Новини

06:52
Анджелина Джоли отпраздновала день рождения дочери без нижнего белья
06:49
Ниже среднего: в Крыму оценили уровень сервиса
06:47
США направят к берегам КНДР третий авианосец - один из крупнейших в мире
06:45
Стало известно, когда в Украине появятся платные дороги
06:40
Ягоды и фрукты в этом году обойдутся украинцам на 50% дороже, чем в прошлом году
06:34
Страдают люди и коты: звезда КремльТВ сочинила новый фейк об Украине
06:22
Первое интервью Путина на посту президента РФ: робкий и стеснительный
05:34
Как первые леди "развлекались" без мужей: яркие фото с саммита НАТО
21:21
Наталья Могилевская впервые рассказала о своем возлюбленном
21:19
Как дети в Ивано-Франковске проучили наглых взрослых (видео)
20:16
Как украинцам сэкономить на растаможке авто
20:08
Мадонна крутит роман с молодой моделью
20:00
Жуткие кадры: Столкновение поездов в Хмельницкой области сняли с беспилотника
19:56
Смешные фотографии, на которых второй план значительно интересней
19:16
43-летняя Хайди Клум полностью обнажилась для книги
18:58
Белый дом предлагает предоставить Украине летальное оружие, - Чалый
18:57
Турки показали украинцам, как нужно латать дороги
18:23
Тина Кароль покорила фанатов соблазнительным образом
18:20
Повышения пенсий не будет?
18:08
Оккупанты показали как захватывали объекты в Крыму
17:51
"Звезда" фейка про "соляную валюту" в Мелитополе сняла ролик о "есть нечего"
17:43
Итоговая декларация: Лидеры G7 пригрозили России дополнительными санкциями из-за Украины
17:37
Главарь "ДНР" проговорился о плане по захвату новых территорий Украины
16:51
Названы самые высокооплачиваемые футболисты мира
16:48
Вкусняшкой кормят: в крымском батоне нашли отвратительный "сюрприз"
16:34
Рианна набрала вес и привела в восторг фанатов
16:28
Россиянка, бьющая своих окровавленных детей за поражения на ринге, вызвала омерзение в интернете
14:00
Опубликован Меморандум с МВФ: Каковы обязательства Украины
13:58
64-летняя жена Макрона появилась на саммите NATO в миниплатье за 2,3 тыс евро
13:56
В Украине может не быть следующих президентских выборов – политолог
13:55
Настя Каменских похвалилась неординарным событием
13:51
«Лишился мозга». В Сети смеются над «заявлением» Захарченко о Минском процессе
13:42
На разных авто и с пафосом - семья Луценко приехала на последний звонок к сыну
11:42
Из первых уст: бойцы АТО рассказали, кто воюет против Украины на Донбассе
11:22
Джамала порадовала поклонников нежным фото с мужем
11:16
Соцсети высмеяли преклонение Путина перед иконой
10:56
В центре Москвы полиция задержала 10-летнего мальчика за чтение стихов вслух
09:26
Керченский мост трещит по швам (видео)
Більше новин

Массовый взлом пользовательских паролей

0

Специалисты по информационной безопасности обнаружили серьезную уязвимость в системе входа в базы данных Oracle.

Массовый взлом пользовательских паролей

Эта уязвимость позволяет сравнительно легко получить пароли пользователей и войти в систему без авторизации.

Проблема получила название «уязвимость с незаметным вскрытием паролей Oracle». Первооткрыватель этого дефекта, Эстебан Мартинес Файо (Esteban Martinez Fayó) из компании AppSec, убежден, что источник трудностей кроется в сеансовом ключе, который отправляется пользователям при каждой попытке входа в БД Oracle Database 11g версий R1 и R2. Этот ключ содержит важную информацию о криптографическом хэш-коде, который используется для скрытия исходного пароля. Этот хэш-код, как оказалось, можно вскрыть с помощью общедоступных утилит с открытым исходным кодом. Тестовая утилита, показывающая возможность использования уязвимостей, способна вскрыть пароль из восьми буквенных символов примерно за пять часов на стандартном ПК.

По имеющейся информации, инженеры Oracle устранили эту недоработку протокола аутентификации в версии Oracle Database 12, но никаких планов по исправлению проблем в версии 11.1 пока не заявлено. Даже в версии 12 эта уязвимость сохраняется, пока администратор не изменит конфигурацию сервера таким образом, чтобы использовать только новую систему проверки подлинности. Представители Oracle пока никак не комментируют сообщение о новой уязвимости.

Дополнительная опасность нового способа атаки заключается в том, что в ходе взлома администраторы не могут обнаружить атаку, а еще для взлома не нужно личное проникновение в защищенную сеть. Дело в том, что ключ сеанса отправляется каждый раз, когда удаленный пользователь посылает в БД несколько специальных сетевых пакетов или использует стандартный настольный клиент для работы с серверами Oracle. Все, что нужно для начала атаки – это действующее имя пользователя и хотя бы начальные знания о взломе паролей.

Лучший способ предотвратить атаки подобного рода – установить необходимые исправления и внести изменения в конфигурацию серверов. Даже при использовании подверженных уязвимости систем можно принять меры, которые надолго задержат взломщиков – нужно генерировать пароли всех пользователей случайным образом, чтобы они содержали не менее девяти, а лучше от 13 до 20 символов. Смысл такой стратегии заключается в том, чтобы на взлом паролей методом перебора ушло несколько месяцев, если не лет.
Источник


Загрузка...