Новини

14:22
Компромат Онищенко может отправить Порошенко в нокаут
14:15
Тимошенко: "Украинскую нацию умышленно уничтожают"
14:12
Люстрацией в Минюсте будет заведовать скандальный Петухов
12:00
Эфир программы на "Интере" закончился масштабным скандалом
10:34
Кучеренко: в мире нет страны, где 60% населения пошло на cубсидии
10:16
Дипломат рассказал, когда у Украины начнутся настоящие проблемы
10:12
Докатились… Windows круче, чем MacOS
09:20
Жуткое убийство российским подростком приемных родителей в США
08:56
Пора «похоронить» СССР, — Порошенко
08:44
Кошмар Москвы: Украина создала аналог крылатой ракеты «Томагавк»
08:25
Алла Пугачева жалуется на сильные боли
08:19
Сколько украинцы будут платить за отопление по новым правилам
08:02
Дженнифер Лопес удивила фото с синяком под глазом
07:59
Дуда призвал украинцев и поляков признать историческую правду
07:48
58-летняя Шэрон Стоун на пляже с новым возлюбленным
07:44
Ученые шокировали мир: питьевой воды хватит менее, чем на 30 лет
07:40
В Египте лев растерзал дрессировщика во время шоу: пугающие кадры
07:21
Ольга Сумская поделилась постельным снимком
07:18
Украине угрожает декабрьский скачек инфляции
07:07
Журналисты показали, как дончанин вымаливает прощение у российского "освободителя"
07:07
На вечеринке в честь пятилетия дочери Киркоров осыпал гостей золотом
19:19
В Одессе злоумышленники жгут элитные автомобили
18:59
Референдум в Италии и судьба евро
18:40
Ужасы худшей трассы Украины "Кривой Рог-Днепр"
18:30
В Дании задумались о проведении своего Brexit
18:28
Решение о безвизе может быть принято еще до конца 2016
17:20
Хокинг: Наступило самое опасное время для нашей планеты
16:57
Военный корабль РФ совершал опасные маневры возле украинского судна
16:35
Для українців скасували плату за туристичну візу в Таїланд
16:34
В России торгуют украинцами: раскрыта жуткая схема
16:00
Москаль: Вырубленные и проданные за копейки Карпаты станут нашим позором на века
15:55
Антарктические льды распадаются на части
15:52
Шустер пообещал продолжить работу канала, если ему дадут $10 млн
15:50
В Украине снова повысили тарифы на тепло
15:47
Масштабное ДТП в Киеве: фура снесла остановку с людьми и парикмахерскую
12:07
Военные учения возле Крыма оказались под угрозой
12:00
На Луганщине эскалация: боевики пошли на прорыв, у ВСУ потери
11:24
После ухода Саакашвили в Одессу вернули коррупционные схемы
Більше новин

Массовый взлом пользовательских паролей

0

Специалисты по информационной безопасности обнаружили серьезную уязвимость в системе входа в базы данных Oracle.

Массовый взлом пользовательских паролей

Эта уязвимость позволяет сравнительно легко получить пароли пользователей и войти в систему без авторизации.

Проблема получила название «уязвимость с незаметным вскрытием паролей Oracle». Первооткрыватель этого дефекта, Эстебан Мартинес Файо (Esteban Martinez Fayó) из компании AppSec, убежден, что источник трудностей кроется в сеансовом ключе, который отправляется пользователям при каждой попытке входа в БД Oracle Database 11g версий R1 и R2. Этот ключ содержит важную информацию о криптографическом хэш-коде, который используется для скрытия исходного пароля. Этот хэш-код, как оказалось, можно вскрыть с помощью общедоступных утилит с открытым исходным кодом. Тестовая утилита, показывающая возможность использования уязвимостей, способна вскрыть пароль из восьми буквенных символов примерно за пять часов на стандартном ПК.

По имеющейся информации, инженеры Oracle устранили эту недоработку протокола аутентификации в версии Oracle Database 12, но никаких планов по исправлению проблем в версии 11.1 пока не заявлено. Даже в версии 12 эта уязвимость сохраняется, пока администратор не изменит конфигурацию сервера таким образом, чтобы использовать только новую систему проверки подлинности. Представители Oracle пока никак не комментируют сообщение о новой уязвимости.

Дополнительная опасность нового способа атаки заключается в том, что в ходе взлома администраторы не могут обнаружить атаку, а еще для взлома не нужно личное проникновение в защищенную сеть. Дело в том, что ключ сеанса отправляется каждый раз, когда удаленный пользователь посылает в БД несколько специальных сетевых пакетов или использует стандартный настольный клиент для работы с серверами Oracle. Все, что нужно для начала атаки – это действующее имя пользователя и хотя бы начальные знания о взломе паролей.

Лучший способ предотвратить атаки подобного рода – установить необходимые исправления и внести изменения в конфигурацию серверов. Даже при использовании подверженных уязвимости систем можно принять меры, которые надолго задержат взломщиков – нужно генерировать пароли всех пользователей случайным образом, чтобы они содержали не менее девяти, а лучше от 13 до 20 символов. Смысл такой стратегии заключается в том, чтобы на взлом паролей методом перебора ушло несколько месяцев, если не лет.
Источник

Загрузка...