U bent hier: Home > Blog > security

Wat u moet weten over Oracle’s recente security bug

Marcel-Jan Krijgsman, 11 mei 2012

Vorige week is een security bug in de Oracle database in het nieuws gekomen, bekend onder de code CVE-2012-1675. Omdat we vragen van meerdere klanten hierover gehad hebben, willen we in deze blogpost hier nog even op in gaan.

Wat is de bug?
Volgens de beschrijving van het security lek is het mogelijk buiten je database server een listener te configureren die als een remote listener geregistreerd wordt aan een database. Waarom heeft Oracle die funtionaliteit destijds toegevoegd? Antwoord: Real Application Clusters, of RAC. Een RAC bestaat nu eenmaal uit meerdere machines  met listeners die onderdeel maken van het RAC.

Een hacker kan een remote listener gebruiken om het netwerkverkeer naar de database af te luisteren. (meer…)

Oracle Database Express Edition: nooit op productie

Marcel-Jan Krijgsman, 7 november 2011

Als je een Oracle database nodig hebt, dan heb je keuze uit verschillende edities. De keuze voor een editie hangt af van de gewenste features en er is een kostenafweging. Enterprise Edition is vaak de keuze voor data warehouses en als je Data Guard nodig hebt. Ook heb je Enterprise Edition nodig als je bepaalde Enterprise Manager packs gebruikt, zoals Diagnostics Pack en Tuning Pack. Standard Edition is een stuk goedkoper en als je geen bijzondere features uit Enterprise Edition nodig hebt, waarom niet? Veel klanten van ons werken er zonder moeite mee.

En dan is er nog Oracle Database Express Edition (XE) en die is gratis. Er zijn wat beperkingen aan (max 1 Gb geheugen en 11Gb user data), maar voor een gemiddelde applicatie voldoet hij prima. Bovendien is Oracle 11g Release 2 XE al uit.

Toch zal ik Express Edition nooit aanbevelen voor een productie systeem. De reden is beveiliging. Bij Oracle XE heb je geen support contract en dus kun je geen patches downloaden. Dus kun je qua beveiliging loop je meer en meer achter. (meer…)

Inbraak in een Oracle database detecteren met een honeypot

Marcel-Jan Krijgsman, 16 mei 2011

In februari kwam een inbraak in het nieuws bij beveiligingsbedrijf HBGary Federal. Dit bedrijf adviseert de Amerikaanse overheid hoe hun websites beveiligd moeten worden. Er waren voor die tijd aanvallen geweest van hackerscollectief Anonymous op bedrijven die WikiLeaks dwars zaten. De CEO van HBGary zei in de pers te weten wie de leiding achter Anonymous was en dat hij dit in de openbaarheid zou brengen. Hij had het nog niet gezegd of Anonymous begon een aanval tegen de websites van HBGary. Die aanval lukte op de site van HBGary Federal.

Om extra zout in de wonden de wrijven, deed een lid van Anonymous, een 15-jarig meisje, tegenover de site Ars Technica uit de doeken hoe de aanval gelukt was. Ze was begonnen met het zoeken van SQL injection lekken in de website. SQL injection is een methode waarin een hacker in een invoerveld of URL, of een andere plek waar data ingevoerd wordt, een stuk SQL toevoegt. Als de website/applicatie lek is voor SQL injection, kan het zijn dat een hacker met een UNION ALL een andere tabel kan uitlezen. Op deze manier las zij een gebruiker tabel uit, waaruit ze e-mail adressen van alle gebruikers haalde en ook versleutelde wachtwoorden. Die wachtwoorden wist ze te ontsleutelen, waarna ze met dat wachtwoord ook de mail van de CEO kon lezen en sturen, maar dat is een ander verhaal. Lees het artikel van Ars Technica maar eens.

(meer…)

Inbraak detecteren in de Oracle listener log

Marcel-Jan Krijgsman, 28 april 2011

Ik heb wel eerder beschreven dat je uit de listener log auditing informatie kunt halen. Maar er is meer uit de listener.log te halen. In de listener log komen soms ook foutmeldingen voor. Sommige meldingen echter, zouden in een normale situatie niet voor mogen komen. Bijvoorbeeld deze:

TNS-12505: TNS: listener does not currently know of SID given in connect descriptor.

Dit betekent dat iemand een connectie probeert te maken, maar de instancenaam niet goed kent of gespeld heeft. Het kan een teken zijn dat iemand zit te rommelen. Als er waslijsten van TNS-12505 meldingen langs komen, dan is iemand bezig een brute force aanval uit te voeren.

05-APR-2011 15:45:24 * (CONNECT_DATA=(SID=SA2)(CID=(PROGRAM=)(HOST=__jdbc__)(USER=))) * (ADDRESS=(PROTOCOL=tcp)(HOST=server1)(PORT=6014)) * establish * SA2 * 12505
TNS-12505: TNS:listener does not currently know of SID given in connect descriptor.
05-APR-2011 15:45:24 * (CONNECT_DATA=(SID=SA3)(CID=(PROGRAM=)(HOST=__jdbc__)(USER=))) * (ADDRESS=(PROTOCOL=tcp)(HOST=server1)(PORT=6015)) * establish * SA3 * 12505
TNS-12505: TNS:listener does not currently know of SID given in connect descriptor.
05-APR-2011 15:45:24 * (CONNECT_DATA=(SID=SA4)(CID=(PROGRAM=)(HOST=__jdbc__)(USER=))) * (ADDRESS=(PROTOCOL=tcp)(HOST=server1)(PORT=6016)) * establish * SA4 * 12505
TNS-12505: TNS:listener does not currently know of SID given in connect descriptor.

