Всі новини

Массовый взлом пользовательских паролей

Специалисты по информационной безопасности обнаружили серьезную уязвимость в системе входа в базы данных Oracle.

Массовый взлом пользовательских паролей

Эта уязвимость позволяет сравнительно легко получить пароли пользователей и войти в систему без авторизации.

Проблема получила название «уязвимость с незаметным вскрытием паролей Oracle». Первооткрыватель этого дефекта, Эстебан Мартинес Файо (Esteban Martinez Fay?) из компании AppSec, убежден, что источник трудностей кроется в сеансовом ключе, который отправляется пользователям при каждой попытке входа в БД Oracle Database 11g версий R1 и R2. Этот ключ содержит важную информацию о криптографическом хэш-коде, который используется для скрытия исходного пароля. Этот хэш-код, как оказалось, можно вскрыть с помощью общедоступных утилит с открытым исходным кодом. Тестовая утилита, показывающая возможность использования уязвимостей, способна вскрыть пароль из восьми буквенных символов примерно за пять часов на стандартном ПК.

По имеющейся информации, инженеры Oracle устранили эту недоработку протокола аутентификации в версии Oracle Database 12, но никаких планов по исправлению проблем в версии 11.1 пока не заявлено. Даже в версии 12 эта уязвимость сохраняется, пока администратор не изменит конфигурацию сервера таким образом, чтобы использовать только новую систему проверки подлинности. Представители Oracle пока никак не комментируют сообщение о новой уязвимости.

Дополнительная опасность нового способа атаки заключается в том, что в ходе взлома администраторы не могут обнаружить атаку, а еще для взлома не нужно личное проникновение в защищенную сеть. Дело в том, что ключ сеанса отправляется каждый раз, когда удаленный пользователь посылает в БД несколько специальных сетевых пакетов или использует стандартный настольный клиент для работы с серверами Oracle. Все, что нужно для начала атаки – это действующее имя пользователя и хотя бы начальные знания о взломе паролей.

Лучший способ предотвратить атаки подобного рода – установить необходимые исправления и внести изменения в конфигурацию серверов. Даже при использовании подверженных уязвимости систем можно принять меры, которые надолго задержат взломщиков – нужно генерировать пароли всех пользователей случайным образом, чтобы они содержали не менее девяти, а лучше от 13 до 20 символов. Смысл такой стратегии заключается в том, чтобы на взлом паролей методом перебора ушло несколько месяцев, если не лет.
Источник

Загрузка...


Добавить комментарий
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent
Читают Комментируют
Лавров обзавидуется: соблазнительная помощница Шойгу вызвала ажиотаж в Сети
31 267
В сети истерика из-за выступления "Черного Ленина" в Донецке
21 142
В Киеве водителя маршрутки застукали за неожиданным занятием
19 200
"Бронетапки" Медведева: В сети троллят высокую платформу ботинок премьера России
15 574
Гордон: Ани Лорак перепутала родину и деньги
13 584
Арбитр отказался засчитывать яркий гол Ярмоленко в ворота "Штутгарта"
11 940
«Пугало за миллиард»: модернизацию российского стадиона высмеяли в соцсетях
11 394
Московский патриарх Гундяев анонсировал конец света
11 080
Специалисты назвали лучший напиток для очищения организма
10 683
Deutsche Welle выпустила мультик о "попрошайке" Порошенко: Украинцы возмущены
10 133
Сеть рассмешила кража кабеля из воинской части ФСБ в России
9 746
Настя Каменских в полупрозрачном бюстгальтере похвасталась фанам миллионами
9 494
Жесткая оценка: Приходько прокомментировала выступление Лорак в Киеве
12
В последний бой с тобой: Пропагандистский клип российских школьников ужаснул сеть
11
Московский патриарх Гундяев анонсировал конец света
9
"Она была искренней": украинский продюсер сделал неожиданное заявление о выступлении Лорак
7
"Схватил за волосы и тащил": в Тернополе депутат избил женщину-полицейского
5
Лавров обзавидуется: соблазнительная помощница Шойгу вызвала ажиотаж в Сети
5
Гордон: Ани Лорак перепутала родину и деньги
5
А как же скрепы? Медведев похвастался новеньким iPhone X
5
Как же я скучала: Лорак прокомментировала внезапное выступление в Киеве
5
Медведь с крыльями: в РФ сделали угарную "голую" скульптуру Путина
4
"Вынести на эшафот!" Савченко предложила план спасения Украины
4
Ани Лорак впервые за три года вышла на сцену в Украине
4
Исследователи запретили тушить продукты на открытой сковороде

Считается, что тушеные продукты отличаются пользой по ...

Диетические таблетки с зеленым чаем оказались опасными для жизни

Канадские эксперты выпустили тревожное предупреждение в ...

Обычный поцелуй чуть не убил маленького ребенка

Этот малыш чуть не умер в результате того, что он подхватил ...

Выпадение волос: как бороться с этой проблемой

Женщины часто замечают у себя сезонные проблемы, а именно: ...