Microsoft: опять новые уязвимые дырки
Программы ChapCrack и CloudCracker легко получают доступ к конфиденциальным корпоративным коммуникациям - включая пароли и защиту популярного шифрования PPTP протокола, который базирует свою работу на алгоритме предоставленного компанией Microsoft, говорят исследователи в Defcon.
Специалист по криптографии Moxie Marlinspike представил на рынке инструменты для взлома от компании Defcon, которые легко проходят защиту и взламывают пароли в беспроводных и виртуальных частных сетях. Проникновение происходит по популярному протоколу шифрования, который сделан на базе алгоритма предложенного компанией Microsoft, все знают его под именем MS-CHAPv2. Эта новость всколыхнула весь интернет, особенно огорчились администраторы сетей.
Используя доступность WPA2 (Wi-Fi Protected Access) и VPN паролей, используемых корпорациями и организациями для обеспечения работы сети, которые защищены в соответствии с PPTP (Point-на-Point Tunneling Protocol) протоколом, хакеры могут проникать куда угодно. Безопасность сети зависит от MS-CHAPv2, использующегося для проверки подлинности доступа, вот только программа ChapCrack с легкостью перехватывает контроль над MS-CHAPv2 или SSL (Secure Sockets Layer), отдавая доступы в руки программы CloudCracker.
Чтобы проникнуть в чужую сеть надо потратить всего один день, в течение которого будет перехвачено управление и служба будет возвращать результаты в виде другого маркера, который подключен к ChapCrack, где DES (Data Encryption Standard) имеет доступ к дырам в защите. Любой человек, имеющий эту программу на своем компьютере, может подключиться к данным. Кто-то может увидеть всю информацию, путешествуя по Wi-Fi сети, в том числе конфиденциальную корпоративную электронную почту и пароли, после получении паролей, он может отключиться от программы, и пользоваться захваченными ранее паролями, чтобы попасть в корпоративную сеть.
Само собой эти инструменты не предназначены для широкого пользования, сейчас их используют тестеры, чтобы проверить возможность проникновения и сетевые аудиторы, которые отвечают за проверку безопасности сетей охраняемых WPA2 и виртуальные частные сети. Но дело в том, что программы могут быть украдены или воспроизведены частными лицами, ведь теперь стала доступна информация, что дыры имеются, а искать, когда знаешь почти готовый результат легче, чем придумывать что-то самостоятельно.
Обработка полученных данных проводится на суперкомпьютере, исполняющие чипы которого были созданы Дэвид Халтон Пико Computing. Стоимость прохода сквозь одну из дыр безопасности и получении полного пакета паролей обходится нам в 200 долларов, сказал специалист по криптографии Marlinspike.
Наши действия обусловлены тем, что мы хотим доказать, что протокол PPTP устарел, и сейчас он не может обеспечить должный уровень безопасности используя для работы MS-CHAPv2. В своем интервью он сказал, «Если мы смогли найти возможность для проникновения, то ее сможет найти любой, а значит, пострадаем мы гораздо больше, чем когда об этом объявили мы. Мы надеемся, что наш поступок станет толчком для начала разработки новой системы шифрования».
Проблема в том, что хоть технологии устарели и не обеспечивают должную безопасность, они используются на огромном количестве корпоративных сетей, в том числе с операционной системой Windows XP. Протокол PPTP все еще пользуется популярностью, потому что Windows XP и другие операционные системы поддерживают его. Также в новые операционные системы встраивается поддержка этого протокола. Своими действиями мы хотим вырваться из замкнутого цикла, когда все используют протокол только потому, что так привыкли делать всю свою сознательную жизнь. Надо начать стремиться к чему-то новому.
В Объединенных Арабских Эмиратах создали самую большую в мире картину из песка. Огромная работа представляет десять выдающихся личностей из этой страны и контуры страны. На создание всего этого произведения художнику понадобился целый месяц.Арабские страны конкурируют друг с другом во многих...
Названная в честь того факта, что она вдохновлена парой перчаток, Glove80 представляет собой раздельную клавиатуру с эргономичным дизайном и раскладкой, которая буквально повторяет форму человеческих рук. Разработанные в течение 6 лет, с более чем 500 сравнительными A/B-тестами, общая форма Glove80...
IXPE — новый космический аппарат НАСА для рентгеновских исследований. Телескоп был запущен в космос в декабре. Теперь у нас есть возможность увидеть первые снимки, снятые устройством. Они представляют собой сверхновые Кассиопеи А. На одном из них изображен объект в оттенках синего и пурпурного.НАСА...
- 04 июля 2017, 20:55 Был представлен смартфон ASUS ZenFone 4 Max
- 30 июня 2017, 22:24 Facebook поможет пользователям в поиске Wi-Fi
- 24 июня 2017, 22:10 Samsung Galaxy Note 8 обойдется покупателям в тысячу евро
- 20 июня 2017, 22:35 В работе Skype произошел серьезный сбой
- 16 июня 2017, 23:06 Состоялся анонс YotaPhone 3
- 12 июня 2017, 22:26 Компания Microsoft представила игровую консоль Xbox One X
- 07 июня 2017, 11:56 Samsung представил новую линейку смартфонов Galaxy J
- 05 июня 2017, 22:14 Apple представила новинки на WWDC 2017
- 01 июня 2017, 21:40 Microsoft добавила в Skype аналог «Историй»
- 22 мая 2017, 20:40 Android Pay заработает в России 23 мая
- 19 декабря 2024, 00:32 Дизельные генераторы жидкостного охлаждения: виды и преимущества