Сегодня
Четверг 18 июля 
19:54


НОВОСТИ АКЦЕНТ МНЕНИЕ СКАЗКА ТЕНДЕНЦИИ КАПИТАЛ НЕФОРМАТ НООСФЕРА ГАЛЕРЕЯ
Новости
02.08.2007 | 

Хакеры атакуют закрытые базы данных



Вовремя.info

Специалисты компании Core Security Technologies на открывшейся в Лас-Вегасе (Невада, США) конференции Black Hat продемонстрировали новый тип атаки на коммерческие базы данных, при помощи которой злоумышленники смогут получать из баз данных закрытую информацию, причем в самой системе управления базами данных или в связующем программном обеспечении может и не быть каких-либо уязвимостей.

Во время демонстрации уязвимости специалисты компании заявили, что в данном случае используется так называемая атака тайминга, техника применяемая для взлома многих криптографических систем.

Новая атака эффективно работает против алгоритма Btree, используемого для создания индексов почти во всех популярных СУБД, например в MySQL или Oracle.

"На сегодня угрозы безопасности касаются в основном ошибок в программном обеспечении или неверной конфигурации сетевого окружения и дополнительного связующего программного обеспечения, поэтому злоумышленники могут получить доступ к данным, так или иначе обойдя систему авторизации и аутентификации" - говорят в Core Security.

Новый же тип атак полностью полагается на наследственные характеристики алгоритмов индексирования данных.

В криптографии, атаки, использующие метод тайминга, представляют собой специальную технику, когда атакующий анализирует время, затраченное программой на выполнение криптографического алгоритма.

Далее, при помощи статистических данных о скорости работы всех используемых алгоритмов хакер из открытых источников получает информацию о том, какой алгоритм используется (на основании данных по времени), а также какая именно криптографическая система развернута. После чего, работа злоумышленника сводится к обнаружению готовых эксплоитов для связки алгоритм шифрования - программа шифрования, либо к созданию собственного "ключа" для этого алгоритма, что более трудоемко, но и более эффективно.

В случае с базами данных подход тот же. Злоумышленник, желающий, например, получить закрытые данные из БД какого-либо сайта, заходит на этот сайт, после чего производит тестовые замеры время выполнения команды Insert, отвечающей за добавление данных в БД. Сделать это можно массой способов, например, написав в форуме сайта сообщения различной длины. Далее сравниваются данные вставки малого и большого объема данных. В результате временнЫх замеров (тайминга) у злоумышленника появляются данные об используемой СУБД и ее версии.

Еще более эффективен метод тайминга в случае одновременной вставки данных различного объема.

В результате получения данных о времени выполнения, можно будет получить информацию о структуре данных и дереве индексов СУБД, после чего задача злоумышленника по получению закрытых данных многократно упрощается.

Еще одна опасность данного метода в том, что обнаружить данную атаку при активном посещении сайта практически невозможно, так как помимо злоумышленника с данными активно работают и легитимные пользователи.



Комментарии читателей
Ваше имя  
Комментарий
до 1000 знаков
 
Код подтверждения  
   
ТОП-Новости
13:03 Коломойский намерен обжаловать продажу "Лугансктепловоза"
12:56 "Лугансктепловоз" без аукциона купили россияне
12:36 "НУ" хочет подвинуть из коалиции коммунистов
12:23 Лозинский ознакомился с третью материалов дела, но вину не признал
10:00 Заместитель Дубины ответит за газ Фирташа

Новости
15:14 Кому выгодно казино в Крыму
09:19 «Укрметртестстандарт» обнаружил винный фальсификат
17:37 Рынок труда нуждается в рабочих профессиях
11:39 НПЗ должны прекратить шантаж правительства Украины
14:31 Принятие закона об азартных играх вызовет рост цен на коммерческую недвижимость
19:16 Украинская игорная действительность меняет формы
15:30 Новым министром ЖКХ станет первый зам Попова?
15:11 Мнение: Назначение министра ЖКХ Попова в КГГА – это проявление кадрового кризиса власти
14:51 ТВi просит органы расследовать инцидент с "наружкой"
14:45 Сухий устал от губернаторства и хочет снова в Раду
14:41 Янукович после расследования решит, возвращать газ Фирташу или нет
14:26 «Коммунальный фронт» призывает провести в ЖКХ люстрацию управленческого аппарата
14:03 ФГИ разошелся: На очереди - "Укртелеком"
13:52 В ФГИ не удовлетворены продажей "Лугансктепловоза"
13:48 Ляпина отрицает заявление Еханурова о переходе "НУНС" в коалицию

Галерея


Скрипка зваблює публіку ретро-джаз-кабаре



Алиса в стране чудес



ВЫШЕ НЕБА

Интересное видео

Загрузка...

{medit}
Реклама на сайте   |   Контакт   |   Сделать стартовой   |   Добавить в избранное

Rambler's Top100 Рейтинг@Mail.ru bigmir)net TOP 100
Все права защищены © 2006 - 2009 Вовремя.info

Использование материалов сайта разрешается при условии ссылки
(для Интернет-изданий - гиперссылки http://vovremya.info) на "Вовремя.info".
Редакция не всегда разделяет мнения авторов и несет ответственность лишь за уровень дискуссии.
{noindex} Разработка и сопровождение: baev.kiev.ua
Разработка дизайна: Студия Like
{/noindex}
{medit2}