5 coisas que você não sabia sobre o backup em nuvem
Dados muito incensado característica redação Defcon 22 da Oracle no banco de dados 12c é fácil subverter sem a necessidade de usar código de exploração, os participantes na Defcon 22 em Las Vegas já ouviu falar.
Os recursos de redação em 12c são projetados para proteger automaticamente o material do banco de dados sensíveis por qualquer coluna de dados totalmente obscurecimento ou parcialmente mascará-lo - por exemplo, recordando apenas os quatro últimos dígitos de um número de segurança social dos Estados Unidos, quando uma consulta de pesquisa é executado.
Mas de acordo com David Litchfield, especialista em segurança no Datacomm TSS e autor do Manual do Hacker Oracle, o mecanismo é tão cheia de falhas básicas que você nem precisa para executar nativa código de exploração para derrotar a redação - alguns SQL inteligente é tudo o que é necessário, dizem-nos.
"Se a Oracle tem um ciclo de vida de desenvolvimento de segurança decente no lugar alguém teria encontrado essas falhas e parou-los em faixas", disse Litchfield.
"Qualquer pessoa com um mínimo de SQL teria encontrado esses erros."
Litchfield disse que dentro de cinco minutos de investigar o sistema de redações, encontrou sérias falhas na codificação. Ele está documentado suas descobertas aqui [PDF] .
Ele demonstrou como com algumas teclas simples de um empregado mal - ou alguém capaz de injetar consultas SQL remotamente - pode ganhar privilégios suficientes para derrotar redação de dados, e obter acesso à informação no banco de dados.
Ele zombou de afirmação da Oracle Larry Ellison patrão em janeiro que ninguém tinha cortado um banco de dados Oracle em duas décadas para o seu conhecimento. Litchfield afirmou que o 2011 Sony PlayStation Network ataque de hackers que levou a rede fora do ar por quase dois meses foi rastreada até um banco de dados Oracle.
Como um pesquisador de segurança, Litchfield disse que sempre relatou falhas de fornecedores que encontrava. Mas ele expressou frustração que a Oracle era lento para consertar, e quando o fez dar a volta a emitir correções que foram quebrados ou incompletos.
Normalmente, os engenheiros da Oracle vai corrigir contra o código de exploração, em vez de fixar a falha fundamental, ele disse ao público Defcon na sexta-feira. Esta não é uma boa abordagem desde pequenas mudanças para código de exploração pode derrotar as novas proteções.
Litchfield apontou para a Microsoft como um exemplo do que poderia ser feito em segurança de banco de dados. Na sequência do memorando de segurança Bill Gates, toda a equipe de desenvolvimento do SQL 2005 parou de trabalhar e passou por cima códigos antigos com uma revisão de segurança.
O resultado abaixo da linha era de que as correções e falha de detecção em Microsoft SQL caiu drasticamente, eo código de segurança do IIS e Exchange também foi muito melhorada. A Oracle deve tomar uma folha fora do livro de Redmond quando se trata de segurança, ele sugeriu, e os clientes devem exigir mudanças.
"Se você estiver executando servidores de banco de dados Oracle e não gosto da maneira como eles estão tratando-lo em segurança, em seguida, pegar o telefone para eles, porque nós realmente precisamos resolver isso", concluiu.
Entende-se a Oracle não foi totalmente corrigido os erros descritos por Litchfield. O gigante banco de dados não estava imediatamente disponível para comentar o assunto. ®
via Alimentação (Feed)
Nenhum comentário:
Postar um comentário