Новини

09:48
В обанкротившихся банках украинцы потеряли 273 миллиарда гривен
09:36
Террористы выдвинули танк под Донецком: в ВСУ есть раненые и травмированные
09:23
Skoda собирается выпускать в Украине свой знаменитый кроссовер
09:20
Блокада Донбасса расширилась еще больше
09:19
Вся правда про Надежду Савченко
09:12
Солистка "ВИА Гры" показала фигуру в нижнем белье
09:03
Львовский мусор нелегально мигрировал в Полтавскую область
08:47
Мужчина установил рекорд, разбив кулаком 124 кокоса за минуту
08:42
Светлана Лобода в кожаном пальто произвела фурор
08:16
Скандал с 27-летней замминистра Насалика: в Раде произошла перепалка
08:13
Как выглядит сестра Ирины Шейк: вы будете поражены
08:08
У большинства украинцев не остается свободных средств после покупки необходимого
08:03
В Украине рассказали о жутком средстве, которым убили брата лидера КНДР
07:55
Стало известно, кто представит Украину на «Евровидении-2017»
07:47
Бабушка устроила фурор в финале Нацотбора на "Евровидение"
07:42
Сотрудницу Минобороны уволили за клевету на волонтеров
07:35
Один из пленных посещенных Савченко отказался от обмена
07:34
Ведущая «Орел и Решка» удивила поклонников пикантным фото
22:08
Геращенко о единственном плане Украины по Крыму и Донбассу
22:03
Кого в Украине не коснулся кризис
19:49
Порошенко утвердил доктрину информационной безопасности
19:47
Легендарная олимпийская чемпионка продает свои медали, чтобы выжить
18:55
Жуткие кадры: Женщина-водитель столкнула мотоциклиста в пропасть
18:48
Социальные протесты в Крыму: когда ждать взрыва?
18:20
Мария Яремчук устроила на улице Киева танцы в крошечном топе
16:12
В Кривом Роге полицейские с невиданной жестокостью ломали руки и истязали двух горожан
15:27
Кадры масштабного пожара в центре Львова
14:37
Лиза Богуцкая: Где была Рычкова, когда Насалик в оккупированном Донецке знакомился с «министром инфраструктуры ДНР»?
14:08
Бои под Попасной. У ЛНР большие потери
13:58
Фирташ заплатил 125 миллионов евро за свободу
12:19
Обнародованы сроки призыва в армию 2017 года
11:56
Турция отменяет визы для украинцев
11:39
Пока был похищен Гончаренко, Рада приняла «диктаторский» закон
10:59
Кадры уничтожения БМП боевиков близ Донецка
10:56
Папа Римский предсказывает мировую войну из-за пресной воды
10:52
NASA организовало тур по планете, которая похожа на Землю
10:31
Авдеевка обесточена, в городе нет отопления
10:13
История любви Владимира Зеленского и его жены Елены
Більше новин

Массовый взлом пользовательских паролей

0

Специалисты по информационной безопасности обнаружили серьезную уязвимость в системе входа в базы данных Oracle.

Массовый взлом пользовательских паролей

Эта уязвимость позволяет сравнительно легко получить пароли пользователей и войти в систему без авторизации.

Проблема получила название «уязвимость с незаметным вскрытием паролей Oracle». Первооткрыватель этого дефекта, Эстебан Мартинес Файо (Esteban Martinez Fayó) из компании AppSec, убежден, что источник трудностей кроется в сеансовом ключе, который отправляется пользователям при каждой попытке входа в БД Oracle Database 11g версий R1 и R2. Этот ключ содержит важную информацию о криптографическом хэш-коде, который используется для скрытия исходного пароля. Этот хэш-код, как оказалось, можно вскрыть с помощью общедоступных утилит с открытым исходным кодом. Тестовая утилита, показывающая возможность использования уязвимостей, способна вскрыть пароль из восьми буквенных символов примерно за пять часов на стандартном ПК.

По имеющейся информации, инженеры Oracle устранили эту недоработку протокола аутентификации в версии Oracle Database 12, но никаких планов по исправлению проблем в версии 11.1 пока не заявлено. Даже в версии 12 эта уязвимость сохраняется, пока администратор не изменит конфигурацию сервера таким образом, чтобы использовать только новую систему проверки подлинности. Представители Oracle пока никак не комментируют сообщение о новой уязвимости.

Дополнительная опасность нового способа атаки заключается в том, что в ходе взлома администраторы не могут обнаружить атаку, а еще для взлома не нужно личное проникновение в защищенную сеть. Дело в том, что ключ сеанса отправляется каждый раз, когда удаленный пользователь посылает в БД несколько специальных сетевых пакетов или использует стандартный настольный клиент для работы с серверами Oracle. Все, что нужно для начала атаки – это действующее имя пользователя и хотя бы начальные знания о взломе паролей.

Лучший способ предотвратить атаки подобного рода – установить необходимые исправления и внести изменения в конфигурацию серверов. Даже при использовании подверженных уязвимости систем можно принять меры, которые надолго задержат взломщиков – нужно генерировать пароли всех пользователей случайным образом, чтобы они содержали не менее девяти, а лучше от 13 до 20 символов. Смысл такой стратегии заключается в том, чтобы на взлом паролей методом перебора ушло несколько месяцев, если не лет.
Источник


Загрузка...