Peneliti: Password Crack Dapat Mempengaruhi Jutaan

A well- serangan kriptografi dikenal dapat digunakan oleh peretas untuk masuk ke aplikasi Web yang digunakan oleh jutaan pengguna, menurut dua pakar keamanan yang berencana membahas masalah tersebut pada konferensi keamanan mendatang.

Peneliti Nate Lawson dan Taylor Nelson mengatakan mereka telah menemukan cacat keamanan dasar yang mempengaruhi lusinan pustaka perangkat lunak sumber terbuka - termasuk yang digunakan oleh perangkat lunak yang mengimplementasikan standar OAuth dan OpenID - yang digunakan untuk memeriksa kata sandi dan nama pengguna saat orang-orang masuk ke situs web. Otentikasi OAuth dan OpenID diterima oleh situs Web populer seperti Twitter dan Digg.

Mereka menemukan bahwa beberapa versi sistem masuk ini rentan terhadap apa yang dikenal sebagai serangan waktu. Kriptografer telah mengetahui tentang serangan waktu selama 25 tahun, tetapi mereka umumnya dianggap sangat sulit untuk melakukan jaringan. Para peneliti bertujuan untuk menunjukkan itu tidak terjadi.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Serangan dianggap sangat sulit karena mereka membutuhkan pengukuran yang sangat tepat. Mereka memecahkan kata sandi dengan mengukur waktu yang diperlukan komputer untuk menanggapi permintaan masuk. Pada beberapa sistem login, komputer akan memeriksa karakter kata sandi satu per satu, dan menendang kembali pesan "masuk gagal" segera setelah melihat karakter buruk dalam kata sandi. Ini berarti komputer mengembalikan upaya masuk yang benar-benar buruk sedikit lebih cepat daripada proses masuk di mana karakter pertama dalam kata sandi benar.

Dengan mencoba masuk lagi dan lagi, bersepeda melalui karakter dan mengukur waktu yang diperlukan untuk komputer untuk merespon, peretas pada akhirnya dapat mengetahui kata sandi yang benar.

Semua ini terdengar sangat teoritis, tetapi serangan waktu dapat benar-benar berhasil di dunia nyata. Tiga tahun yang lalu, seseorang digunakan untuk meretas sistem permainan Xbox 360 Microsoft, dan orang-orang yang membuat kartu pintar telah menambahkan perlindungan serangan waktu selama bertahun-tahun.

Tetapi pengembang Internet telah lama berasumsi bahwa ada terlalu banyak faktor lain - disebut jitter jaringan - yang memperlambat atau mempercepat waktu respons dan membuatnya hampir mustahil untuk mendapatkan hasil yang tepat, di mana nanosekon membuat perbedaan, diperlukan untuk serangan waktu yang sukses.

Asumsi tersebut salah, menurut Lawson, pendiri Konsultan keamanan Root Labs. Dia dan Nelson menguji serangan melalui Internet, jaringan area lokal dan dalam lingkungan komputasi awan dan menemukan mereka mampu memecahkan kata sandi di semua lingkungan dengan menggunakan algoritme untuk menyingkirkan jitter jaringan.

Mereka berencana membahas serangan mereka di konferensi Black Hat akhir bulan ini di Las Vegas.

"Saya benar-benar berpikir orang perlu melihat eksploitasinya untuk melihat bahwa ini adalah masalah yang harus mereka perbaiki," kata Lawson. Dia mengatakan dia fokus pada jenis-jenis aplikasi Web justru karena mereka sering dianggap kebal terhadap serangan waktu. "Saya ingin menjangkau orang-orang yang paling tidak menyadarinya," katanya.

Para peneliti juga menemukan bahwa pertanyaan yang dibuat untuk program yang ditulis dalam bahasa yang diterjemahkan seperti Python atau Ruby - keduanya sangat populer di Web - yang dihasilkan tanggapan jauh lebih lambat daripada jenis bahasa lain seperti C atau bahasa assembly, membuat serangan waktu lebih layak. "Untuk bahasa yang ditafsirkan, Anda berakhir dengan perbedaan waktu yang jauh lebih besar daripada yang dipikirkan orang," kata Lawson.

Namun, serangan ini bukan apa-apa yang kebanyakan orang harus khawatirkan, menurut Direktur Standar Yahoo Eran Hammer-Lahav, kontributor untuk proyek OAuth dan OpenID. "Saya tidak peduli dengan itu," tulisnya dalam sebuah pesan e-mail. "Saya tidak berpikir ada penyedia besar yang menggunakan salah satu pustaka sumber terbuka untuk implementasi sisi server mereka, dan bahkan jika mereka melakukannya, ini bukan serangan sepele untuk dieksekusi."

Lawson dan Nelson telah memberi tahu pengembang perangkat lunak yang terkena masalah, tetapi tidak akan merilis nama produk yang rentan sampai mereka diperbaiki. Untuk sebagian besar perpustakaan terpengaruh, perbaikannya sederhana: Programlah sistem untuk mengambil jumlah waktu yang sama untuk mengembalikan kata sandi yang benar dan salah. Ini dapat dilakukan dalam sekitar enam baris kode, kata Lawson.

Yang menarik, para peneliti menemukan bahwa aplikasi berbasis cloud bisa lebih rentan terhadap jenis serangan ini karena layanan seperti Amazon EC2 dan Slicehost memberi penyerang cara untuk mendapatkan dekat dengan target mereka, sehingga mengurangi jitter jaringan.

Lawson dan Nelson tidak mengatakan sebelum pembicaraan mereka di Black Hat seberapa tepat pengukuran waktu mereka, tetapi sebenarnya ada alasan yang mungkin lebih sulit untuk melakukan jenis serangan ini di cloud, menurut Scott Morrison, CTO dengan Layer 7 Technologies, penyedia keamanan komputasi awan.

Karena banyak sistem dan aplikasi virtual yang berbeda bersaing untuk sumber daya komputasi di awan, akan sulit untuk mendapatkan hasil yang andal, ia kata. "Semua hal itu bekerja untuk membantu mengurangi serangan khusus ini … karena itu hanya menambah ketidakpastian ke seluruh sistem."

Namun, dia mengatakan jenis penelitian ini penting karena menunjukkan bagaimana sebuah serangan, yang tampaknya hampir tidak mungkin bagi beberapa orang., benar-benar dapat bekerja.

Robert McMillan mencakup keamanan komputer dan teknologi umum untuk berita Layanan Berita IDG. Ikuti Robert di Twitter di @bobmcmillan. Alamat e-mail Robert adalah [email protected]