حملات رمزنگاری برای ورود غير مجاز به وب‌سايت‌های محبوب

شماره: IRCNE201007809
بنا بر اطلاعات ارائه شده توسط دو محقق امنيتي يك حمله رمزنگاري شناخته شده مي تواند براي ورود به برنامه هاي كاربردي وب با ميليون ها كاربر، مورد استفاده قرار گيرد. آنها قرار است به طور مفصل در مورد اين موضوع در كنفرانس امنيتي كه در پيش است، صحبت كنند.
محققان امنيتي مذكور توانسته اند يك نقص امنيتي را كشف كنند كه بر ده ها كتابخانه نرم افزار متن باز تأثير مي گذارد. از جمله كتابخانه هاي مذكور مي توان به آنهايي اشاره كرد كه توسط استاندارد هاي OAuth و OpenID استفاده مي شوند. استانداردهاي مذكور براي آزمودن نام كاربري و كلمه عبور افراد در زمان login كردن به وب سايت ها مورد استفاده قرار مي گيرد. تأييد هويت OAuth و OpenID توسط وب سايت هاي بسيار محبوبي همچون توئيتر و Digg پذيرفته شده اند.
محققان امنيتي مزبور دريافته اند كه برخي نسخه هاي سيستم login مذكور نسبت به حملاتي كه به عنوان حملات timing شناخته مي شوند، آسيب پذير هستند. متخصصان رمزنگاري حدود 25 سال است كه حملات timing را مي شناسند ولي گمان مي بردند كه استفاده از آن در شبكه بسيار مشكل مي باشد. متخصصان امنيتي گفته شده نشان داده اند كه استفاده از اين حملات در شبكه نيز امكان پذير است. حمله مذكور به هكر اجازه مي دهد با حق دسترسي يك كاربر قانوني بدون نياز به Login وارد سايت شود.