Oracle Database Vault Es

OracleDatabaseVault:Fallasde diseo
OracleDatabaseVault:Elmundonoesdecolorrosaysoyroot!
JoxeanKoret
QuesDatabaseVault?
UnaformadeevitarqueelDBAveay/o manipuledatosfinancieros,fiscales,privados, etc... Obligatorioparacumplirciertasleyes(comola L.O.P.D.) Unadeclaracindeguerraparamuchos profesionales... Unseabrelavedaparalosinvestigadoresde seguridad

OracleDatabaseVault:Elmundonoesdecolorrosaysoyroot! JoxeanKoret
FallasdeDiseo
AdministradoryauditordeAuditVault SistemaOperativo Sistemadearchivos Sistemagestordebasededatos ElprotocolTNS
JoxeanKoret
AdministradoryAuditorde DatabaseVault
Lafallamssimpleyobvia

Quincontrolaalapolica? Quinessonaquasuntosinternos?
Yquincontrolaraaunhipotticodepartamentode controldeldepartamentodecontrol? Otrodepartamentodecontroldeldepartamentode controldeldepartamentodecontrol...,yasnveces?
JoxeanKoret
Fallas:SistemaOperativo
Elsistemadebasededatoscontina ejecutndosecomounnicousuariorealenel sistemaoperativo

Oracle(Unix/Linux) LocalSystem(Win32)
Elauditor,eladministradordedatabasevault, eladministradordesistemasylosusuariosse encuentranenelmismoespaciodeproceso

Eladministradordelabasededatospuede troyanizarelsistemaoperativo
Unaversintroyanizadadelalibreralibclntsh.so(o .dll) UnaversintroyanizadadelTNSListeneroun proxyjustodelantedelTNSListener UnaversintroyanizadadelalibreraOCI Unaversintroyanizadadecualquierotro componenteOracle

JoxeanKoret
Eladministradordesistemastieneelusuario OracleoLocalSystemenelsistemaoperativo
PuedeattacharsealprocesoOracleygrabarun registrodesusoperaciones Puedeponerbreakpointsenfuncionesascomo modificarelcomportamientodelabasededatos Puedecambiarvaloresdevariablesglobalesy locales,ascomoelUIDdeunasesinSQL,etc... Puedehacerloqueledlagana...

JoxeanKoret
Fallas:SistemadeArchivos
ElDBAtieneaccesoalsistemadearchivos

Puedeleerymodificarlosdatafilesencrudo Existenmltiplesherramientasylibreras
DataUnloader
HerramientadelapropiaOracle http://www.ora600.nl/introduction.htm
DUDE(DatabaseUnloadingbyDataExtraction)
JoxeanKoret
Fallas:Sistemadearchivos
Puedecopiarselabasededatosalcompleto

RMAN ALTERTABLESPACEXXXBEGINBACKUP EXP/IMPyanolevalensiempre,pero... PuedeusarRMANofastidiarapostaundatafiley ponersuversinmanipulada
Puedereimportarselabasededatos

DespusunRECOVERUNTILCANCELyyaest:)
JoxeanKoret
Problemas
Lamodificacindedatosencrudoyposterior recuperacin(fundamental)llamaralaatencinde cualquiera Losdatospuedenirencriptadosdirectamenteen losdatafiles
JoxeanKoret
Soluciones
Sielmecanismodeencriptadoestenlabasede datossetroyanizalabasededatosoelsistema operativo Seesperaaunafalladelsistemarealparano levantarsospechas
Siemprelashay,porsuerteypordesgracia
Siemprehaysolucionesaestetipode problemas:)
Fallas:Sistemagestordebasede datos
UnavezinstaladalaopcinDatabaseVaultse haceuncoazotroyanizarPL/SQL Mejorponereltroyanoantesdeimplantar DatabaseVault:)
Durantelafasedepruebasotest
DondeseintentaponerDatabaseVaultsuelentener entornodepruebasytest,asquenoesunproblema;)
Pero...Qutroyanizar?
Fallas:(Sistemagestordebasede datos)Qutroyanizar?
DBMS_OBFUSCATION_TOOLKIT
Todoloqueseencripteconestepaquetepuede sergrabadoenotrositio... Aslosadministradoresyauditoresdedatabase vaultnosedarncuentadenada Solovernloqueledejemosnosotros
Vistas*_USERS,*_PRIVS
DBMS_STANDARD,porejemplo...
Fallas:(Sistemagestordebasede datos)PuertasTraseras
UnpaquetePL/SQLwrappedantesdela instalacindeDatabaseVault

