Bem-vindo: Sáb, 30 de Novembro 2024, 10:43 Pesquisa avançada

Força-bruta sobre senhas Oracle

Secção dedicada a Noticias que não estejam diretamente relacionadas com Software OpenSource! Partilhe aqui notícias sobre Internet, Curiosidades, Guiness, Desporto, Astronomia... resumidamente de tudo! :)

Força-bruta sobre senhas Oracle

Mensagempor Luciano Fernandes » Ter, 25 de Setembro 2012, 1:12


Um pesquisador de segurança forneceu detalhes sobre vulnerabilidades no protocolo de autenticação da base de dados Oracle, descoberto pela primeira vez em 2010. O pesquisador, Esteban Martinez Fayó da empresa especializada em segurança AppSec, apresentou seus achados e métodos através dos quais a vulnerabilidade pode ser explorada durante a Ekoparty Security Conference, que está acontecendo em Buenos Aires.

Apesar da Oracle ter removido a vulnerabilidade com a coleção de correções 11.2.0.3, que introduziu a nova versão 12 do protocolo em meados de 2011, Fayó afirmou que não houve correção para as versões 11.1 e 11.2 da base de dados, pois a correção nunca foi incluída em qualquer as atualizações críticas regulares da Oracle. O pesquisador explicou que a não ser que os administradores ativem o novo protocolo manualmente, a base de dados vai continuar a usar a versão vulnerável 11.2 do protocolo.

Fayó afirmou que quando uma tentativa de log-in é feita, o servidor de base de dados inicialmente enviou uma chave de sessão e o valor do sal do hash de senhas. Aparentemente, invasores em potencial preciam apenas de um nome de usuário e de um arquivo do banco de dados; eles podem abortar a comunicaçaõ com o servidor e começar um ataque de força bruta offline na senha que capturaram. Esse método não registra qualquer tentativa de log-in incorreto nos arquivos de registro.

De acordo com os pesquisadores, a falha de segurança não revelada permite que invasores criem uma conexão entre a chave de sessão do usuário e o hash da senha. Fayó afirmou que o valor aleatório de sal foi desenvolvido para tornar ataques de força bruta sobre esse hash muito difíceis por não permite que os atacantes usem, por exemplo, tabelas rainbow (contendo palavras ou conjunto de algarismos comuns em várias senhas).

Ele continuou explicando que, apesar dessas tabelas não poderem nesse ataque, as senhas podem ser quebradas de forma bem eficiente usando hardware especial, como GPUs, e dicionários híbridos. O pesquisador destacou que também podem ser usados serviços de nuvem. Para quebrar uma senha, os invasores devem tentar combinações aleatórias de caracteres até encontrar uma equivalente ao hash do sal. Uma vez munidos disso, é muito provavél que eles obtenham a senha.

Fonte: h-online, em inglês.



Você está de acordo com as REGRAS do Fórum?! Já tirou suas dúvidas sobre o Fórum no FAQ!?

Caso tenha gostado do post, por favor, prestigie a fonte para este e outros assuntos afins :!: :obrigado: o :ubuntued: agradece sua preferência, volte sempre! ;)

:idea: CREATION SOURCE: :arrow: Linux new media



Vivamos a LIBERDADE com total DIGNIDADE!
"[...] For we can do nothing against the TRUTH, but for the TRUTH..."
Avatar do usuário
Luciano Fernandes
Nuntius Express
 
Mensagens: 1070
Registrado em: 26 Junho, 2011
Localização: Rio de Janeiro, Brazil.

Re: Força-bruta sobre senhas Oracle

Mensagempor Claudio Novais » Ter, 25 de Setembro 2012, 17:34

Luciano F. Fernandes (25-09-2012, 1:12) escreveu:O pesquisador explicou que a não ser que os administradores ativem o novo protocolo manualmente, a base de dados vai continuar a usar a versão vulnerável 11.2 do protocolo.


Esta é uma situação frequente, infelizmente, em softwares proprietários, em que as empresas demoram a pôr tudo nos eixos. Neste caso demora já 2 anos e ainda não está a 100%.

Comparativamente com os sistemas Open-Source (claro que há exceções) as coisas são corrigidas de forma eficaz e rápida. Basta olhar para a última atualização do Kernel, em que foram descobertas vulnerabilidades que foram rapidamente publicadas.
Avatar do usuário
Claudio Novais
Editor do Ubuntued
 
Mensagens: 16869
Registrado em: 25 Maio, 2011

Re: Força-bruta sobre senhas Oracle

Mensagempor nuno_nunes » Ter, 25 de Setembro 2012, 17:38

Parece os softwares propritários nunca estão a 100% livres de bug e cada dia que passa há sempre um achado novo :S
Avatar do usuário
nuno_nunes
 
Mensagens: 3932
Registrado em: 28 Maio, 2012
Localização: Pampilhosa da Serra - Portugal


Voltar para Notícias Gerais

Quem está online

Usuários navegando neste fórum: Nenhum usuário registrado e 12 visitantes

cron