[ì¤íì¸í°ë·°]'ê°ìí ì¤í 리ì§'(IP SAN)ì ê´í 5ê°ì§ ê¶ê¸ì¦
이러한 로그인 시스템의 일부 버전은 타이밍 공격으로 알려진 취약점에 취약합니다. 암호 작성자는 25 년 동안 타이밍 공격에 대해 알고 있었지만 일반적으로 네트워크를 통해 철수하기는 매우 어려웠습니다.
[추가 정보: Windows PC에서 멀웨어를 제거하는 방법]
매우 정확한 측정이 필요하기 때문에 공격이 매우 어려울 것으로 생각됩니다. 컴퓨터가 로그인 요청에 응답하는 데 걸리는 시간을 측정하여 암호를 해독합니다. 일부 로그인 시스템에서는 컴퓨터가 한 번에 하나씩 암호 문자를 확인하고 암호에 잘못된 문자가있는 즉시 "로그인 실패"메시지를 다시 표시합니다. 이것은 컴퓨터가 완전히 나쁜 로그인 시도를 암호의 첫 번째 문자가 올바른 로그인보다 조금 더 빨리 반환한다는 것을 의미합니다.
문자를 반복해서 반복하여 시도하고 컴퓨터가 응답하려면 해커가 궁극적으로 정확한 암호를 알아낼 수 있습니다.이 모든 것은 매우 이론적으로 들리지만 타이밍 공격은 실제로 현실 세계에서 성공할 수 있습니다. 3 년 전만하더라도 Microsoft의 Xbox 360 게임 시스템을 해킹하는 데 사용되었지만 스마트 카드를 만든 사람들은 몇 년 동안 타이밍 공격 방어 기능을 추가했습니다.
하지만 인터넷 개발자는 네트워크 지터 - 반응 속도가 느려지거나 빨라지고 나노초가 성공적인 타이밍 공격에 필요한 정확한 결과를 얻는 것을 거의 불가능하게 만듭니다.
이러한 가정은 잘못되었습니다, Lawson의 창립자 인 보안 컨설팅 회사 인 Root Labs. 그와 넬슨은 인터넷, 로컬 영역 네트워크 및 클라우드 컴퓨팅 환경에서 공격을 테스트했으며 알고리즘을 사용하여 네트워크 지터를 제거함으로써 모든 환경에서 암호를 해독 할 수 있음을 발견했습니다.
블랙 햇 회의는 이달 말 라스 베이거스에서 열린다.
"사람들은 이것이 문제를 해결해야 할 필요가 있음을 사람들이 알아야한다고 생각한다"고 로슨은 말했다. 그는 이러한 유형의 웹 응용 프로그램이 타이밍 공격에 취약하지 않다고 생각하기 때문에 집중적으로 말합니다. 연구원은 Python이나 Ruby와 같은 인터프리터 언어로 작성된 프로그램에 대한 질의가 웹에서 매우 인기가 있다는 사실을 발견했다. C 나 어셈블리 언어와 같은 다른 유형의 언어보다 훨씬 느리게 응답하므로 타이밍 공격이 더 적합합니다. 로렌은 "해석되는 언어의 경우 사람들이 생각했던 것보다 훨씬 더 큰 타이밍 차이를 보게된다"고 말했다. 야후의 디렉터 인이란 해머 라 하브 (Eran Hammer-Lahav)에 따르면, 이러한 공격은 대부분의 사람들이 걱정해야 할 것이 아니다. OAuth와 OpenID 프로젝트에 기여한 사람. "나는 그것에 대해 걱정하지 않는다."그는 전자 메일 메시지로 썼다. "대형 공급자가 서버 측 구현을 위해 오픈 소스 라이브러리를 사용하고 있다고 생각하지 않습니다. 그렇더라도 실행하는 사소한 공격은 아닙니다."
Lawson과 Nelson은 문제의 영향을받는 소프트웨어 개발자에게 통지했지만 해결 될 때까지 취약한 제품의 이름은 공개하지 않습니다. 영향을받는 대부분의 도서관에서 수정 방법은 간단합니다: 시스템이 올바른 시간과 잘못된 암호를 모두 반환하도록 동일한 시간이 걸리도록 프로그램하십시오. 흥미롭게도 Amazon EC2 및 Slicehost와 같은 서비스가 공격자에게 다음과 같은 서비스를 제공하기 때문에 클라우드 기반 응용 프로그램이 이러한 유형의 공격에 더 취약 할 수 있다는 것을 발견했습니다. 네트워크 지터를 줄였습니다.
