Новини

21:55
Bitcoin является ни валютой, ни платежным средством – НБУ
21:52
В Аргентине вживую засняли инопланетянина
21:47
Ненакрашенная Дженнифер Лопес попросила о помощи
20:26
В сети подняли на смех название ресторана российского певца
20:23
НБУ пожаловался на бездеятельность казначеев
19:53
В Киеве парень зарезал отца своей девушки
19:51
Неприличный кадр в популярном мультфильме спровоцировал громкий скандал
18:30
Крупный немецкий перевозчик готов работать с "Укрзализныцей"
18:29
Поклонская готова дать показания в украинском суде
18:26
Убого и беспощадно: в сети высмеяли кинофестиваль в Мариуполе
17:56
Курьез дня: "Реал" отметился эпичным конфузом в матче с "Бетисом" - фотофакт
17:51
На грани фантастики: соперник "Шахтера" забил гол после умопомрачительной комбинации
17:37
В Польше заробитчанин зарезал поляка и хотел сбежать
17:22
В Киеве – бум боёв без правил. Среди участников – даже сотрудник СБУ
17:16
ГПУ конфисковала у "мафии" Януковича 200 миллионов долларов
17:09
Под Кременчугом перекрыли трассу и эвакуируют дачников из-за лесного пожара
17:05
Во Львове студентки повредили чужой Volkswagen, устроив фотосессию на крыше
16:51
Повышение пенсий уже перенесли официально
16:50
Луценко ответил на критику свадьбы сына: "Имею право на личное 5-часовое счастье"
15:29
Таке враження, що на виборах українці владу обирають для ворогів, — Міщенко
15:26
Украинские военные дали жесткий отпор боевикам на Донбассе
15:11
Российская подлодка "отомстила" террористам в Сирии крылатыми ракетами
15:03
В Приватбанке нечего продавать. Его можно подарить с доплатой - НБУ
15:00
Повышение тарифов на коммуналку: Розенко развеял опасения
15:00
В Украине необходимо срочно создать Антикоррупционный суд и начать сажать коррупционеров
14:53
Области получат на ремонт дорог 25 миллиардов - Омелян
14:50
Как сильно Brexit ударит по экономике ЕС?
14:43
В октябре у украинцев будет 10 выходных дней
14:37
Трамп: Украина достигла прогресса
14:36
Травести-дива Монро показала, как выглядела в 21 год
14:32
Усик дебютировал в сборной Украины по футболу
14:30
Олександр Спасибко: «Роботи щодо створення музею на Поштовій та 2-га черга реконструкції транспортної розв’язки на площі тривають за планом»
14:30
Украинский теплоход сменил флаг и пошел в Крым
14:27
Известная российская актриса находится при смерти после жуткой трагедии
14:00
Треба якомога швидше прибирати владу, яка загнала Україну в боргову яму, – Юлія Тимошенко
13:59
"Народные санкции": пугающая ситуация в Киеве озадачила сеть
13:22
Магнитный пускатель: все за и против
13:19
В Украине бум прослушки: "жучки" находят даже в гостиницах
Більше новин

Массовый взлом пользовательских паролей

0

Специалисты по информационной безопасности обнаружили серьезную уязвимость в системе входа в базы данных Oracle.

Массовый взлом пользовательских паролей

Эта уязвимость позволяет сравнительно легко получить пароли пользователей и войти в систему без авторизации.

Проблема получила название «уязвимость с незаметным вскрытием паролей Oracle». Первооткрыватель этого дефекта, Эстебан Мартинес Файо (Esteban Martinez Fayó) из компании AppSec, убежден, что источник трудностей кроется в сеансовом ключе, который отправляется пользователям при каждой попытке входа в БД Oracle Database 11g версий R1 и R2. Этот ключ содержит важную информацию о криптографическом хэш-коде, который используется для скрытия исходного пароля. Этот хэш-код, как оказалось, можно вскрыть с помощью общедоступных утилит с открытым исходным кодом. Тестовая утилита, показывающая возможность использования уязвимостей, способна вскрыть пароль из восьми буквенных символов примерно за пять часов на стандартном ПК.

По имеющейся информации, инженеры Oracle устранили эту недоработку протокола аутентификации в версии Oracle Database 12, но никаких планов по исправлению проблем в версии 11.1 пока не заявлено. Даже в версии 12 эта уязвимость сохраняется, пока администратор не изменит конфигурацию сервера таким образом, чтобы использовать только новую систему проверки подлинности. Представители Oracle пока никак не комментируют сообщение о новой уязвимости.

Дополнительная опасность нового способа атаки заключается в том, что в ходе взлома администраторы не могут обнаружить атаку, а еще для взлома не нужно личное проникновение в защищенную сеть. Дело в том, что ключ сеанса отправляется каждый раз, когда удаленный пользователь посылает в БД несколько специальных сетевых пакетов или использует стандартный настольный клиент для работы с серверами Oracle. Все, что нужно для начала атаки – это действующее имя пользователя и хотя бы начальные знания о взломе паролей.

Лучший способ предотвратить атаки подобного рода – установить необходимые исправления и внести изменения в конфигурацию серверов. Даже при использовании подверженных уязвимости систем можно принять меры, которые надолго задержат взломщиков – нужно генерировать пароли всех пользователей случайным образом, чтобы они содержали не менее девяти, а лучше от 13 до 20 символов. Смысл такой стратегии заключается в том, чтобы на взлом паролей методом перебора ушло несколько месяцев, если не лет.
Источник


Загрузка...