Quenosdelosprivilegiosquequerramos... QueborrehuellasdeSYS.AUD$oquecreehuellas falsasenfuncindenuestrasnecesidades...
Endefinitiva:Quenosdevuelvaelpoderque eranuestro;)
JoxeanKoret
Fallas:Sistemagestordebasede datos
Siemprepodemostroyanizarlabasededatos
Comoyasehacomentadoantes
libclntsh.(so|dll) oracle[.exe] libocci.[so|dll] libnnz11.[so|dll] extjob[.exe] sqlplus[.exe]
JoxeanKoret
Fallas:(Sistemagestordebasede datos)Hooks
Elproblemadeparchear/troyanizarlibreras, binariosyPL/SQLesquehayquehacerlocada vezqueseapliqueunparche Mejorhacernosunaherramientaquehookee ciertasllamadas

oci_prepare_stmt Todaslasfuncioneskk*delabasededatos
Noesbroma,lasfuncionesdelkerneltieneneseprefijo
JoxeanKoret
Fallas:ElprotocolTNS
Algunosrulesetsebasanenciertosatributos delaconexinestablecidaparadeterminarsi setieneonoprivilegiopararealizaralgo:
DireccinIP,nombredeusuario,usuariodel sistemaoperativo,nombredelamquinacliente, programacliente,etc... Nuncahansidofiablesy,cambiarestafallade diseocondecenasdeaosnoestrivial

JoxeanKoret
LosdatosvienendecamposdelprotocoloTNS
Fallas:ElprotocolTNS
UnpaqueteTNSdeejemplo:
(CONNECT_DATA=(CID=(PROGRAM=)(HOST=192.1 68.1.5)(USER=oracle))(COMMAND=connect)(ARGUM ENTS=64)(SERVICE=LISTENER)(PROGRAM=java)(V ERSION=169869568))
Elusuariodelsistemaoperativolomarcamoscomo oracle,elprogramacomojavayladireccinIP como192.168.1.5
SoncamposdeunpaqueteTNS,fcilmente manipulables
JoxeanKoret
Conclusiones
Polticamentecorrectas

Anesuntantoinmaduro Recomiendoprudencia Esunagilipollez SiempreexistirnmilunmodosdequeelDBAoel administradordelamquinasepasenlos mecanismosporelarcodeltriunfo

JoxeanKoret
Polticamenteincorrectas

Solucionesalasfallasdediseo
Paraqueestofueseaselrootoeladministradornodeberatener privilegiosparahacerloquequisieraenelsistemaoperativo Elkerneltendraqueestarmscercadelusuariofinalparaquello pudieraacomodaryparametrizarasusrequisitosdeseguridad (espera,quememeo...) SistemasoperativoscomoPlan9(dondeseramsfcilhacereste tipodecosas)nosonmuyconocidosyOracle,queyosepa,notiene visosdeportarsusoftwareadichaplataformanunca Lasolucinmenosdrsticaesunmdulodelkernel,nounprograma deusuario,yunaseparacindeusuariosyprivilegiosporusuario real,comomnimo Detodosmodos,siempreexistirnotrosmodosdesaltarsetodoesto
Fin
Pueseso;)Cualquierduda,sugerenciao comentarioamicuentadecorreo: joxeankoret@yahoo.es
JoxeanKoret

Oracle Database Vault Es

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Oracle Database Vault Es

Cargado por

Copyright:

