Ошибки в системе шифрования угрожают онлайн-банкингу

Николай Головко 15 Сентября 2010 - 08:10

Средства криптографической защиты информации

...

Риск раскрытия конфиденциальных данных возник в результате обнаружения недочетов в криптоалгоритмах веб-приложений, разработанных при помощи среды ASP.Net от Microsoft. ASP.Net позволяет защищать файлы cookie с конфиденциальным содержимым, которые создаются приложениями во время сеансов онлайн-банкинга и других подобных операций, посредством AES-шифрования; этот алгоритм одобрен правительством США для использования в соответствующих случаях. Тем не менее, потенциальные уязвимости, существующие в механизме обработки ошибок при изменении содержимого криптованных файлов cookie, могут позволить злоумышленнику существенно сузить диапазон возможных ключей, использовавшихся при шифровании.

Исследователи Тай Дуонг и Джулиано Риццо разработали программный инструмент, названный ими Padding Oracle Exploit Tool, чтобы продемонстрировать принципиальную осуществимость подобной атаки. Ранее им уже удавалось обнаружить похожие недочеты в JavaServer Faces и других сетевых средах.

"Наиболее важным и значимым является тот факт, что при помощи подобной атаки можно поразить вообще любое веб-приложение ASP.Net," - пояснил г-н Риццо. - "Если вкратце, то вы сможете расшифровать все, что было криптовано с помощью API этой среды - файлы cookie, сведения для аутентификации, пользовательские данные, пароли... Среда ASP.Net используется на 25% всех ресурсов в Интернете, и каждый из них может быть атакован посредством эксплуатации этих уязвимостей. Результат может быть разным; в зависимости от особенностей конкретного сервера это может быть и раскрытие некоторой информации, и полная компрометация системы".

Также г-н Риццо счел нужным заметить, что подобная атака может позволить даже не самому опытному и умелому злоумышленнику взломать веб-сайт менее чем за час. "Первый этап нападения требует отправки нескольких тысяч запросов, но, как только эта стадия будет успешно завершена, и взломщик получит секретные ключи, осуществить проникновение можно будет совершенно незаметно. Для реализации такой атаки достаточно вполне элементарных познаний в криптографии," - заявил он.

Подробную информацию по этой проблеме исследователи представят на конференции Ekoparty, проходящей в Аргентине на этой неделе.

The Register

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Екатерина Быстрова 26 Марта 2026 - 18:33

Общее R-Vision

R-EVOlution Conference 2026 в Москве посвятят эффективности ИТ и ИБ

9 апреля 2026 года в Москве состоится четвёртая ежегодная R-EVOlution Conference 2026, посвящённая актуальным вопросам ИТ и информационной безопасности. В этом году организаторы вынесли в центр программы тему эффективности; без лишнего усложнения, но с упором на практику, реальные ограничения и работающие подходы.

Основной разговор будет строиться вокруг вполне прикладного вопроса: как сделать ИТ- и ИБ-решения полезнее для бизнеса, не превращая их в ещё один тяжёлый и дорогой слой инфраструктуры.

В программе обещают обсуждать и выбор инструментов, и применение платформенных решений, и реальный опыт внедрения — как со стороны вендоров, так и со стороны заказчиков.

В 2026 году конференцию разделят сразу на два направления: бизнес-трек и технический трек.

В бизнес-секции, судя по заявленной программе, будут говорить о том, как добиваться эффективности без лишней сложности, как выжимать максимум из SOC, как строить управляемый VM на больших инфраструктурах и что происходит с этим направлением на фоне масштабной перестройки рынка.

Технический трек сделают более прикладным. В нём заявлены доклады специалистов из BI.ZONE, «Инфосистем Джет», HiveTrace, SolidLab, «Газинформсервис», «ВсеИнструменты.ру», «Патио» и других компаний. Темы тоже вполне рабочие: переход от теории к реальному threat hunting, инженерный подход к автоматизации обработки инцидентов, самые критичные уязвимости 2025 года, артефакты для расследований, а также работа с большим количеством IOC и повышение эффективности SIEM.

Кроме докладов, на площадке предусмотрена и интерактивная часть. В зоне SIEM Lounge планируют показать работу R-Vision SIEM под постоянной нагрузкой до 300 тысяч событий в секунду. Там же собираются проводить практический разбор инцидента на реальных данных — с анализом логов, поиском источников угроз и восстановлением цепочки событий.

Отдельно на площадке представят продукты R-Vision на платформе R-Vision EVO, которую впервые показали ещё на прошлогодней конференции. В этом году обещают сделать акцент на обновлённом функционале.

Мероприятие пройдёт в гибридном формате: можно участвовать очно или подключаться к онлайн-трансляции. Правда, технический трек будет доступен только тем, кто находится на площадке, а записи выступлений обещают выложить позже.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!