Интернет-магазины, облачные вычисления, онлайновые системы «CRM»: каждый день многие IТ-системы требуют идентификации пользователя. Чтобы обойти эту проблему и создать структурированную систему управления идентификацией (IDM) в промышленности, была введена система «Single Sign-On» (SSO). Благодаря этой системе пользователь только один раз проходит процедуру идентификации, а все последующие проверки подлинности выполняются автоматически, сообщает «SciencePlanet.ru».
Тем не менее, «SSO» системы, разработанные на основе отраслевого стандарта «SAML» имеют множество уязвимых мест: примерно 80 процентов из этих систем были сломаны исследователями из «Рурского университета» в Бохуме (Ruhr-Universitat Bochum).
Защита с помощью цифровых подписей
«Single Sign-On» (SSO) можно сравнить с хорошо охраняемой дверью, которая защищает конфиденциальные данные компании: после того как вы открыли эту дверь, вы получаете доступ ко всем данным. Многие отрасли «SSO» систем строятся на основе «Security Assertion Markup Language» (SAML). Идентификационная информация хранится в сообщении «SAML», защищённом цифровой подписью. Исследователи из Бохума смогли полностью обойти эту защиту в 12-ти из 14-ти «SAML» систем.
Обход защитных функций
«Благодаря новым методам «XML Signature Wrapping» мы смогли полностью обойти эти цифровые подписи», – говорит профессор Йорг Швенк из «Рурского университета». «Таким образом мы выдавали себя за других пользователей, даже за администраторов систем». Среди 12-ти пострадавших систем были «SaaS Cloud provider Salesforce», «IBM DataPower», «Onelogin» (может использоваться в качестве дополнительного модуля в «Joomla», «Wordpress», «SugarCRM», или «Drupal») и «OpenSAML» (используется в «Shibbolet»h, «SuisseID» и «OpenSAML»).
«После того, как мы поняли, что можем произвести успешные атаки, мы сразу же сообщили пострадавшим компаниям, и предложили им несколько путей обхода», – говорит эксперт по вопросам безопасности аспирант Андреас Майер (Adolf Wurth GmbH & Co. KG). «Благодаря тесному сотрудничеству с передовыми компаниями по безопасности, уязвимости удалось исправить в кратчайшие сроки», – добавляет Юрай Сморовский.