Demonstration von Sicherheitsexperte László Tóth bei der Budapester Hacktivity von 17. bis 19. September.

Foto: soonerorlater.hu

Im Rahmen einer Präsentation (PDF) auf der diesjährigen Hacktivity-Konferenz in Budapest legte der Sicherheitsexperte László Tóth die Auditing-Funktionen von Oracles Datenbank lahm. Dafür nutzte er den Befehl oradebug, der bei jeder Oracle-Installation vorhanden ist, wie heise berichtet. Tóth entwickelte das woraauthbf Tool, das zur Zeit seiner Veröffentlichung am schnellsten Oracle-Passwörter knacken konnte.

Poke

Mit Auditing werden Datenbankaktionen protokolliert, um im Falle von Manipulationen diese zurückzuverfolgen. Tóth demonstrierte, wie sich mit dem Befehl Poke, das Auditing für System-Benutzer mit Privilegien wie SYSDBA und SYSOPER deaktivieren lässt. Bedingung ist dabei das für einen Datenbank-Admin leicht zugängliche SYSDBA-Privileg.

SQL

Liest man via SQL-Statement die Speicheradresse einer Systemvariablen aus der Tabelle X$KSMFSV, und setzt sie auf Null, wird das Datenbank-Auditing abgeschaltet.

SQL> oradebug poke 0×60031bb0 1 0
BEFORE: [060031BB0, 060031BB4) = 00000001
AFTER: [060031BB0, 060031BB4) = 00000000

"Beinahe nutzlos" seien deshalb Oracle-Produkte wie Audit Vault, die auf den Auditing-Funktionen der Datenbank aufsetzen, wie Oracle-Sicherheitsexperte Alexander Kornbrust warnt. (ez)