{"id":451,"date":"2007-12-31T18:59:18","date_gmt":"2007-12-31T16:59:18","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/451-24c3-latest-trends-in-oracle-security"},"modified":"2018-05-31T16:38:17","modified_gmt":"2018-05-31T15:38:17","slug":"24c3-latest-trends-in-oracle-security","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/451-24c3-latest-trends-in-oracle-security","title":{"rendered":"24C3: Latest Trends in Oracle Security"},"content":{"rendered":"

Alexander Kornbrust<\/a> ist neben David Litchfield vermutlich der wichtigste Oracle Sicherheitsexperte den wir haben. Wenn von ihm ein Vortrag zu Oracle Security<\/a> kommt, dann kann man eigentlich immer etwas wichtiges erwarten.<\/p>\n

Zu Beginn gab es einen kurzen Abriss zu alten L\u00fccken, insbesondere PL\/SQL-Injecion-Fehler. Hier hat Oracle in den letzten Jahren \u00fcber 1000 Fehler behoben und verwendet inzwischen einen Fortify-Sourcecode-Scanner um weitere L\u00fccken zu erkennen. Das Spiel hei\u00dft jetzt nicht mehr „Hacker gegen Oracle“ sondern „Hacker gegen Fortify“. Dummerweise ist der PL\/SQL-Code der nicht von Oracle ist weiterhin dramatisch schlecht da die Entwickler in den Unternehmen nur auf ihre Business-Logik achten und teilweise noch nie von SQL-Injection geh\u00f6rt haben. Eine einzige L\u00fccke reicht einem Angreifer jedoch aus um die komplette Datenbank zu \u00fcbernehmen.<\/p>\n

Eie weitere Fehlerklasse hat David Litchfield auf der Black Hat DC 2007<\/a> vorgestellt, dort nutzte er eine L\u00fccke im Cursor aus die jedoch inzwischen behoben ist. Der Hack zeigt jedoch, dass weiterhin mit L\u00fccken zu rechnen ist und immer mehr Angriffe automatisiert werden.<\/p>\n

Ein Thema mit dem sich Alexander als erster intensiv besch\u00e4ftigt hat sind „Database Rootkits“. Dabei werden einzelne Eintr\u00e4ge wie Benutzer und Passw\u00f6rter oder Jobs in der Datenbank versteckt. Diese Rootkits haben dar\u00fcber hinaus den Vorteil, plattformunabh\u00e4ngig und nur datenbankspezifisch zu sein. Eine Variante ist die Modifikation der Database-Views. Die meisten Tools verwenden Views um auf die Inhalte von Tabellen zu kucken. Ein Eintrag kann so in einem View verborgen werden w\u00e4hrend er in der Tabelle selbst weiter enthalten ist. Es gibt inzwischen sogar kommerzielle DB-Rootkits<\/a>, z.B. von Argeniss, inzwischen von Gleg aufgekauft<\/a>. Von Paul Wright<\/a> (PDF) gibt es ebenfalls ein Rootkit-Whitepaper, au\u00dferdem eine neue Methode von David Litchfield, der im Memory<\/a> (PPT) einzelne Funktionen patcht.<\/p>\n

Die wichtigsten Probleme aktuell sind:<\/p>\n