Новини

13:34
"Наперсточники из Борисполя и МАУ, гуляйте лесом", – журналист
12:30
Украинскому арбитру доверили матч Италия - Германия
12:12
Гордон: Пока что украинский парламент – это одна большая организованная преступная группировка
12:06
Американцы опубликовали карту Украины без Крыма
11:22
Почему Украина все-таки решила закупать уголь у США?
11:20
Украинским водителям придется ездить медленнее
11:15
Появились кадры мощного землетрясения в Турции и Греции
11:12
"Хаос головного мозга": "раскусившего" Порошенко дипломата обстебали в сети
11:10
Без фактора Саакашвили: Украина и Грузия восстанавливают связи
09:57
21 млн человек "купились" на онлайн-трансляцию фейкового природного явления
09:51
Песня Гребенщикова про "расшатанные скрепы" россиян стала хитом Сети
09:30
ООН предупредил о начале голода на Земле
08:38
София Ротару все еще выглядит потрясающе
08:35
Жена Турчинова показывает ему фотожабы про "кровавого пастора"
08:29
Вакцинация детей: Украина оказалась в печальном рейтинге
08:23
Аксенов признал коллапс очистных систем в Симферополе
08:18
Украина готовит на экспорт в ЕС мороженое
08:15
В России женихи жестко подрались возле ЗАГСа из-за невесты
08:12
Евро пошел в отрыв: причины и прогноз
08:06
Известный украинский телеведущий уходит с "1+1"
08:02
Нет диктатуре! В Польше начались массовые протесты
07:42
У "курортного" побережья Турции произошло сильное землетрясение, вызвавшее цунами
07:35
Польша продолжит реформы, несмотря на протесты оппозиции - Шидло
07:33
Бессмертный в прямом эфире раскрыл секрет Порошенко
07:29
Кравчук объяснил, почему Украина потеряла контроль над Крымом и Донбассом
07:27
Популярная украинская певица изменилась до неузнаваемости
07:25
В ЕС рассказали, чего ждут от Украины после предоставления безвиза
07:23
Ученые объяснили появление воронок в Атлантическом океане
07:22
В сети подняли на смех фото Медведева с "новейшей" российской робототехникой
07:19
Ранения военных на полигоне под Днепром: появились подробности ЧП
07:16
Назван новый руководитель "Приватбанка". Отставка Шлапака принята
07:13
Маша Ефросинина показала, как выглядит в повседневной жизни
19:17
Ученые не могут разгадать тайну гигантского шестиугольника на Сатурне‍
19:12
Как россияне маскируют свои авто "под украинские"
19:09
ПриватБанк разрешит властям мониторить доходы своих клиентов
16:55
Звезда российского кино приехала на Одесский кинофестиваль
16:49
В Сети высмеяли реакцию боевиков на заявление Суркова
16:30
Новый украинский автобус с космическим дизайном (видео)
Більше новин

Массовый взлом пользовательских паролей

0

Специалисты по информационной безопасности обнаружили серьезную уязвимость в системе входа в базы данных Oracle.

Массовый взлом пользовательских паролей

Эта уязвимость позволяет сравнительно легко получить пароли пользователей и войти в систему без авторизации.

Проблема получила название «уязвимость с незаметным вскрытием паролей Oracle». Первооткрыватель этого дефекта, Эстебан Мартинес Файо (Esteban Martinez Fayó) из компании AppSec, убежден, что источник трудностей кроется в сеансовом ключе, который отправляется пользователям при каждой попытке входа в БД Oracle Database 11g версий R1 и R2. Этот ключ содержит важную информацию о криптографическом хэш-коде, который используется для скрытия исходного пароля. Этот хэш-код, как оказалось, можно вскрыть с помощью общедоступных утилит с открытым исходным кодом. Тестовая утилита, показывающая возможность использования уязвимостей, способна вскрыть пароль из восьми буквенных символов примерно за пять часов на стандартном ПК.

По имеющейся информации, инженеры Oracle устранили эту недоработку протокола аутентификации в версии Oracle Database 12, но никаких планов по исправлению проблем в версии 11.1 пока не заявлено. Даже в версии 12 эта уязвимость сохраняется, пока администратор не изменит конфигурацию сервера таким образом, чтобы использовать только новую систему проверки подлинности. Представители Oracle пока никак не комментируют сообщение о новой уязвимости.

Дополнительная опасность нового способа атаки заключается в том, что в ходе взлома администраторы не могут обнаружить атаку, а еще для взлома не нужно личное проникновение в защищенную сеть. Дело в том, что ключ сеанса отправляется каждый раз, когда удаленный пользователь посылает в БД несколько специальных сетевых пакетов или использует стандартный настольный клиент для работы с серверами Oracle. Все, что нужно для начала атаки – это действующее имя пользователя и хотя бы начальные знания о взломе паролей.

Лучший способ предотвратить атаки подобного рода – установить необходимые исправления и внести изменения в конфигурацию серверов. Даже при использовании подверженных уязвимости систем можно принять меры, которые надолго задержат взломщиков – нужно генерировать пароли всех пользователей случайным образом, чтобы они содержали не менее девяти, а лучше от 13 до 20 символов. Смысл такой стратегии заключается в том, чтобы на взлом паролей методом перебора ушло несколько месяцев, если не лет.
Источник


Загрузка...