Ошибки в системе шифрования угрожают онлайн-банкингу

Николай Головко 15 Сентября 2010 - 08:10

Средства криптографической защиты информации

...

Риск раскрытия конфиденциальных данных возник в результате обнаружения недочетов в криптоалгоритмах веб-приложений, разработанных при помощи среды ASP.Net от Microsoft. ASP.Net позволяет защищать файлы cookie с конфиденциальным содержимым, которые создаются приложениями во время сеансов онлайн-банкинга и других подобных операций, посредством AES-шифрования; этот алгоритм одобрен правительством США для использования в соответствующих случаях. Тем не менее, потенциальные уязвимости, существующие в механизме обработки ошибок при изменении содержимого криптованных файлов cookie, могут позволить злоумышленнику существенно сузить диапазон возможных ключей, использовавшихся при шифровании.

Исследователи Тай Дуонг и Джулиано Риццо разработали программный инструмент, названный ими Padding Oracle Exploit Tool, чтобы продемонстрировать принципиальную осуществимость подобной атаки. Ранее им уже удавалось обнаружить похожие недочеты в JavaServer Faces и других сетевых средах.

"Наиболее важным и значимым является тот факт, что при помощи подобной атаки можно поразить вообще любое веб-приложение ASP.Net," - пояснил г-н Риццо. - "Если вкратце, то вы сможете расшифровать все, что было криптовано с помощью API этой среды - файлы cookie, сведения для аутентификации, пользовательские данные, пароли... Среда ASP.Net используется на 25% всех ресурсов в Интернете, и каждый из них может быть атакован посредством эксплуатации этих уязвимостей. Результат может быть разным; в зависимости от особенностей конкретного сервера это может быть и раскрытие некоторой информации, и полная компрометация системы".

Также г-н Риццо счел нужным заметить, что подобная атака может позволить даже не самому опытному и умелому злоумышленнику взломать веб-сайт менее чем за час. "Первый этап нападения требует отправки нескольких тысяч запросов, но, как только эта стадия будет успешно завершена, и взломщик получит секретные ключи, осуществить проникновение можно будет совершенно незаметно. Для реализации такой атаки достаточно вполне элементарных познаний в криптографии," - заявил он.

Подробную информацию по этой проблеме исследователи представят на конференции Ekoparty, проходящей в Аргентине на этой неделе.

The Register

Следующая главная новость »

Контейнерные среды под атакой: как защищаться в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 12 Марта 2026 - 16:59

Соответствие законодательству РФ Общее Персональный VPN Анонимайзеры Системы контентной веб-фильтрации

Telegram в России не спасёт даже VPN, заявили в Госдуме

Тема будущего Telegram в России никак не затихнет. На этот раз зампред комитета Госдумы по информполитике Андрей Свинцов заявил СМИ, что в случае дальнейших ограничений VPN не поможет: по его словам, Роскомнадзор умеет выявлять такой трафик, поэтому мессенджер будет работать плохо и с VPN тоже.

При этом важно понимать: это именно оценка депутата, а не отдельное новое решение Роскомнадзора. Формулировки у Свинцова, как обычно, были довольно жёсткие.

Суть его позиции сводится к тому, что рассчитывать на схему «сейчас все просто включат VPN и продолжат пользоваться Telegram как ни в чём не бывало» не стоит.

По мнению депутата, для обычных пользователей такой сценарий не сработает, а доступ сохранят только легальные VPN-сервисы, которые работают в разрешённом режиме, например для нужд СМИ. Основание для этого — пересказ его позиции в публикациях СМИ и его более ранние заявления о том, что Telegram уже ограничивается из-за невыполнения части требований РКН.

На этом фоне особенно любопытно, что сам Свинцов ещё в январе говорил в куда более спокойной тональности: тогда он заявлял, что полной блокировки Telegram в России не ожидается, потому что мессенджер, по его мнению, взаимодействует с российскими властями.

Позже он также называл слухи о тотальной блокировке с 1 апреля неподтверждёнными и говорил, что владельцы сервиса начали взаимодействовать с Роскомнадзором, хотя и недостаточно активно. То есть риторика вокруг Telegram у российских официальных лиц в последние недели выглядит довольно подвижной.

Контекст у всей этой истории тоже уже сложился. С 10 февраля 2026 года Роскомнадзор официально сообщал об ограничениях в отношении Telegram, объясняя их тем, что сервис не исполняет значительную часть требований российского законодательства.

К слову, сегодня мы также писали, что Telegram теоретически смог бы обходить практически любые блокировки, включая отключение интернета, если в мессенджере когда-нибудь появится поддержка Mesh-сети. С таким предположением выступил эксперт по информационной безопасности и председатель совета по противодействию технологическим правонарушениям КС НСБ Игорь Бедеров.

Контейнерные среды под атакой: как защищаться в 2026 году?
Регистрируйтесь на эфир!