Взломаны крупнейшие системы безопасности: IBM и SaaS

Взломаны крупнейшие системы безопасности: IBM и SaaS

Интернет-магазины, облачные вычисления, онлайновые системы «CRM»: каждый день многие IТ-системы требуют идентификации пользователя. Чтобы обойти эту проблему и создать структурированную систему управления идентификацией (IDM) в промышленности, была введена система «Single Sign-On» (SSO). Благодаря этой системе пользователь только один раз проходит процедуру идентификации, а все последующие проверки подлинности выполняются автоматически, сообщает «SciencePlanet.ru».

Тем не менее, «SSO» системы, разработанные на основе отраслевого стандарта «SAML» имеют множество уязвимых мест: примерно 80 процентов из этих систем были сломаны исследователями из «Рурского университета» в Бохуме (Ruhr-Universitat Bochum).

Защита с помощью цифровых подписей

«Single Sign-On» (SSO) можно сравнить с хорошо охраняемой дверью, которая защищает конфиденциальные данные компании: после того как вы открыли эту дверь, вы получаете доступ ко всем данным. Многие отрасли «SSO» систем строятся на основе «Security Assertion Markup Language» (SAML). Идентификационная информация хранится в сообщении «SAML», защищённом цифровой подписью. Исследователи из Бохума смогли полностью обойти эту защиту в 12-ти из 14-ти «SAML» систем.

Обход защитных функций

«Благодаря новым методам «XML Signature Wrapping» мы смогли полностью обойти эти цифровые подписи», - говорит профессор Йорг Швенк из «Рурского университета». «Таким образом мы выдавали себя за других пользователей, даже за администраторов систем». Среди 12-ти пострадавших систем были «SaaS Cloud provider Salesforce», «IBM DataPower», «Onelogin» (может использоваться в качестве дополнительного модуля в «Joomla», «Wordpress», «SugarCRM», или «Drupal») и «OpenSAML» (используется в «Shibbolet»h, «SuisseID» и «OpenSAML»).

«После того, как мы поняли, что можем произвести успешные атаки, мы сразу же сообщили пострадавшим компаниям, и предложили им несколько путей обхода», - говорит эксперт по вопросам безопасности аспирант Андреас Майер (Adolf Wurth GmbH & Co. KG). «Благодаря тесному сотрудничеству с передовыми компаниями по безопасности, уязвимости удалось исправить в кратчайшие сроки», - добавляет Юрай Сморовский.

