Timing Attack per alcuni progetti open source

18-07-2010 11:00 - Fonte: www.ossblog.it

I ricercatori Nate Lawson e Taylor Nelson hanno verificato che molte funzioni che gestiscono l’autenticazione degli utenti in alcuni software open source, fra cui anche OpenID o OAuth, possono essere attaccate con un timing attack. L’attacco consiste nel valutare i tempi di risposta del sistema in base all’input fornito e calcolare quindi la stringa corretta un carattere alla volta. I programmatori che non conoscono questo problema, purtroppo, utilizzano funzioni che tornano al chiamante al primo byte differente, aprendo la porta a questo genere di attacchi temporali. Si tratta di una falla di sicurezza meno teorica di quello che si pensi e la cui soluzione รจ banale. Al momento hanno contattato i progetti che sono vulnerabili, ma non ne hanno pubblicato l’elenco. Foto | RobotSkirts Via | ComputerWorld Timing Attack per alcuni progetti open source é stato pubblicato su ossblog alle 11:00 di domenica 18 luglio 2010.

- Continua...