la technologie de la lumière qui pourrait éventuellement aider les fabricants de puces à créer des circuits plus fins.
Les chercheurs ont trouvé un moyen de focaliser un faisceau de lumière Rajesh Menon, ingénieur de recherche au département de génie électrique et d'informatique du MIT, a déclaré que les fabricants de puces dépendent de la lumière pour tracer des schémas de circuits sur les puces, mais la plupart des les techniques utilisées aujourd'hui ne peuvent pas produire de motifs plus petits que la longueur d'onde de la lumière elle-même.
Chercheurs: la faille d'authentification pourrait affecter des millions
En raison d'une erreur de rapport, l'article «Chercheurs: le crack d'authentification pourrait affecter des millions» En raison d'une erreur de signalement, l'article "Chercheurs: la fissure d'authentification pourrait affecter des millions de personnes", publié jeudi, décrit de manière incorrecte la cible d'une attaque sur les systèmes d'authentification Internet. L'attaque cible les signatures numériques utilisées par les jetons d'authentification envoyés par le navigateur pour prouver que l'u