SKY-net

Теги: Google, хакер, пароль

Google может значительно облегчить хакерам взлом паролей по их MD5-хэшам, выяснил исследователь Кэмбриджского университета Стивен Джей Мердок (Steven J. Murdoch).

Г-н Мердок, опубликовавший недавно информацию об уязвимости в WordPress, открыл ее после того, как блог компьютерной лаборатории университета, «Light the Blue Touch Paper», работающий под управлением этого популярного движка, был взломан неизвестным хакером.

Исследователь обнаружил возможность Google в процессе устранения последствий взлома блога компьютерной лаборатории, «Light the Blue Touch Paper», работающего под управлением WordPress. Атакующий, прежде чем получить несанкционированный доступ, создал в блоге учетную запись. Пароли к учетным записям хранятся в WordPress в виде хэшей, выполненных по алгоритму MD5. Их нельзя восстановить, но можно подобрать, свернув слово из словаря и сравнив его с хэшем пароля.

Проведя безуспешную словарную атаку на пароль, г-н Мердок ввел хэш в Google и нашел несколько сайтов, где этот хэш соответствовал слову «Anthony». Исследователь затем написал программу, которая обращается за паролями к Google.

Подобный подбор, однако, можно провести не для каждой системы: обычно хэши содержат дополнительное число, так называемый «salt», который делает свертки двух одинаковых паролей совершенно разными. Найти подобную нужную комбинацию в Google маловероятно.

Уязвимость в WordPress была обнародована исследователем отдельно.

www.securitylab.ru

Опубликовано 23.11.2007 12:26 и размещено в рубрике Безопасность. Вы можете следить за комментариями, подписавшись на RSS 2.0 ленту этого сообщения. Комментирование закрыто.

публикации сходной тематики

• У блог-движка WordPress появилась некоммерческая организация
• WordPress может стать социальной сетью
• “Юбилей” Wordpress: миллионный блог
• WordPress.org меняет пароли пользователей
• Хакеры используют уязвимость в Wordpress для фишинг атак через поисковые системы