28.10.2005 12:07
Schwacher Passwortschutz in Oracle
Die Passwörter in Oracle-Datenbanken werden nur unzureichend durch ein leicht angreifbares Verfahren geschützt, berichteten die Sicherheitsexperten Joshua Wright vom SANS und Carlos Sid von der Universität London auf einer Sicherheitskonferenz des SANS in Los Angeles.
Als so genanntes Salt für die Passwort-Hash-Berechnung, das dafür sorgen soll, dass ein und dasselbe Passwort mit unterschiedlichen Hashes abgebildet wird, besteht nur aus dem Benutzernamen – beispielsweise SYSTEM für das Systemkonto. Der Schlüsselraum verkleinert sich dadurch weiter, dass der Algorithmus die Zeichenketten in Großbuchstaben umwandelt. Der propietäre Hash-Algorithmus, der von Dritten analysiert und offen gelegt wurde, enthält selbst zwar keine Schwachstelle, die Berechnung der Hashes sollen sich jedoch sehr schnell durchführen lassen.
Auf einem Pentium 4 mit 2,8 GHz schafften die beiden Experten mit einer modifizierten OpenSSL-Variante, die Oracles Hash-Algorithmus nachbildet, 830.000 Passwörter in der Sekunde. Schlechtestenfalls benötigt ein Angriff auf einen Hash eines acht Zeichen langen Benutzernamens mit einem ebenfalls acht Zeichen langen Passwort so 38 Tage. Durchschnittlich seien Passwort-Hashes nach etwa 20 Tagen geknackt, hieß es. Durch den Einsatz von Rainbow Tables, also vorberechneten Passwörtern, lässt sich ein Angriff sogar auf wenige Minuten verkürzen. Da als Salt der Benutzername zum Einsatz kommt, lassen sich derartige Rainbow Tables für bekannte Konten wie SYSTEM anlegen.
An die Passwort-Hashes zu gelangen ist meist nicht kompliziert. Der Netzwerkverkehr zwischen Client und Datenbankserver lässt sich mitschneiden und auswerten, sofern keine Verschlüsselung zum Einsatz kommt. Die zahlreichen Updates für Schwachstellen in Oracle-Produkten an den Oracle-Patchdays belegen auch das Vorhandensein einiger SQL-Injection-Lücken, über die ein Angreifer an die Passwort-Hashes gelangen könnte.
In ihrem Dossier An Assessment of the Oracle Password Hashing Algorithm liefern die beiden Autoren einen Maßnahmenkatalog, mit dem die Oracle-Datenbankkommunikation trotz unsicheren Verfahrens abgesichert werden kann. So sollten für Web-Anwendungen nur unpriviligierte Benutzerkonten genutzt und der Zugriff auf Passwort-Hashes eingeschränkt werden. SELECT-Statements auf die DBA_USERS sollten überwacht, der Netzwerkverkehr auf dem Oracle transport network substrate (TNS) verschlüsselt sowie eine Mindestlänge von Datenbankpasswörtern erzwungen werden.
Siehe dazu auch:
(dmk)
- An Assessment of the Oracle Password Hashing Algorithm, Papier von Joshua Wright und Carlos Sid
- Knacken von Windows-Passwörtern in Sekunden, Demonstration von Rainbow Tables
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
