Исследователи описали новый метод DoS-атаки на популярные веб-платформы

Исследователи описали новый метод DoS-атаки на популярные веб-платформы

На 28 конгрессе Chaos Communication, проходящем в эти дни в немецкой столице, специалисты представили информацию об изъяне, который существует в большинстве программных сред для веб-приложений и позволяет потенциальному злоумышленнику вызывать отказы в обслуживании без применения обширных вредоносных сетей и значительных вычислительных ресурсов.


В процессе работы сетевых программ на языках PHP, Java, Python и JavaScript используется хэширование, которое позволяет ускорять обработку ряда операций. Приложения вычисляют обычные математические хэши (не криптографические), знают, что при их генерации возможны столкновения (т.е. совпадения выходных значений функций хэширования), и надлежащим образом обрабатывают соответствующие коллизии. Процедура надежна, если ею не злоупотреблять. Однако, по данным немецких специалистов, злонамеренное использование ее особенностей может довольно быстро перегрузить сервер.

Известно, что нападающий, который знаком со спецификой используемых в том или ином продукте алгоритмов хэширования, может предварительно вычислять определенные аргументы, которые при прохождении через хэш-функцию будут давать одно и то же итоговое значение. Процедура сравнения получаемых в результате подобной деятельности хэшей превращается в квадратичную функцию, на работу с которой требуются существенные вычислительные ресурсы. В своей презентации исследователи показали, как отправка примерно двух мегабайт предварительно найденных значений заставляет сервер производить более 40 миллиардов сравнений получаемых строк.

В качестве цели был выбран компьютер с Apache Tomcat; в начале своего доклада специалисты отправили на него несколько особых аргументов хэш-функций, и на всем протяжении их презентации аудитория могла наблюдать, как нагрузка на ЦП сервера не опускалась ниже 100%. В качестве возможного решения исследователи предложили разработчикам вышеупомянутых языков программирования ввести механизм случайной генерации ключей, используемых при вычислении хэшей; это помешает злоумышленнику вычислять специфические входные значения для подобных нападений. Необходимо заметить, что, например, в Perl такой механизм появился еще в сентябре 2003 года.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

За I квартал 2021 ежегодный регулярный доход Veeam вырос на 25%

Компания Veeam объявила о том, что очередной квартал закончен с двузначным ростом ежегодного регулярного дохода (ARR): за I квартал 2021 года показатель ARR вырос на 25% по сравнению с аналогичным периодом прошлого года.

Veeam начала 2021 год с экспансии на рынке публичных облаков, анонсировав выход нового продукта Veeam Backup для платформы Google Cloud, дополнив свой портфель решений резервного копирования для платформ AWS и Microsoft Azure.

В I квартале 2021 года на рынок также вышло решение Veeam Backup & Replication v11, включившее в себя более 200 обновлений в части резервного копирования, работы с облачными данными, аварийного восстановления, безопасности и автоматизации. На сегодняшний день его установили уже более 130 000 пользователей.

«Двузначный рост по сравнению с прошлым годом во всех регионах мира в очередной раз подтверждает, что наши решения занимают лидирующие позиции в отрасли. Обеспечивая клиентам простоту, гибкость и надежность в защите данных, мы полностью отвечаем их потребностям и помогаем достигать всех бизнес-целей. В глобальном масштабе такие результаты — это невероятное достижение, особенно учитывая крайне непростую рыночную ситуацию, — считает Билл Ларджент, CEO и председатель совета директоров Veeam. — Двузначный рост в течение тринадцати кварталов подряд — это не только свидетельство той роли, которую непрерывность бизнеса и защита данных играют для компаний при переходе в облако, но и подтверждение ценности и надежности решений, которым уже более 10 лет доверяют 400 000 клиентов Veeam».

Согласно отчету компании IDC по рынку восстановления и защиты данных Semi-Annual Software Tracker за второе полугодие 2020 года, выручка Veeam выросла на 21,5% по сравнению с предыдущим кварталом, и на 17,9% по сравнению с аналогичным периодом прошлого года.

За этот период компания Veeam вышла на второе в мире место по объемам выручки, причем во второй половине 2020 года рост по сравнению с аналогичным периодом прошлого года на 17,5% превысил среднерыночные показатели.

«Добиться двузначного роста в регионе EMEA, увеличив ежегодный регулярный доход (ARR) на 27% по сравнению с предыдущим годом, в непростом для организаций по всему региону первом квартале, мы смогли благодаря гибкости, дисциплине и боевому духу наших команд на всех рынках, — говорит Дэниел Фрид, генеральный директор и старший вице-президент Veeam по региону EMEA и по глобальным каналам сбыта. — Клиенты и партнеры стремятся инвестировать в решения, в которых они будут уверены, и работать с экспертами, которые предлагают стратегические рекомендации. Важно отметить, что признанное компанией IDC лидерство Veeam на рынке восстановления и защиты данных в регионе ЕМЕА в 2020 году, ясно показывает, что мы — вендор, который обеспечивает клиентам по всему региону лучшую поддержку в процессе цифровой трансформации и во внедрении инноваций. И это связано не только с нашей доминирующей позицией на рынке резервного копирования и защиты данных, но и с тем, что наши команды продаж и технические специалисты обладают высочайшим уровнем экспертных знаний и навыков, не говоря уже о созданной нами уникальной партнерской экосистеме».

«Помимо громкого релиза v11, в 2021 году мы планируем выпустить еще целый ряд продуктов, ориентированных как на ведущих поставщиков облачной инфраструктуры — AWS, Microsoft Azure и Google, так и на Kubernetes. Таким образом, мы сохраняем гибкость и постоянно внедряем новые современные технологии, — отмечает Дэнни Аллан, CTO и старший вице-президент Veeam по стратегии развития продуктов. — Выпущенные на рынок новые продукты являются лучшими в своем классе и по качеству, и по разнообразию предлагаемых возможностей. Они обеспечивают нашим клиентам требуемый уровень защиты и восстановления данных. Все больше компаний внедряют современные стратегии защиты данных, и мы в Veeam готовы оказать им всю необходимую помощь».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru