Un worm mira ai database di Oracle

In una nota mailing-list di sicurezza è apparso il codice di un worm che prende di mira i database di Oracle tentando di bypassare il sistema di autenticazione. Il vermicello è quasi innocuo, ma gli esperti temono eventuali varianti

Roma - In questi giorni è finito sotto la lente della comunità di esperti di sicurezza quello che, secondo molti, è il primo worm a prendere di mira i database di Oracle. Il suo codice, apparso per la prima volta sulla nota mailing-list di sicurezza Full Disclosure, è in grado di scandire la Rete alla cerca di un database Oracle e, quando ne trova uno, tentare di autenticarsi nel sistema utilizzando varie combinazioni di password e username predefiniti.

Il worm è stato scritto a scopo dimostrativo, e come tale è praticamente innocuo. Il timore degli esperti, però, è che i virus writer possano trarre ispirazione da questo esempio per creare minacce ben più efficaci e pericolose. Ad accrescere la preoccupazione interviene il fatto che proprio pochi giorni fa due ricercatori, uno del SANS Institute ed uno della University of London, hanno pubblicato un documento in cui dimostrano come l'algoritmo di cifratura delle password utilizzato da Oracle porga il fianco a vari tipi di attacco.

"Un aggressore con risorse limitate può lanciare un attacco di forza bruta in grado di rivelare, partendo dall'hash della password di un utente noto, la relativa password in chiaro", hanno scritto Joshua Wrigh e Carlos Cid nella propria ricerca.
I due esperti raccomandano alle aziende di cambiare con frequenza le password e utilizzare parole con un minimo di 12 caratteri. Un suggerimento che si fa ancora più urgente ora che il sistema di log-in dei database di Oracle potrebbe finire nel mirino dei creatori di worm. Se il worm proof of concept pubblicato su Full Disclosure si limita infatti a tentare di accedere ad un database utilizzando gli account di default, eventuali varianti potrebbero tentare di indovinare le password mediante attacchi di forza bruta.

A differenza del tristemente celebre SQL Slammer, che nel 2002 fece strage di sistemi con Microsoft SQL Server 2000, gli esperti hanno spiegato che il worm per Oracle potrebbe avere effetti ben più devastanti, quali la corruzione o la cancellazione dell'intero database: per una media o grande azienda ciò potrebbe tradursi in un danno incalcolabile.
TAG: sicurezza
15 Commenti alla Notizia Un worm mira ai database di Oracle
Ordina
  • Sembra di si, a giudicare dai post di qualche cerebroleso che vedo qua in giro.

    a forza di sostenere bill gates vi è andato in pappa il cervello. Dopotutto è giusto che sia così, lo stesso Bill Gates afferma che il computer lo devono usare anche gli imbecilli: beh, obbiettivo raggiunto!
    non+autenticato
  • Ho dato un'occhiata al codice e diciamo che la novità sta solo nel fatto che questa volta la han fatto in Oracle PLSQL e quindi si potrebbe sfruttare il DB per duplicare il vermetto in forma di stored procedure senza dover arrivare al file system, quindi sposta maggiormente il fuoco della security sulle password degli Oracle users.

    Nell'articolo e anche sul web han fatto un pò un mischione tra questo worm e il fatto che il sistema di encryption delle password di Oracle non è solidissimo ma il codice di questo worm non è assolutamente basato su questo.

    E' vero che se bucasse su un utente non-DBA ma con discrete capabilities potrebbe andarsi a vedere la password criptate nel data dictionary ed è dimostrato che in pochi minuti con un normale PC si decripta una password di Oracle di 8 caratteri alfabetici però se vedi le password criptate stai già vedendo troppo nel mio DBSorride

    La realtà è che beccare la porta di Oracle su una macchina e farsi dire i nomi delle istanze Oracle presenti (SID) è fin troppo facile, lo user SYSTEM deve esistere e quindi poi manca solo la password da forzare.
    Il sorgente che han pubblicato è solo un proof-of-concept che ci prova con gli user di default, ma modificare quel pezzo di PLSQL e farlo loopare solo sullo user system è banale e se la password non è più che solida e se non hai sistemi esterni che ti evidenziano i troppi tentativi di connessione falliti prima o poi ti bucano soprattuto se chi ti vuol bucare dispone di una botnet di qualche migliaio di PC.

    Il problema per chi deve tenere aperta quella porta di Oracle all'esterno con dati "seri" è piuttosto noto e dovrebbe avere già preso tutte le precauzioni, si spera!
    non+autenticato
  • - Oracle "gira" sia su Linux, sia su Windows
    - il "bug" rilevato, tale nn è, se il dba configura passwd nn standard e nn binda la porta d defaul 1521 (che d fisso sarà l'unica alla quale detto worm tenta, x ora, d accedere)
    - i bug sono ben altri che 1 password settata a membro d segugio...

    ahhhhh la tauromachia!
    KC
    91
  • Difatti un worm di questo tipo è possibile anche su altri DB - ammesso che abbiano come Oracle un "package" per usare direttamente TCP/IP da una stored procedure.

    È *ovvio* che una volta che hai accesso con privilegi elevatissimi ad un DB puoi fare quello che vuoi.

    Da notare che le password utilizzate sono quelle che venivano automaticamente create durante l'installazione fino alla versione 8. Dalla 9 in poi (siamo alla 10 release 2) l'installer chiede le password all'utente alla fine dell'installazione. Se questo mette quelle vecchie è totalmente deficiente. Inoltre altri account dal worm usati sono bloccati e vanno sbloccati manualmente. Lo schema "SCOTT" non deve *mai* essere installato su un DB di produzione.

    Quanto all'algoritmo delle password, Oracle permette di usare diversi sistemi di autenticazione, non solo le password memorizzate localmente - anche se ciò non li esime certo dal migliorare l'algoritmo una volta dimostrata la vulnerabilità di quello attuale.

  • - Scritto da: ldsandon

    > sbloccati manualmente. Lo schema "SCOTT" non deve
    > *mai* essere installato su un DB di produzione.

    "tiger"!
    Ho vinto qualche cosa?Sorride

    non+autenticato
  • Cosa c'entra un bug di oracle con linux e con l'open source, a me sembra dal sito che sia un programma closed e c'è anche su windows.

    O vi siete bevuti tutti il cervello e i post anti linux non avendo spunti ve li inventate o mi sono sbagliato e oracle è open e comunque se lo fosse che c'entra linux.
    non+autenticato
  • però i tarli ce li ha
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)