Auf der diese Woche in Los Angeles stattfindenden SANS Network Security-Konferenz riefen Sicherheitsexperten den Software-Hersteller Oracle dazu auf, seine Sicherheitspraktiken zu verbessern. So sei der in Oracle-Datenbanken verwendete Mechanismus zur Sicherung von Benutzerpasswörtern unausreichend: Angreifer könnten die Passwörter leicht aushebeln, und so an sensible Unternehmensdaten gelangen.
Die Security-Forscher Joshua Wright vom SANS Institute und Carlos Cid von der University of London wollen eine Methode entwickelt haben, sogar starke, gut gewählte Oracle-Passwörter innerhalb von Minuten zu knacken. In einer Untersuchung (PDF-Download hier) identifizierten die Researcher gravierende Schwächen in dem von Oracle verwendeten Verschlüsselungsverfahren. Zu den dokumentierten Problemen gehören ein mangelhafter Hash-Algorithmus sowie die fehlende Unterscheidung zwischen Groß- und Kleinschreibung – alle Passwörter werden vor der Generierung des Hash-Werts erst einmal in Großbuchstaben umgewandelt.
In einer am Mittwoch auf der Konferenz gehaltenen Präsentation stellte Wright ein selbst geschriebenes Tool zum Ausspähen der Passwörter vor.
Eigenen Angaben zufolge haben Wright und Cid Oracle bereits im Juli über die Ergebnisse ihrer Arbeit unterrichtet. Anfragen zu einer Stellungnahme des Software-Herstellers zu der Untersuchung sollen bislang unbeantwortet geblieben sein.
Oracle gerät wegen seiner Vorgehensweise in Sicherheitsfragen zunehmend ins Kreuzfeuer der Kritik. Experten bemängeln die vergleichsweise langsame Veröffentlichung, unausreichende Dokumentation sowie die unzuverlässige Qualität der von Oracle herausgegebenen Updates.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…