Новые способы взлома сайтов

02 августа 2007 12:47


Специалисты компании Core Security Technologies нашли новый способ атаки коммерческих баз данных, при помощи которой злоумышленники смогли бы получить закрытую информацию, даже если в самой системе управления базами данных нет уязвимостей.

 

При этом специалисты использовали «атаку тайминга», способ взлома большинства криптографических систем. Новая атака эффективно работает против алгоритма Btree, используемого для создания индексов почти во всех популярных СУБД, например в MySQL или Oracle.

 

Новый тип атак полностью полагается на наследственные характеристики алгоритмов индексирования данных. Технология атаки анализирует время, затраченное программой на выполнение криптографического алгоритма. При помощи статистических данных о скорости работы выполняемых алгоритмов хакер и получает информацию о том, какой алгоритм используется. Затем злоумышленнику достаточно обнаружить готовые эксплоиты для связки алгоритм шифрования – программа шифрования.

 

В случае с базами данных подход тот же. Злоумышленник, желающий получить закрытые данные с какого-либо сайта, заходит на него, после чего производит тестовые замеры время выполнения команды Insert, отвечающей за добавление данных в БД. Сделать это можно массой способов, например, написав в форуме сайта сообщения различной длины. Далее сравниваются данные вставки малого и большого объема данных. В результате временных замеров (тайминга) у злоумышленника появляются данные об используемой СУБД и ее версии.





BuShaRt , Калининград 16 сентября 2007 14:00
Детский сад. Особенно понравилась уверенеия, что так можно взломать любую БД, в которой даже нет уязвимостей, а потом оказываеться, что надо самому еще найти эксплойт. Мля, о каких эксплойтах может идти речь, если в БД нет уязвимостей? Бред, полный, Core Security Technologies обеспечила себе серьезный антипиар для крупных фирм у которых есть нормальные сис-админы.
Termin@L 26 августа 2007 22:01
Ну скажем идея интересная и закрученная, тока вопрос в том как нам это поможет? Всё равно нужна уязвимость на сайте или сервере... А это поможет лишь при инвентаризации.

Обсудить материал (3)


Предыдущая статья

"Морда" Яндекса изменится?
Следующая статья

Google "обставил" Яндекс



В Швеции создали сервис удаления личной информации из интернета

В Швеции два разработчика, Линус Унебек и Вилле Дольбо создали сайт deseat.me. Это веб-сервис, с помощью которого человек может удалить информацию о себе из интернета. Аутентификация производится с помощью учетной записи пользователя в Google. После логина с google-аккаунтом, приложение начинает сканирование все веб-сервисов и социальных сетей, в которых когда-либо был зарегистрирован человек принявший решение об удалении своей цифровой личности из глобальной сети. Пользователю показывается список всех найденных аккаунтов и личной информации. Человек кликает по иконкам и стирает свои следы на том или ином сайте.

 

Читать далее...

Крупнейший ботнет используется, чтобы лишить интернета целое государство

Организаторы DDoS атак тщательно планируют свои операции. Если раньше их жертвами становились отдельные компании, то теперь они нацелились на целую страну. Объектом атаки стала Либерия, которая связана с глобальной сетью всего одной магистралью подводного кабеля. Достаточно вывести их строя этот кабель, проложенный пять лет назад, и государство в Западной Африке лишится доступа к интернету. Пока хакеры периодически атакуют основных провайдеров связи, которые обеспечивают пользователям Либерии связь с глобальной сетью.

Читать далее...

Сайты про фиктивный брак теперь блокируются на территории РФ

Ряд судов в различных регионах России приняли решение о запрете распространения информации о вступлении в фиктивный брак. Соответственно начались блокировки сайтов о получении гражданства России в том числе, с помощью фиктивных браков. В числе первых ресурсов, попавших под блокировку Роскомнадзора стал сайт rokvel.ru (по решению Ульяновского райсуда). Блокировка состоялась на основании обращения прокурора и решения суда, так как информация, размещенная на интернет-сайте посвящена нарушениям миграционного законодательства и нормам, регулирующим семейные отношения

Читать далее...

Разработчики Mozilla трудятся над новым браузером

Команда разработчиков из компании Mozilla работает над проектом Tofino, которому предстоит стать новым браузером, принципиально отличающимся от нынешнего главного продукта Mozilla — Firefox. В данный момент еще нет точной информации, будет ли разрабатываться новая технология, существующий движок или Mozilla перейдет на альтернативную платформу (например, Chromium).

Читать далее...

В Южной Корее создадут город для развития «Интернета вещей»

В южнокорейском городе Тэгу, являющимся четвертым по количеству жителей в стране, будет создана экспериментальная площадка для создания, тестирования и развития технологий, необходимых для «Интернета вещей». Данный проект будет реализован совместно компаниями Samsung и оператором связи SK Telecom при поддержке местных властей Тэгу.

Читать далее...

Приоритеты Mozilla переместились на интернет вещей

Решив свернуть разработки собственной мобильной ОС Firefox OS, компания Mozilla намерена сосредоточится на самом перспективном (по мнению многих менеджеров и экспертов) сегменте ИТ-рынка: интернете вещей. На корпоративном блоге появилась информация, что отныне компания намерена разрабатывать технологии и готовые продукты для Интернета вещей и «умного дома».

Читать далее...

Что происходит с украденной информацией в интернете

Сотрудник компании Bitglass провели эксперимент с целью выяснить судьбу информации, которую похищают хакеры после взлома веб-ресурсов и сетей компаний или организаций. Это исследование называется «Where\'s Your Data» (Где ваши данные). Для того, чтобы отследить судьбу конфиденциальной информации, эксперты Bitglass придумали несуществующий банк, создали для него сайт.

Читать далее...

Одно из самых старых интернет-радио закрылось

31 января 2016 года стало последним днем работы для одного из родоначальников индустрии вещания через всемирную сеть, интернет-радио Live365. Таким образом, судьба этого ресурса пошла явно против общей тенденции роста популярности музыкальных онлайн-сервисов. Этот сайт начал работать в 1999 году и быстро стал популярным, так как демонстрировал новый подход к распространению контента, когда каждый пользователь сам создавал свой набор треков и мог даже создать канал и транслировать выбранную музыку всем желающим.

Читать далее...



Приглашаем все магазины цифровой и портативной техники разместить у нас свои прайс-листы.
Вы можете зарегистрироваться прямо сейчас, ознакомившись с правилами участия и заполнив предложенную форму.

Вход для магазинов