(meer…)

Beveiligingslek geconstateerd? Trakteer op taart!

Marcel-Jan Krijgsman, 10 januari 2011

Als beveiligingsbewuste IT-er kom je allerlei zaken tegen waarvan de beveiliging een stuk beter kan. Om een voorbeeld te geven: een applicatie logt in met een user die eigenaar is van alle tabellen, views, packages en procedures en het wachtwoord is niet alleen niet complex, maar ook al jaren niet gewijzigd. En niemand durft dat wachtwoord aan te passen, want niemand weet precies meer welke  applicaties en  jobs inloggen met dat wachtwoord. Klinkt bekend?

Ik kwam zelf ook eens zo’n situatie tegen. Ik wist dat het wachtwoord van een belangrijke applicatie-user niet gewijzigd was sinds deze aangemaakt was. Pleidooien om het wachtwoord eens te veranderen stuiten op verzet van het management. Men vond het risico voor de continuïteit te groot. (meer…)

Zo hack je Java in de Oracle database

Marcel-Jan Krijgsman, 14 december 2010

Over het al of niet installeren van Oracle’s Critical Patch Updates is altijd veel discussie. Zijn hacks die zo’n CPU oplost niet veel te moeilijk voor normale mensen? Zijn die niet meer iets voor zeer gespecialiseerde hackers? Ikzelf zou zeggen dat,  zolang je dat niet zeker weet, dat je de CPU zeker moet installeren. Tel daarbij mijn eerder gemaakte punt over mogelijke Oracle wormen op.

Maar misschien gaat het idee meer leven als je zelf eens een hack uitprobeert. Op een veilige oefenomgeving uiteraard. De nu volgende hack is al sinds februari 2010 bekend. Hij is gepresenteerd en gepubliceerd door David Litchfield, een bekende onderzoeker van database security. De volgende hacks lijken misschien wat moeilijk (of niet), maar al deze code is dus gewoon voor handen op Internet. Voor ik beschrijf hoe de hack werkt, moet ik echter nog een ding kwijt.
(meer…)

Waarom de Stuxnet-worm ons ook aan gaat

Marcel-Jan Krijgsman, 21 oktober 2010

Virussen zijn niets nieuws. Je wordt ermee besmet door een bijlage van een mail te openen of het virus wordt doorgegeven via USB-sticks en dergelijke. Wormen kunnen na een besmetting zichzelf doorgeven via lekken in het operating system of in applicaties. Ook een RDBMS kan in principe een speciaal daarvoor geschreven worm doorgeven. Zo was er in 2002 en 2003 de Slammer/Saphire worm die een lek in MS SQL Server en MSDE 2000 gebruikte en het default sa-wachtwoord (het admin account van SQL Server). Binnen heel veel organisaties had men dat wachtwoord nooit gewijzigd. De Slammer/Sapphire worm kon in razendsnel tempo zoeken naar nieuwe SQL Server systemen en wist daarmee in januari 2003 binnen een half uur grote delen van Internet plat te leggen.

(meer…)

Hoe paspoortgegevens van Engelse voetbalfans gestolen werden

Marcel-Jan Krijgsman, 30 september 2010

Vrijdag 10 september kwam in het nieuws dat de paspoortgegevens en aanverwante gegevens van 35.000 Engelse voetbalfans – die op het WK 2006 waren geweest – gestolen zijn bij de FIFA en verkocht op de zwarte markt. Met welk doeleinde weten we niet, maar kennelijk was er een markt voor.

Hoe kregen de daders dat voor elkaar? Niet met een hack op de firewall, niet met SQL injection, niet door de beveiliging uit te zetten met een denial-of-service attack. Nee, er zijn aanwijzingen dat de kraak is gepleegd door één of meer medewerkers van de FIFA zelf, met als doel zichzelf te verrijken. Het vermoeden bestaat dat medewerkers gebruik gemaakt hebben van bestaande privileges die hen ter beschikking stonden en die privileges waren waarschijnlijk veel ruimer dan de medewerkers strikt nodig hadden. (meer…)

De keuze van een wachtwoord

Marcel-Jan Krijgsman, 20 september 2010

Laatst zag ik de Bond-film Casino Royale (2006). In de film moet 007, gespeeld door Daniel Craig, een wachtwoord verzinnen waarmee hij de meer dan honderd miljoen Engelse ponden die hij heeft gewonnen met een “spelletje poker” moet beveiligen. Aan het eind van de film blijkt welk wachtwoord dat was. Zal ik het verklappen? Ach, zo moeilijk is het ook weer niet. Het was gewoon de voornaam van de dame die in zijn gezelschap was. Verrassend.

James Bond is niet de enige die zwakke wachtwoorden kiest. Ik zie het overal. Na de film bedacht ik dat bij goede security de volgende Bond-film (als die er komt. MGM zit op zwart zaad) er heel anders komt uit te zien. (meer…)

Een geleerde les over security: bewustzijn

Marcel-Jan Krijgsman,

Als Oracle database specialist heb ik me in de loop van de jaren toegelegd op performance tuning en database security. Ik moet er wel eens om glimlachen in hoeverre die vakgebieden totaal van elkaar verschillen. Vooral op politiek gebied. Als een organisatie lijdt onder de slechte performance van een applicatie, gaat de rode loper uit. Niets zal u in de weg lopen, als u het maar oplost.

Security is een andere wereld. Organisaties moeten steeds vaker voldoen aan beveiligingsstandaarden en wetten, zoals PCI-DSS (credit cards), ISO 27001 en NEN 7510 (patiëntendossiers). Standaards en richtlijnen zijn een stok achter de deur, maar geen garantie voor enthousiasme. (meer…)