Formatos disponibles

OracleDatabaseVault:Fallasde diseo

UnaformadeevitarqueelDBAveay/o manipuledatosfinancieros,fiscales,privados, etc... Obligatorioparacumplirciertasleyes(comola L.O.P.D.) Unadeclaracindeguerraparamuchos profesionales... Unseabrelavedaparalosinvestigadoresde seguridad

AdministradoryauditordeAuditVault SistemaOperativo Sistemadearchivos Sistemagestordebasededatos ElprotocolTNS

Yquincontrolaraaunhipotticodepartamentode controldeldepartamentodecontrol? Otrodepartamentodecontroldeldepartamentode controldeldepartamentodecontrol...,yasnveces?

Elsistemadebasededatoscontina ejecutndosecomounnicousuariorealenel sistemaoperativo

Elauditor,eladministradordedatabasevault, eladministradordesistemasylosusuariosse encuentranenelmismoespaciodeproceso

Unaversintroyanizadadelalibreralibclntsh.so(o .dll) UnaversintroyanizadadelTNSListeneroun proxyjustodelantedelTNSListener UnaversintroyanizadadelalibreraOCI Unaversintroyanizadadecualquierotro componenteOracle

PuedeattacharsealprocesoOracleygrabarun registrodesusoperaciones Puedeponerbreakpointsenfuncionesascomo modificarelcomportamientodelabasededatos Puedecambiarvaloresdevariablesglobalesy locales,ascomoelUIDdeunasesinSQL,etc... Puedehacerloqueledlagana...

RMAN ALTERTABLESPACEXXXBEGINBACKUP EXP/IMPyanolevalensiempre,pero... PuedeusarRMANofastidiarapostaundatafiley ponersuversinmanipulada

Lamodificacindedatosencrudoyposterior recuperacin(fundamental)llamaralaatencinde cualquiera Losdatospuedenirencriptadosdirectamenteen losdatafiles

Sielmecanismodeencriptadoestenlabasede datossetroyanizalabasededatosoelsistema operativo Seesperaaunafalladelsistemarealparano levantarsospechas

UnavezinstaladalaopcinDatabaseVaultse haceuncoazotroyanizarPL/SQL Mejorponereltroyanoantesdeimplantar DatabaseVault:)

Todoloqueseencripteconestepaquetepuede sergrabadoenotrositio... Aslosadministradoresyauditoresdedatabase vaultnosedarncuentadenada Solovernloqueledejemosnosotros

Quenosdelosprivilegiosquequerramos... QueborrehuellasdeSYS.AUD$oquecreehuellas falsasenfuncindenuestrasnecesidades...

libclntsh.(so|dll) oracle[.exe] libocci.[so|dll] libnnz11.[so|dll] extjob[.exe] sqlplus[.exe]

Elproblemadeparchear/troyanizarlibreras, binariosyPL/SQLesquehayquehacerlocada vezqueseapliqueunparche Mejorhacernosunaherramientaquehookee ciertasllamadas

Algunosrulesetsebasanenciertosatributos delaconexinestablecidaparadeterminarsi setieneonoprivilegiopararealizaralgo:

DireccinIP,nombredeusuario,usuariodel sistemaoperativo,nombredelamquinacliente, programacliente,etc... Nuncahansidofiablesy,cambiarestafallade diseocondecenasdeaosnoestrivial

(CONNECT_DATA=(CID=(PROGRAM=)(HOST=192.1 68.1.5)(USER=oracle))(COMMAND=connect)(ARGUM ENTS=64)(SERVICE=LISTENER)(PROGRAM=java)(V ERSION=169869568))

Elusuariodelsistemaoperativolomarcamoscomo oracle,elprogramacomojavayladireccinIP como192.168.1.5

Anesuntantoinmaduro Recomiendoprudencia Esunagilipollez SiempreexistirnmilunmodosdequeelDBAoel administradordelamquinasepasenlos mecanismosporelarcodeltriunfo

Pueseso;)Cualquierduda,sugerenciao comentarioamicuentadecorreo: joxeankoret@yahoo.es

También podría gustarte