Ошибки в системе шифрования угрожают онлайн-банкингу
Главная » Новости
Публичное облако: кто отвечает за безопасность?Облако в 2026 году — это уже не просто серверы у провайдера, а полноценная часть ИТ-инфраструктуры компании. И главные риски сегодня связаны не с “железом”, а с ошибками настройки, избыточными доступами, API и размытыми зонами ответственности. 10 июня в 11:00 в прямом эфире AM Live разберём, как сегодня выглядит безопасность публичного облака и какие ошибки чаще всего приводят к инцидентам.→ Регистрируйтесь по ссылке
Реклама. ООО «АМ Медиа», ИНН 7703628151, 16+

Ошибки в системе шифрования угрожают онлайн-банкингу

Николай Головко 15 Сентября 2010 - 08:10
...

Риск раскрытия конфиденциальных данных возник в результате обнаружения недочетов в криптоалгоритмах веб-приложений, разработанных при помощи среды ASP.Net от Microsoft. ASP.Net позволяет защищать файлы cookie с конфиденциальным содержимым, которые создаются приложениями во время сеансов онлайн-банкинга и других подобных операций, посредством AES-шифрования; этот алгоритм одобрен правительством США для использования в соответствующих случаях. Тем не менее, потенциальные уязвимости, существующие в механизме обработки ошибок при изменении содержимого криптованных файлов cookie, могут позволить злоумышленнику существенно сузить диапазон возможных ключей, использовавшихся при шифровании.



Исследователи Тай Дуонг и Джулиано Риццо разработали программный инструмент, названный ими Padding Oracle Exploit Tool, чтобы продемонстрировать принципиальную осуществимость подобной атаки. Ранее им уже удавалось обнаружить похожие недочеты в JavaServer Faces и других сетевых средах.


"Наиболее важным и значимым является тот факт, что при помощи подобной атаки можно поразить вообще любое веб-приложение ASP.Net," - пояснил г-н Риццо. - "Если вкратце, то вы сможете расшифровать все, что было криптовано с помощью API этой среды - файлы cookie, сведения для аутентификации, пользовательские данные, пароли... Среда ASP.Net используется на 25% всех ресурсов в Интернете, и каждый из них может быть атакован посредством эксплуатации этих уязвимостей. Результат может быть разным; в зависимости от особенностей конкретного сервера это может быть и раскрытие некоторой информации, и полная компрометация системы".


Также г-н Риццо счел нужным заметить, что подобная атака может позволить даже не самому опытному и умелому злоумышленнику взломать веб-сайт менее чем за час. "Первый этап нападения требует отправки нескольких тысяч запросов, но, как только эта стадия будет успешно завершена, и взломщик получит секретные ключи, осуществить проникновение можно будет совершенно незаметно. Для реализации такой атаки достаточно вполне элементарных познаний в криптографии," - заявил он.


Подробную информацию по этой проблеме исследователи представят на конференции Ekoparty, проходящей в Аргентине на этой неделе.


The Register

Следующая главная новость »
AM LiveПубличное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

ФСБ заявила о шпионаже через смартфоны российских госслужащих
Яков Шпунт 02 Июня 2026 - 09:59
КибершпионажЦелевые атакиТаргетированные атаки Государство
ФСБ заявила о шпионаже через смартфоны российских госслужащих

ФСБ России сообщила о раскрытии многоуровневой операции зарубежных спецслужб, направленной на масштабный сбор информации с заражённых смартфонов высокопоставленных российских госслужащих.

О раскрытии операции зарубежных спецслужб со ссылкой на ФСБ сообщает РИА Новости.

Для сбора данных использовались доступ к переписке, прослушивание телефонных переговоров, акустический и видеоконтроль обстановки вокруг устройств, а также сведения о геолокации и контактах.

Как рассказал оперативный сотрудник ФСБ, такой способ оказался быстрее, дешевле и безопаснее, чем традиционная работа спецслужб через завербованных информаторов. Отдельно он отметил задачу сбора данных о настроениях в российском обществе без посредников.

Полученная таким образом информация также использовалась для сбора компромата, шантажа и давления. По словам оперативного сотрудника ФСБ, многие владельцы скомпрометированных устройств позднее попадали в санкционные списки, что дополнительно использовалось как инструмент давления.

«Уже сейчас можно заявлять, что это многоуровневая операция с далеко идущими последствиями и серьёзными рисками, которая предполагает координацию нескольких государств», — отметил оперативный сотрудник ФСБ.

Генерал-майор ФСБ в отставке, кандидат юридических наук Александр Перелыгин отметил, что спецслужбы активно используют недекларируемые возможности оборудования, применяемого в том числе при производстве смартфонов. По его словам, съём информации возможен даже с выключенных устройств.

AM LiveПубличное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!
RED Security: число DDoS-атак на российский бизнес выросло в 2,7 раза
Новость
RED Security: число DDoS-атак на российский бизнес выросло в...
В Exim нашли критическую RCE-уязвимость: почтовики лучше обновить срочно
Новость
В Exim нашли критическую RCE-уязвимость: почтовики лучше обн...
Миллионы серверов под угрозой: в NGINX обнаружили опасную уязвимость
Новость
Миллионы серверов под угрозой: в NGINX обнаружили опасную уя...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.