Новини

20:18
"Пиар-акция": Почему СБУ не поверила в покушение на Геращенко
19:59
Только пять: Генералы приняли участие во флешмобе 22PushupChallenge
16:31
Как «крымские власти» довели до руин популярный в прошлом курорт
16:26
Порошенко: отказ Украины от Донбасса не приведет к миру
11:54
Однако: США, Япония и Китай на 10 лет отстали от России в сфере радиоэлектроники: депутат Госдумы
11:44
Киев потерял место самого дорого города Украины
10:52
Собака, успокаивающая плачущую девочку, растрогала пользователей Сети
09:57
С января в Крыму резко возросли тарифы на коммуналку
09:34
Microsoft рекламирует расширение для Chrome в Windows 10
09:09
67-летняя Пугачева без макияжа восхитила поклонников молодым лицом
09:04
В феврале украинцам обещают временно отключить интернет
08:40
Фото Светланы Лободы без макияжа вызвало восторг фанатов
08:20
В Украине подорожали автомобили: что будет с ценами в 2017
08:17
Расстрел адвоката в Киеве: опубликованы кадры с места преступления
08:11
В Польшу прибыли первые американские крылатые ракеты
08:07
Настя Каменских приятно удивила странным снимком
07:53
Работник липецкого "Рошена": "Жаль что закрыли, нам хорошо платили"
07:50
Надежда Мейхер откровенно рассказала о своей болезни
07:29
Что ждет Украину и украинцев в 2017 году? Предсказание астролога
07:14
Известный украинский футболист поразил своим выступлением на собрании Иеговистов
07:11
Вся в золоте: Мелания Трамп подчеркнула сексуальные формы на званом ужине
21:45
Астронавты засняли в космосе таинственный летающий объект
21:37
В Раде предложили провести тотальную украинизацию
21:10
ВВС сообщил о ранении Трампа при покушении
21:06
Китайцы похищают наши личные данные через приложение для обработки фото
20:54
Саакашвили похвалил президента за закрытие "Рошен"
19:49
Стоимость литра бензина в США упала до 12 центов
18:25
Карты Google назвали здание ФСБ в Калининграде управлением Гестапо
18:15
В Одессе горит Привоз: на месте работают пожарные
18:03
Сколько стоит отопление в Украине, Польше, России и Беларуси
17:17
Улица "Путин нас спас": пранкер потроллил жителей Крыма
16:52
Украина не выполнила 8 из 11 обязательных условий для получения транша МВФ
16:43
Коррупционеры в судах: Людмила Салтан и ее коллеги
16:39
Женщины-депутаты устроили массовую драку в турецком парламенте
16:27
Ле Пен заявила, что Brexit будет иметь эффект домино по всей Европе
16:21
ICU уличила Бахматюка во лжи
16:17
Бахматюк собрался «кинуть» кредиторов на 1,7 млрд долларов
15:54
Саакашвили наблюдал за инаугурацией Трампа из кустов
Більше новин

Массовый взлом пользовательских паролей

0

Специалисты по информационной безопасности обнаружили серьезную уязвимость в системе входа в базы данных Oracle.

Массовый взлом пользовательских паролей

Эта уязвимость позволяет сравнительно легко получить пароли пользователей и войти в систему без авторизации.

Проблема получила название «уязвимость с незаметным вскрытием паролей Oracle». Первооткрыватель этого дефекта, Эстебан Мартинес Файо (Esteban Martinez Fayó) из компании AppSec, убежден, что источник трудностей кроется в сеансовом ключе, который отправляется пользователям при каждой попытке входа в БД Oracle Database 11g версий R1 и R2. Этот ключ содержит важную информацию о криптографическом хэш-коде, который используется для скрытия исходного пароля. Этот хэш-код, как оказалось, можно вскрыть с помощью общедоступных утилит с открытым исходным кодом. Тестовая утилита, показывающая возможность использования уязвимостей, способна вскрыть пароль из восьми буквенных символов примерно за пять часов на стандартном ПК.

По имеющейся информации, инженеры Oracle устранили эту недоработку протокола аутентификации в версии Oracle Database 12, но никаких планов по исправлению проблем в версии 11.1 пока не заявлено. Даже в версии 12 эта уязвимость сохраняется, пока администратор не изменит конфигурацию сервера таким образом, чтобы использовать только новую систему проверки подлинности. Представители Oracle пока никак не комментируют сообщение о новой уязвимости.

Дополнительная опасность нового способа атаки заключается в том, что в ходе взлома администраторы не могут обнаружить атаку, а еще для взлома не нужно личное проникновение в защищенную сеть. Дело в том, что ключ сеанса отправляется каждый раз, когда удаленный пользователь посылает в БД несколько специальных сетевых пакетов или использует стандартный настольный клиент для работы с серверами Oracle. Все, что нужно для начала атаки – это действующее имя пользователя и хотя бы начальные знания о взломе паролей.

Лучший способ предотвратить атаки подобного рода – установить необходимые исправления и внести изменения в конфигурацию серверов. Даже при использовании подверженных уязвимости систем можно принять меры, которые надолго задержат взломщиков – нужно генерировать пароли всех пользователей случайным образом, чтобы они содержали не менее девяти, а лучше от 13 до 20 символов. Смысл такой стратегии заключается в том, чтобы на взлом паролей методом перебора ушло несколько месяцев, если не лет.
Источник

Загрузка...