Новини

21:34
Сын Зидана забил роскошный голасо ударом через себя (видео)
21:08
Стало известно сколько украинцев призовут в армию весной
20:30
Пожар в Балаклее засняли с дрона: первое видео
19:26
Три теракта в один день. Почему именно сейчас?
19:25
Появились кадры передвижения крупной военной техники в Ростове
18:07
В соцсетях смеются, как "Киевавтодор" ремонтирует дороги на "рОйоне"
17:58
Печати больше не обязательны: ВР приняла важный закон для бизнеса
16:26
Ученые: Человечество в 2045 году станет бессмертным
16:14
Чуть не потеряли киллера: прохожие подсказывали копам что им делать
16:05
Минобороны: Пожар в Балаклее охватил новые площади
16:03
Рада обязала представителей общественных объединений подавать е-декларации
15:49
Запрет двойного гражданства в Украине: самые страшные последствия
14:48
Парубий торопит нардепов с запретом двойного гражданства
13:07
Ученые рассказали о самых страшных катаклизмах этого года
13:04
У Балаклії загорілися газові перекачні станції
12:41
Порошенко подписал изменения в Налоговый кодекс
12:39
Массовый обман: стали известны масштабы фальсификаций товаров в Украине
12:36
Не Кличко: Усик и Ломаченко назвали лучшего боксера мира - опубликовано видео
12:28
Microsoft Office исправит стилистику текста с помощью искусственного интеллекта
12:19
Чистый политик: после скандала с Насировым Третьяков по-настоящему доигрался
11:52
Небо над Харьковом закрыли, 15 тысяч человек остались без света и газа
11:50
Ученые: гробница Христа может обрушиться в любой момент
11:43
Минфин не видит возможности уволить Насирова
11:09
Полторак: Боеприпасы продолжают взрываться на складе
10:54
Водяное вновь охвачено мощным огнем 122-мм артиллерии и РСЗО "Град-П"
09:35
Укрэнерго о грядущих отключениях: Отключения света могут начаться в мае
08:55
Порошенко утвердил Госпрограмму развития ВСУ до 2020 года
08:52
"Это вам не Госдума": Парубий жестко отчитал нардепов
08:42
Надя Дорофеева оголила грудь ради селфи
08:39
Морпех в рукопашном бою уничтожил трех боевиков:стали известны подробности
08:39
На ICTV познущалися з української мови
08:19
59-летняя Шэрон Стоун поразила фанатов откровенным образом
08:13
В соцсетях смеются над "наркобароном" - мэром Глухова
08:10
Нужно бороться против "еврейской власти" - Савченко снова шокировала общество своими высказываниями
08:06
Панеттьери выложила трогательное фото с дочерью от Кличко
07:59
В Украине «закодируют» всех копов и нацгвардейцев
07:55
Садовый предлагает вывозить львовский мусор в Чернобыль
07:53
Китаянка арендовала 900 такси, чтобы сделать предложение возлюбленному
Більше новин

Массовый взлом пользовательских паролей

0

Специалисты по информационной безопасности обнаружили серьезную уязвимость в системе входа в базы данных Oracle.

Массовый взлом пользовательских паролей

Эта уязвимость позволяет сравнительно легко получить пароли пользователей и войти в систему без авторизации.

Проблема получила название «уязвимость с незаметным вскрытием паролей Oracle». Первооткрыватель этого дефекта, Эстебан Мартинес Файо (Esteban Martinez Fayó) из компании AppSec, убежден, что источник трудностей кроется в сеансовом ключе, который отправляется пользователям при каждой попытке входа в БД Oracle Database 11g версий R1 и R2. Этот ключ содержит важную информацию о криптографическом хэш-коде, который используется для скрытия исходного пароля. Этот хэш-код, как оказалось, можно вскрыть с помощью общедоступных утилит с открытым исходным кодом. Тестовая утилита, показывающая возможность использования уязвимостей, способна вскрыть пароль из восьми буквенных символов примерно за пять часов на стандартном ПК.

По имеющейся информации, инженеры Oracle устранили эту недоработку протокола аутентификации в версии Oracle Database 12, но никаких планов по исправлению проблем в версии 11.1 пока не заявлено. Даже в версии 12 эта уязвимость сохраняется, пока администратор не изменит конфигурацию сервера таким образом, чтобы использовать только новую систему проверки подлинности. Представители Oracle пока никак не комментируют сообщение о новой уязвимости.

Дополнительная опасность нового способа атаки заключается в том, что в ходе взлома администраторы не могут обнаружить атаку, а еще для взлома не нужно личное проникновение в защищенную сеть. Дело в том, что ключ сеанса отправляется каждый раз, когда удаленный пользователь посылает в БД несколько специальных сетевых пакетов или использует стандартный настольный клиент для работы с серверами Oracle. Все, что нужно для начала атаки – это действующее имя пользователя и хотя бы начальные знания о взломе паролей.

Лучший способ предотвратить атаки подобного рода – установить необходимые исправления и внести изменения в конфигурацию серверов. Даже при использовании подверженных уязвимости систем можно принять меры, которые надолго задержат взломщиков – нужно генерировать пароли всех пользователей случайным образом, чтобы они содержали не менее девяти, а лучше от 13 до 20 символов. Смысл такой стратегии заключается в том, чтобы на взлом паролей методом перебора ушло несколько месяцев, если не лет.
Источник


Загрузка...