Источник: scienceplanet.ru

Похожие новости:
Oracle и Microsoft объединяют усилия
Генеральный директор Microsoft Стив Балмер и президент Oracle Марк Херд на следующей неделе проведут совместную пресс-конференцию, которая пройдет всего за два дня до начала конференции разработчиков в Сан-Франциско. Как заявил генеральный директор Oracle Ларри Эллисон, во время будущей пресс-конференции, ..
2013-06-22 1510 0 Интернет, IT
0
Хакеры получили доступ к сетям крупных компаний
Хакеры могли получить доступ к компьютерным сетям 760 крупных компаний и организаций, используя те же средства, что и при нашумевшем взломе сети компании RSA в марте 2011 года, утверждает в своем блоге известный специалист по компьютерной безопасности Брайан Кребс (Brian Krebs). Кребс опубликовал ..
2011-10-27 1707 0 Интернет, IT
0
Microsoft в 2015 году прекратит базовую поддержку Windows 7
Корпорация Microsoft намерена прекратить базовую поддержку операционной системы Windows 7 с 13 января 2015 года. До 2020 года компания планирует осуществлять ограниченную поддержку системы, которая будет включать в себя обновления систем безопасности и устранение неполадок. Об этом ..
2014-07-12 2600 0 Интернет, IT
1
Искусственный интеллект предотвратил ограбление
2 апреля в 13:30 сработала охранная система слежения и было предотвращено ограбление банка по ул.Герцель 33: датчики системы обнаружили подозрительное лицо и его неадекватное поведение, на пульт городского патруля в считанные секунды поступил сигнал, и подозреваемый был задержан. Системы безопасности на основе искусственного ..
2012-04-5 1684 0 Интернет, IT
0
Сотрудников многих компаний в будущем отключат от Интернета
Сотрудники большинства компаний в ближайшие годы не смогут больше выходить в Интернет со своего рабочего места, заявил генеральный директор «Лаборатории Касперского» Евгений Касперский. «Боюсь, что многие сервисы, которыми сейчас пользуются сотрудники различных предприятий, будут отключены. ..
2011-12-15 1880 0 Интернет, IT
0
Немцы признали Chrome самым безопасным браузером
Федеральное агентство по вопросам информационной безопасности (Federal Office for Information Security) Германии признало браузер Chrome наиболее безопасным для владельцев компьютеров, работающих под управлением операционных систем семейства Windows. Отмечается, что браузер является одним из основных инструментов взаимодействия пользователя ..
2012-02-7 1992 0 Интернет, IT
0
Хакеры запустят свои спутники для борьбы с интернет-цензурой
Американский законопроект SOPA переполошил не только крупнейшие интернет-корпорации, но и хакеров. Как сообщает PC Advisor, на Всемирном конгрессе хакеров в Берлине обсуждался проект под названием Hackerspace Global Grid. Он предусматривает запуск в космос низкоорбитальных спутников связи и создание наземной системы слежения ..
2012-01-2 2202 0 Интернет, IT
0
Microsoft отречется от Windows XP уже через год
Microsoft объявила о прекращении поддержки устаревшей операционной системы Windows XP. Ровно через год, 8 апреля 2014, компания прекратит выпускать для XP обновления безопасности. Windows XP в течение многих лет была самой популярной операционной системой в мире с момента запуска в 2001 году. ..
2013-04-8 1458 0 Интернет, IT
0
Apple исправила критическую ошибку в системе безопасности Mac
Компания Apple впервые распространила автоматическое обновление платформы для компьютеров Mac, которое призвано устранить критическую уязвимость в системе безопасности компьютера. Об этом говорится на сайте техподдержки Apple. Специалисты по инфобезопасности из университета Карнеги-Меллон обнаружили уязвимость в компоненте операционной системы ..
2014-12-26 7315 0 Интернет, IT
-1
Временное решение Microsoft против вируса Duqu
На днях компания «Microsoft» выпустила дополнительную информацию по обнародованной недавно дырке в ядре операционной системы «Windows», которой пользуется червь «Duqu», сообщает «АйтиХак». Компания утверждает, что данная дырка содержится в движке парсинга шрифта «Win32k TrueType». Злоумышленники ..
2011-11-10 1912 1 Интернет, IT
0
Российские хакеры выложили в открытый доступ пароли к аккаунтам Linkedin
Американская социальная сеть LinkedIn проверяет информацию о краже шести с половиной миллионов паролей ее пользователей. Руководство соцсети пока не может подтвердить, что системы безопасности сайта были взломаны. Ранее американские СМИ сообщили, что на одном из российских интернет-форумов выложен файл, содержащий ..
2012-06-7 1868 0 Интернет, IT
0
Microsoft выпустила обновление Windows и убила компьютеры
Корпорация Microsoft приостановила распространение обновления безопасности для Windows, которое закрывает уязвимости Meltdown и Spectre. Патч стал причиной полного отключения компьютеров с процессорами AMD. Об этом во вторник, 9 января, сообщает The Verge.«Microsoft получила жалобы от обладателей чипов AMD о том, ..
2018-01-10 2951 0 Интернет, IT
0
Эксперт по компьютерной безопасности назвал программу «Яндекса» для такси большой дырой
Специалист по компьютерной безопасности и автор нескольких статей на «Хабрахабр», известный на сайте под псевдонимом lamamer, заявил о серьезных дырах в системе управления таксопарками, приобретенной «Яндексом». Результаты проведенного исследования автор опубликовал в своем блоге. Судя по данным, которые удалось получить ..
2015-06-07 3259 0 Интернет, IT
0
Крупнейшие IT-компании раскрыли данные о запросах американских спецслужб
За первые шесть месяцев 2013 года компании Microsoft, Google, Facebook и Yahoo предоставляют данные десятков тысяч пользователей по запросам спецслужб. Об этом говорится в материалах, опубликованных компаниями в понедельник, 3 февраля, сообщает Agence France-Presse. С января по июнь 2013 ..
2014-02-05 1423 0 Интернет, IT
0
Хакер из России - лучший по взлому систем безопасности банков
В Москве прошел Международный хакерский форум Positive Hack Days 2012. В рамках конкурса Большой Kush хакеры соревновались во взломе систем дистанционного банковского обслуживания (ДБО). Победителю удалось «увести» из банка 3,5 тыс. рублей, используя популярные уязвимости ..
2012-06-2 3969 0 Интернет, IT
0