Blackson에서의 이야기가 있기 전에 Lawson과 Nelson은 타이밍 측정의 정확성에 대해 말하지 않고 있지만 실제로 이러한 유형의 공격을 차단하는 것이 더 어려울 수도 있습니다. 클라우드 컴퓨팅 보안 공급자 인 Layer 7 Technologies의 CTO 인 Scott Morrison은 말합니다. 많은 다른 가상 시스템과 응용 프로그램이 클라우드의 컴퓨팅 리소스와 경쟁하기 때문에 신뢰할 수있는 결과를 얻지 못할 수 있습니다. 고 밝혔다. "이러한 모든 것들은 공격을 완화하는데 도움이됩니다. 단지 시스템 전체에 예측할 수없는 기능을 추가하기 때문입니다."라고 그는 덧붙였습니다. 그러나 그는 이런 종류의 연구가 중요하다고 말했습니다., 정말로 일할 수 있습니다.
IDG News Service
에 대한 Robert McMillan은 컴퓨터 보안 및 일반 기술 관련 뉴스를 다루고 있습니다. @bobmcmillan의 Twitter에서 Robert를 팔로우하십시오. Robert의 전자 메일 주소는 [email protected]입니다.
삼성, SSD 용 데이터 암호화 제공 Dell은 다가오는 달에 자사의 래티튜드 라인 노트북에 자체 암호화 SSD를 제공 할 것이라고 발표했다. 삼성 전자는 9 일 (미국 시간) 자사의 SSD에 데이터 암호화 소프트웨어를 번들로 제공함으로써 SSD에 대한 보안을 강화한다고 발표했다. 64GB와 256GB에 이른다.
삼성 전자는 암호화 소프트웨어를 탑재 한 드라이브를 PC 제조업체들이 이용할 수있게 될 것이라고 성명서를 통해 밝혔다. 삼성 전자의 발표와 함께 델은 앞으로 몇 달 안에 자사의 래티튜드 라인 노트북에 자체 암호화 SSD를 제공 할 것이라고 밝혔다.
마이크로 소프트 : 새로운 XP 0day 공격으로 10,000 PC 충돌 Microsoft는 패치되지 않은 Windows XP 결함에 대한 공격으로 10,000 대의 컴퓨터가 공격 대상이되었다고 전했다. 구글 엔지니어가 새로운 윈도우 XP 결함에 대한 세부 사항을 공개한지 거의 한 달 후에, 범죄자들은 버그를 이용하는 온라인 공격을 급격히 증가시켰다. 마이크로 소프트는 수요일에 10,000 건 이상의 공격을 기록했다고보고했다. . 그는 "처음에는 합법적 인 연구원들이 무해한 개념 증명을 테스트하는 것을 보았지만 6 월 15 일 초에는 최초의 공개적 공격이 나타났다"고 말했다. 악의적 인 웹 페이지에서 시작된 공격은 미국, 러시아, 포르투갈, 독일 및 독일에 집중되어 있습니다. "
[
] [추가 정보 : Windows PC에서 악성 코드 제거 방법]
Facebook의 보도에 따르면 Facebook은 분명히 작동하고 있다고합니다. 사용자가 서로 메시지 및 사진을 자기 파괴 할 수있게 해주는 메시징 앱에서 페이스 북의 성장중인 모바일 포트폴리오는 수주 내에 확대 될 수있다. 페이스 북은 사용자들이 메시지와 사진을 서로 "자기 파괴적"으로 보낼 수있는 메시징 앱을 개발 중이다. 이 앱은 페이스 북의 늘어나는 모바일 앱 포트폴리오를 몇 주 안에 확장시킬 수있다.
이 앱은 아이폰과 안드로이드 사용자가 개인적으로 사진을 교환하고 콘텐츠에 대한 접근을 제한하는 시간대를 정하는 Snapchat과 매우 비슷하다. 파일은 사용자의 전화 및 Snapchat 서버에서 삭제됩니다. 다른 용도 중 Snapchat 응용 프로그램은 성매매 사진을 스와핑하는 데 매우 인기가있는 것으로 보입니다.