Новые способы взлома сайтов

02 августа 2007 12:47


Специалисты компании Core Security Technologies нашли новый способ атаки коммерческих баз данных, при помощи которой злоумышленники смогли бы получить закрытую информацию, даже если в самой системе управления базами данных нет уязвимостей.

 

При этом специалисты использовали «атаку тайминга», способ взлома большинства криптографических систем. Новая атака эффективно работает против алгоритма Btree, используемого для создания индексов почти во всех популярных СУБД, например в MySQL или Oracle.

 

Новый тип атак полностью полагается на наследственные характеристики алгоритмов индексирования данных. Технология атаки анализирует время, затраченное программой на выполнение криптографического алгоритма. При помощи статистических данных о скорости работы выполняемых алгоритмов хакер и получает информацию о том, какой алгоритм используется. Затем злоумышленнику достаточно обнаружить готовые эксплоиты для связки алгоритм шифрования – программа шифрования.

 

В случае с базами данных подход тот же. Злоумышленник, желающий получить закрытые данные с какого-либо сайта, заходит на него, после чего производит тестовые замеры время выполнения команды Insert, отвечающей за добавление данных в БД. Сделать это можно массой способов, например, написав в форуме сайта сообщения различной длины. Далее сравниваются данные вставки малого и большого объема данных. В результате временных замеров (тайминга) у злоумышленника появляются данные об используемой СУБД и ее версии.





BuShaRt , Калининград 16 сентября 2007 14:00
Детский сад. Особенно понравилась уверенеия, что так можно взломать любую БД, в которой даже нет уязвимостей, а потом оказываеться, что надо самому еще найти эксплойт. Мля, о каких эксплойтах может идти речь, если в БД нет уязвимостей? Бред, полный, Core Security Technologies обеспечила себе серьезный антипиар для крупных фирм у которых есть нормальные сис-админы.
Termin@L 26 августа 2007 22:01
Ну скажем идея интересная и закрученная, тока вопрос в том как нам это поможет? Всё равно нужна уязвимость на сайте или сервере... А это поможет лишь при инвентаризации.

Обсудить материал (3)


Предыдущая статья

"Морда" Яндекса изменится?
Следующая статья

Google "обставил" Яндекс



Редизайн облачного диска Google и новые тарифы

Компания Google продолжает редизайн своих продуктов и дополнила его еще и ребрендингом. Всем известное и популярное облако Google Drive сначала получила обновленный дизайн а теперь переименовано в Google One. С точки зрения бесплатных возможностей это те же 15 гигабайт места и интеграция с почтой и Google Photo. Но вместе с новым названием пришли новые тарифы.

Читать далее...

Мессенджер Вконтакте теперь позволяет звонить голосом и с видео

Компания «ВКонтакте» сообщила о новой возможности для пользователей своего официального приложения на мобильных устройствах Android и iOS. Теперь кроме чата доступны голосовые и видео звонки. Для того чтобы воспользоваться новыми функциями нужно обновить приложение ВК до последней версии. А потом звонки станут появляться постепенно у пользователей. Чтобы эта возможность активировалась, нужно принять звонок от пользователя с уже работающими звонками.

 

Читать далее...

Пользователи Facebook смогут удалять уже отправленные сообщения

Представители крупнейшей социальной сети объявили о планах добавить в конце весны-летом 2018 года новую функцию — отмену отправленных сообщений. Это произошло сразу после того, как выяснилось то подобной привилегией обладал только Марк Цукерберг. Факт удаления старых сообщений руководителя Facebook возмутил общественность, но компания заявила, что подобная возможность будет у каждого пользователя. А до этого ни одно сообщение Цукерберга не будет удалено. Таким образом руководство социальной сети пытается успокоить пользователей, возмущенных преимуществом, которое сам себе выдал основатель FB.

Читать далее...

Slack дал админам групп больше прав просматривать чаты

Компания Slack изменила политику приватности своего мессенджера. Теперь администраторы групп могут скачивать всю переписку между членами команды, в том числе личные сообщения и приватны чаты. Более того, администратор может это делать без уведомления пользователей, которые даже не узнают о факте копирования переписки. Но для того, чтобы получить доступ к таким возможностям, администраторы понадобиться перейти с пятидолларового базового тарифа на Plus с $15 за каждого участника команды.

Читать далее...

Голосовой помощник Alexa не работал 12 часов из-за сбоя на серверах

Пользователи цифрового помощника Alexa испытали на себе как будет выглядеть интернет-апокалипсис, когда привыкшие к онлайн сервисам люди окажутся отрезанными от сети. Из-за серьезного сбоя на серверах компании Amazon миллионы пользователей лишились доступа к голосовому помощнику Алекса. Элегантная колонка замолчала и перестала реагировать на голосовые команды.

Читать далее...

Chrome теперь самостоятельно очищает интернет от назойливой рекламы

15 февраля в интернет-браузере Chrome активировалась встроенная система блокировки рекламы, разом сделав бесполезными множество расширений. Раньше пользователи защищались от атаки баннеров, шокирующих тизеров и назойливых всплывающих окон с помощью расширения AdBlock и его аналогов. Теперь в браузере Google есть встроенная фильтрация назойливой рекламы.

Читать далее...

Сорос обвиняет Google и Facebook в веб-тоталитаризме

На всемирном форуме в Давосе известный инвестор и миллиардер Джордж Сорос обрушился с критикой на интернет-гигантов, обвиним их в монополизме и угрозе сетевой демократии. Заодно известный предприниматель обозвал «типичным пузырем» биткоин. Впрочем, по мнению Сороса, биткоину не позволят лопнуть, так как его будут использовать сторонники построения авторитарного общества на базе современных технологий и интернета.

Читать далее...

Закрывается Android Pay и открывается Google Pay

Запущенная в 2015 году платежная система Android Pay уже стала привычной, и многие пользователи со смартфонами Android регулярно оплачивают покупки с помощью этого инструмента. Неожиданно компания Google объявила 8 января 2018 года о закрытии Android Pay. Но без механизма платежей пользователи не останутся, просто система будет объединена с Google Wallet и возродится в новом платежной системе Google Pay. Судя по всему крупнейший поисковик решил, что переименовав систему, будет легче продвигать свой бренд среди таких конкурентов, как Apple Pay или Samsung Pay.

Читать далее...



Приглашаем все магазины цифровой и портативной техники разместить у нас свои прайс-листы.
Вы можете зарегистрироваться прямо сейчас, ознакомившись с правилами участия и заполнив предложенную форму.

Вход для магазинов