ما هو هجوم التوقيت؟
هو استغلال وضع أمني يسمح للمهاجم باكتشاف نقاط الضعف في أمان نظام الحاسوب أو الشبكة من خلال دراسة المدة التي يستغرقها النظام للاستجابة لمدخلات مختلفة.
تاريخ هجوم التوقيت
تم تصميم هجوم التوقيت من قبل كاتب التشفير بول كوتشر، إذ كان قادراً على كشف مفاتيح فك التشفير RSA دون اختراقه (فك تشفيره).
خطورة هجوم التوقيت
تستخدم هجمات التوقيت لاستهداف الأجهزة مثل البطاقات الذكية وخوادم الويب التي تستخدم مكتبة تشفير OpenSSL مفتوحة المصدر، ويعتقد أن خوادم الويب أقل عرضة لهجمات التوقيت لأن ظروف الشبكة يمكن أن تخفي الاختلافات في التوقيت.
كيف يعمل هجوم التوقيت؟
يعمل هجوم التوقيت من خلال تسريب المدة الزمنية التي يستغرقها تطبيق لأداء مهمة تتطلب بعض المعلومات. مثلاً، لنفرض أن تطبيق البريد الإلكتروني يتطلب تسجيل دخول من خلال بريد إلكتروني وكلمة مرور، توجد حالتان هنا لاستنباط النتائج من وجهة نظر المهاجم:
- المستخدم لا يملك حساباً: في هذه الحالة يتم إرجاع رسالة خطأ في 5 ميلي/ ثانية.
- المستخدم لا يملك كلمة المرور: عند إدخال بريد إلكتروني صالح مع كلمة سر خاطئة يتم إرجاع الرسالة في 500 ميلي/ ثانية.
أفضل ممارسات تجنب هجوم التوقيت
في هذا النوع من الهجمات لا يستطيع المستخدم النهائي التصدي للهجمة أو معالجتها، إذ تكون هذه الممارسات واجبة على مطوري التطبيقات لمنع هجمات التوقيت.
يتضمن التصدي لهجمات التوقيت تحديد الأقسام الأمنية الحاسمة في البرنامج، بحيث يجب أن تُكتب دوال الوقت بشكل ثابت وجعل عدد الحسابات اللازمة لتجهيز الطلب مستقلاً عن المدخلات ما يمنع المتسللين من الاعتماد على الفوارق الزمنية للحصول على المعلومات.