Новые способы взлома сайтов

02 августа 2007 12:47


Специалисты компании Core Security Technologies нашли новый способ атаки коммерческих баз данных, при помощи которой злоумышленники смогли бы получить закрытую информацию, даже если в самой системе управления базами данных нет уязвимостей.

 

При этом специалисты использовали «атаку тайминга», способ взлома большинства криптографических систем. Новая атака эффективно работает против алгоритма Btree, используемого для создания индексов почти во всех популярных СУБД, например в MySQL или Oracle.

 

Новый тип атак полностью полагается на наследственные характеристики алгоритмов индексирования данных. Технология атаки анализирует время, затраченное программой на выполнение криптографического алгоритма. При помощи статистических данных о скорости работы выполняемых алгоритмов хакер и получает информацию о том, какой алгоритм используется. Затем злоумышленнику достаточно обнаружить готовые эксплоиты для связки алгоритм шифрования – программа шифрования.

 

В случае с базами данных подход тот же. Злоумышленник, желающий получить закрытые данные с какого-либо сайта, заходит на него, после чего производит тестовые замеры время выполнения команды Insert, отвечающей за добавление данных в БД. Сделать это можно массой способов, например, написав в форуме сайта сообщения различной длины. Далее сравниваются данные вставки малого и большого объема данных. В результате временных замеров (тайминга) у злоумышленника появляются данные об используемой СУБД и ее версии.





BuShaRt , Калининград 16 сентября 2007 14:00
Детский сад. Особенно понравилась уверенеия, что так можно взломать любую БД, в которой даже нет уязвимостей, а потом оказываеться, что надо самому еще найти эксплойт. Мля, о каких эксплойтах может идти речь, если в БД нет уязвимостей? Бред, полный, Core Security Technologies обеспечила себе серьезный антипиар для крупных фирм у которых есть нормальные сис-админы.
Termin@L 26 августа 2007 22:01
Ну скажем идея интересная и закрученная, тока вопрос в том как нам это поможет? Всё равно нужна уязвимость на сайте или сервере... А это поможет лишь при инвентаризации.

Обсудить материал (3)


Предыдущая статья

"Морда" Яндекса изменится?
Следующая статья

Google "обставил" Яндекс



Google создала ИИ, который сам делает ИИ

Весной этого года команда исследователей из центра Google Brain представила искусственный интеллект AutoML. Отличие этого ИИ – он сам способен создавать искусственные интеллекты. Пока результатом такого виртуального размножения стал новый ИИ по распознаванию образов, который работает лучше, чем системы, созданные людьми. Новая нейронная сеть NASNet является дочерним проектом AutoML и имеет узкую специализацию: распознавание объектов на видео в режиме реального времени.

 

Читать далее...

Вышел революционно быстрый Firefox 57

Компания Mozilla представила окончательную версию своего веб-браузера Firefox 57. В этой версии известный браузер подвергся принципиальным изменениям и стал гораздо быстрее. Одновременно выпущены варианты для Windows, Android, Linux и Mac. Наконец Firefox обогнал по ряду тестов основного конкурента Chrome и более чем вдвое превзошел по производительности старый Firefox 52. При этом Firefox сохранил экономное потребление памяти и по данному параметру выигрывает у Chrome (правда включение дополнений вызывают резкое увеличение расхода памяти).

Читать далее...

Открылся новый онлайн-сервис заказа товаров из Китая Pandao

Компания Mail.ru запустила сервис Pandao. С помощью этого сайта пользователи могут заказать товары из Китая, выбрав из большого ассортимента. При этом традиционно цены на товары от китайских продавцов оказываются значительно ниже чем их аналоги в российских магазинах. В настоящее время каталог Pandao уже предлагает товары в таких категориях, как одежда, канцелярия, электроника, мебель, автотовары, мобильные устройства. Сайт снабжен удобной навигацией и фильтром для подбора товара по параметрам.

 

 

Читать далее...

Телеграм 4.4 наконец получил русскоязычный интерфейс «из коробки»

Мессенджер Telegram, столь популярный в России долгое время не содержал русской локализации и требовал от пользователя дополнительных усилий по настройке русскоязычного интерфейса после каждого обновления. Но недавно выпущенная новая версия 4.4 наконец позволяет выбирать русский среди других языков в стандартных настройках. Кроме этого, в мессенджере появились и другие новшества.

 

 

Читать далее...

Платных каналов в YouTube больше не будет

Владелец крупнейшего видеохостинга YouTube, компания Google приняла решение о прекращении работы платных каналов. Эта функция появилась четыре года назад, в 2013 и давала издателям видео-контента возможность предоставлять доступ к своим роликам на платной основе. Эту функцию использовали National Geographic, Sesame Street и другие крупные производители интересного видеоматериала. Судя по всему, платная подписка на каналы оказалась мало популярным инструментом, поэтому Google решила выключить эту возможность в декабре 2017 года.

 

Читать далее...

Облачная платформа Google названа лучшей и самой перспективной

Эксперты исследовательской компании Forrester Research проанализировали и сравнили по 36 параметрам облачные платформы от всех ведущих провайдеров. Лидером услуги «платформа как сервис» (PaaS) в настоящее время и рекомендуемой в стратегической перспективе оказалась компания Google. На втором месте — IBM. Далее идут такие вендоры, как GoodData, Databriks и Amazon Web Service. А Microsoft попала в третий эшелон по градации аналитиков Forrester Research.

 

Читать далее...

Роджер Динглдайн — даркнет это миф

На проходящей в Лас Вегасе конференции хакеров DEF CON выступил основатель и руководитель Tor Project Роджер Динглдайн. Он заявил, что репутация сети Tor как «темного» интернета чрезмерно раздута. В действительности, только 3% инфраструктуры Tor используется злоумышленниками. А основная часть этой сети используется миллионами пользователей для подключения к совершенно законным сервисам, публичным сайтам. Например, более миллиона человек пользуются возможностью анонимно заходить на Facebook (крупнейшая социальная сеть разрешила подключения из Tor в 2014 году).

 

Читать далее...

Новостные компании США хотят объединиться в борьбе против интернет-гигантов

Более двух тысяч новостных компаний Канады и США, в числе которых The Wall Street Journal, The New York Times, The Washington Post, агентство  новостей Dow Jones объединились для того чтобы вести переговоры с крупными поставщиками контента и новостей в сети (например, Google, Facebook) и найти формулу сотрудничества которая была бы выгодна всем. С учетом того, что антимонопольные законы США запрещают компаниям одной отрасли формировать подобные альянсы, традиционным СМИ пришлось обратиться в американский Конгресс за разрешением на коллективные переговоры, которые от имени обычных газет и журналов будет вести «Альянс новостных медиа».

Читать далее...



Приглашаем все магазины цифровой и портативной техники разместить у нас свои прайс-листы.
Вы можете зарегистрироваться прямо сейчас, ознакомившись с правилами участия и заполнив предложенную форму.

Вход для магазинов