امنیت

پسورد بانک اطلاعاتی اوراکل قابل هک شدن است

سرویس خبر شبکه آنلاین - بررسی‌های دو پژوهشگر نشان می‌دهد که پسورد بانک اطلاعاتی اوراکل به دلیل ضعف الگوریتم ذخیره‌سازی آن قابل هک شدن است.



دو محقق کامپیوتر اخیرا با انتشار مقاله‌ای مدعی شدند که پسوردها در نرم‌افزار بانک اطلاعاتی اوراکل قابل هک شدن هستند. جوشا رایت از موسسه SANS و کارلوس سید از دانشگاه لندن در مقاله خود مدعی شدند که به دلیل ضعف الگوریتم ذخیره‌سازی پسورد در نرم‌افزار بانک اطلاعاتی اوراکل، می‌توان آن را هک کرد.


این دو محقق در توضیح ادعای خود، عدم تمایز قائل شدن بین حروف بزرگ و کوچک در این سیستم را به عنوان یک نمونه ساده از این ضعف برشمردند.


در قسمتی از این مقاله آمده است: یک مهاجم با در دست داشتن منابع محدود برای نفوذ، می‌تواند حمله‌ای را سازمان دهد که به واسطه آن پسوردهای اصلی را از پسوردهای Hash‌ شده برای یک username مشخص استخراج کند. به گفته این پژوهشگران، مهاجم با داشتن یکی دو جفت Username و پسورد Hash شده در یک بانک اطلاعاتی- که البته کار غیر ممکنی نیست حتی اگر مهاجم ابزار دیگری غیر از تکنیک brute force نداشته باشد – قادر به نفوذ خواهد بود.


این دو محقق برای آزمودن فرضیه خود از یک دستگاه پنتیوم 4 با سرعت 2.8 گیگاهرتز استفاده کردند و متوجه شدند که از طریق آزمون و خطا ظرف مدت حداکثر 40 روز پسورد را می‌تواند هک کرد. در شرایط عادی معمولا نیمی از این زمان، یعنی حدود 20 روز برای این منظور کافی است.


رایت و سید در مقاله خود ضمن برشمردن راه‌های مختلف جلوگیری از سوء استفاده از این ضعف به کاربران سیستم اوراکل توصیه می‌کنند که پسوردهایی انتخاب کنند که طول آنها کمتر از 12 کاراکتر نباشد و حتما پسورد خود را هرازگاهی تغییر دهند.


به دنبال این تحقیق، مدیر تحقیقات مرکز Internet Storm Center در موسسه SANS‌ موضوع را به شرکت اوراکل اطلاع داده است. هنوز تا لحظه انتشار این خبر، شرکت اوراکل به آن واکنش نشان نداده است.


​​