Новини

09:21
Психологи: объятия спасают от стресса и укрепляют здоровье
09:01
В 2017 году количество плательщиков Единого социального взноса будет увеличено
08:57
Януковичу помогли бежать из Украины российские силовики, - ГПУ
08:51
В Китае во время прямого эфира молния попала в телеведущего
08:46
В Чернобыле расцвел бизнес: вывозят лес и янтарь
08:38
«Хороший хлопець» Кирило Дицевич зізнався, що відчуває до Тіни Кароль
08:38
Бойцы ВСУ под Авдеевкой рассказали, как издеваются над вражескими снайперами
08:31
Украина может хорошо заработать на ягодах и орехах
08:21
Ученые создали устройство для чтения мыслей человека
08:10
Мария Яремчук напугала своих поклонников
08:07
Ле Пен — угроза для страны, — Олланд
08:05
Крымчанка, звавшая оккупантов, призналась, что при Украине жилось лучше
07:57
Тина Кароль покорила всех своим неординарным выступлением
07:49
Уряд готується ввести загальне декларування для українців
07:37
Перерасчет льгот: сколько украинцев могут остаться без субсидий
07:33
Названы самые экономичные седаны в Украине
07:31
Зона риска: названы три города Украины, куда может нагрянуть "русский мир"
07:26
С Ольгой Сумской произошел мистический случай на съемках
07:20
52-летняя Моника Беллуччи в роскошном платье затмила всех на красной дорожке
07:17
Военкоматы начали создание единого всеукраинского реестра призывников
07:05
Эксперты МВФ: Британия покинет пятерку крупнейших экономик мира
06:57
Захарченко допустил возврат «ДНР» в состав Украины
06:55
Повалий в Москве спела на украинском языке
06:53
В сети высмеяли прошедший в РФ турнир за здравие Путина
06:48
Без войны виноватые: украинские военные заявили о пытках в тылу
06:35
Человечество уничтожит смещение ядра Земли - Ученые
06:31
Бывших украинских президентов хотят проверить
06:29
Volvo будет собирать электромобили для мирового рынка в Китае
06:26
Веру Брежневу раскритиковали за ужасное пение
06:24
Штаты созывают Совбез ООН в связи с КНДР
06:20
Что собой представляет услуга балкон под ключ?
06:16
Подарок мужчине на новоселье — набор ручного инструмента
06:12
Напольный газовый котел: тепло, безопасно, выгодно
09:24
Филиппа Киркорова обвинили в смерти человека
09:18
Пранкер Вован жестко разыграл Олега Скрипку от имени Авакова
08:47
Маша Ефросинина удивила новым нарядом
08:45
Ученые обнаружили ранее неизвестное состояние сознания человека
08:43
Уже сломался: в сети шутят из-за ремонта российского корабля "Адмирал Кузнецов"
Більше новин

Массовый взлом пользовательских паролей

0

Специалисты по информационной безопасности обнаружили серьезную уязвимость в системе входа в базы данных Oracle.

Массовый взлом пользовательских паролей

Эта уязвимость позволяет сравнительно легко получить пароли пользователей и войти в систему без авторизации.

Проблема получила название «уязвимость с незаметным вскрытием паролей Oracle». Первооткрыватель этого дефекта, Эстебан Мартинес Файо (Esteban Martinez Fayó) из компании AppSec, убежден, что источник трудностей кроется в сеансовом ключе, который отправляется пользователям при каждой попытке входа в БД Oracle Database 11g версий R1 и R2. Этот ключ содержит важную информацию о криптографическом хэш-коде, который используется для скрытия исходного пароля. Этот хэш-код, как оказалось, можно вскрыть с помощью общедоступных утилит с открытым исходным кодом. Тестовая утилита, показывающая возможность использования уязвимостей, способна вскрыть пароль из восьми буквенных символов примерно за пять часов на стандартном ПК.

По имеющейся информации, инженеры Oracle устранили эту недоработку протокола аутентификации в версии Oracle Database 12, но никаких планов по исправлению проблем в версии 11.1 пока не заявлено. Даже в версии 12 эта уязвимость сохраняется, пока администратор не изменит конфигурацию сервера таким образом, чтобы использовать только новую систему проверки подлинности. Представители Oracle пока никак не комментируют сообщение о новой уязвимости.

Дополнительная опасность нового способа атаки заключается в том, что в ходе взлома администраторы не могут обнаружить атаку, а еще для взлома не нужно личное проникновение в защищенную сеть. Дело в том, что ключ сеанса отправляется каждый раз, когда удаленный пользователь посылает в БД несколько специальных сетевых пакетов или использует стандартный настольный клиент для работы с серверами Oracle. Все, что нужно для начала атаки – это действующее имя пользователя и хотя бы начальные знания о взломе паролей.

Лучший способ предотвратить атаки подобного рода – установить необходимые исправления и внести изменения в конфигурацию серверов. Даже при использовании подверженных уязвимости систем можно принять меры, которые надолго задержат взломщиков – нужно генерировать пароли всех пользователей случайным образом, чтобы они содержали не менее девяти, а лучше от 13 до 20 символов. Смысл такой стратегии заключается в том, чтобы на взлом паролей методом перебора ушло несколько месяцев, если не лет.
Источник


Загрузка...