Интернет-магазины, облачные вычисления, онлайновые системы «CRM»: каждый день многие IТ-системы требуют идентификации пользователя. Чтобы обойти эту проблему и создать структурированную систему управленияидентификацией (IDM) в промышленности, была введена система «Single Sign-On» (SSO). Благодаря этой системе пользователь только один раз проходит процедуру идентификации, а все последующие проверки подлинности выполняются автоматически, сообщает «SciencePlanet.ru».

Тем не менее, «SSO» системы, разработанные на основе отраслевого стандарта

Защита с помощью цифровых подписей

«Single Sign-On» (SSO) можно сравнить с хорошо охраняемой дверью, которая защищает конфиденциальные данные компании: после того как вы открыли эту дверь, вы получаете доступ ко всем данным. Многие отрасли «SSO» систем строятся на основе «Security Assertion Markup Language» (SAML). Идентификационная информация хранится в сообщении «SAML», защищённом цифровой подписью. Исследователи из Бохума смогли полностью обойти эту защиту в 12-ти из 14-ти «SAML» систем.

Обход защитных функций

«Благодаря новым методам «XML Signature Wrapping» мы смогли полностью обойти эти цифровые подписи», - говорит профессор Йорг Швенк из «Рурского университета». «Таким образом мы выдавали себя за других пользователей, даже за администраторов систем». Среди 12-ти пострадавших систем были «SaaS Cloud provider Salesforce», «IBM DataPower», «Onelogin» (может использоваться в качестве дополнительного модуля в «Joomla», «Wordpress», «SugarCRM», или «Drupal») и «OpenSAML» (используется в «Shibbolet»h, «SuisseID» и «OpenSAML»).

«После того, как мы поняли, что можем произвести успешные атаки, мы сразу же сообщили пострадавшим компаниям, и предложили им несколько путей обхода», - говорит эксперт по вопросам безопасности аспирант Андреас Майер (Adolf Wurth GmbH & Co. KG). «Благодаря тесному сотрудничеству с передовыми компаниями по безопасности, уязвимости удалось исправить в кратчайшие сроки», - добавляет Юрай Сморовский.

Источник: scienceplanet.ru

---

---