Новые способы взлома сайтов

На модерации Отложенный Специалисты компании Core Security Technologies нашли новый способ атаки коммерческих баз данных, при помощи которой злоумышленники смогли бы получить закрытую информацию, даже если в самой системе управления базами данных нет уязвимостей.

При этом специалисты использовали "атаку тайминга", способ взлома большинства криптографических систем. Новая атака эффективно работает против алгоритма Btree, используемого для создания индексов почти во всех популярных СУБД, например в MySQL или Oracle.

Новый тип атак полностью полагается на наследственные характеристики алгоритмов индексирования данных. Технология атаки анализирует время, затраченное программой на выполнение криптографического алгоритма. При помощи статистических данных о скорости работы выполняемых алгоритмов хакер и получает информацию о том, какой алгоритм используется. Затем злоумышленнику достаточно обнаружить готовые эксплоиты для связки алгоритм шифрования – программа шифрования.

В случае с базами данных подход тот же. Злоумышленник, желающий получить закрытые данные с какого-либо сайта, заходит на него, после чего производит тестовые замеры время выполнения команды Insert, отвечающей за добавление данных в БД. Сделать это можно массой способов, например, написав в форуме сайта сообщения различной длины. Далее сравниваются данные вставки малого и большого объема данных. В результате временных замеров (тайминга) у злоумышленника появляются данные об используемой СУБД и ее версии.