26.07.2005, 14:06

Eric Bonner

Sicherheitsexperte bemängelt Oracle-Verschlüsselung

Ein Sicherheitsexperte plant auf der Black Hat USA 2005 zu zeigen, wie der Standard-Sicherheits-Mechanismus von Oracle-Datenbanken ausgehebelt werden kann.
Der Standard-Verschlüsselungs-Mechanismus, der in Datenbank-Produkten von Oracle zum Einsatz kommt, ist nach Aussagen eines Experten nicht sicher. Alexander Kornbrust, Business Director bei der Red-Database-Security GmbH in Neunkirchen, plant auf der Sicherheitskonferenz Black Hat USA 2005 zu zeigen, wie der Mechanismus ausgehebelt werden kann. Betroffen sind laut Aussage von Kornbrust DBMS und DBMS Obfuscation Toolkit.
"Viele Leute denken, dass wenn sie DBMS verwenden, ein Hacker nicht in der Lage ist, die Daten zu entschlüsseln, aber ich habe einen Weg gefunden, den Chiffrier-Schlüssel zu finden", so Kornbrust. Und weiter: "Wenn ein Hacker in ihre Datenbank eindringt, ist er in der Lage, alle sensiblen Informationen wie etwa Kreditkartenummern aufzuspüren." Dem Sicherheitsproblem soll eine Design-Schwäche zugrunde liegen. Das eingesetzte Verfahren soll unverschlüsselte Zahlen auf eine Art und Weise speichern, dass Angreifer sie aufspüren und dann für das Lesen von wichtigen Informationen nutzen können.
Paul Needham, Oracle Direktor für Product Management, gab zu, dass es möglich sei, Zugriff auf die Chiffrier-Schlüssel zu bekommen, wenn ein Angreifer sich vorher Zugang zu einem "DBA" (Database Administrator-Account) auf dem Server verschafft. "Die meisten Kunden lassen den Chiffrier-Schlüssel in einer Tabelle in der Datenbank speichern. Soweit man einen DBA-Account hat, der Einsicht in die Tabellen gewährt, kann man die Tabellen lesen und den Schlüssel finden."
Ausführungen von Kornbrust zufolge verkauft Oracle noch ein weiteres Verschlüsselungs-Produkt für seine Datenbank, das sicherer konstruiert wurde: Oracles Advanced Security Software, das ein Feature namens Transparent Data Encryption (TDE) enthält. TDE nutzt einen zweiten Schlüssel, der im "Oracle Wallet außerhalb der Datenbank abgespeichert wird. Wer den ersten Schlüssel hat, aber nicht über den zweiten verfügt, kommt in der Folge nicht besonders weit. Oracles Advanced Security Software schlägt mit 10.000 US-Dollar (pro Prozessor) zu Buche.
Dies ist nicht das erste Mal, dass Kornbrust, ein ehemaliger Angestellter von Oracle, dessen jetzige Firma Sicherheitsberatungen für Oracle-Produkte durchführt, auf Schwachstellen in den Produkten von Oracle hinweist. Letzte Woche veröffentlichte die Red-Database-Security GmbH Details zu sechs noch nicht geschlossen Sicherheitslücken in Oracle-Produkten. Angeblich soll Oracle dabei in über zwei Jahren, seitdem es über die Bugs Bescheid weiß, nichts unternommen haben.
Diskutieren Sie mit anderen Lesern über dieses Thema:
PC-WELT Hacks
PC-WELT Hacks Logo
Technik zum Selbermachen

3D-Drucker selbst bauen, nützliche Life-Hacks für den PC-Alltag und exotische Projekte rund um den Raspberry Pi. mehr

- Anzeige -
PC-WELT Specials
Angebote für PC-WELT-Leser
PC-WELT Onlinevideothek

PC-WELT Online-Videothek
Keine Abogebühren oder unnötige Vertragsbindungen. Filme und Games bequem von zu Hause aus leihen.

Tarifrechner
Der PC-WELT Preisvergleich für DSL, Strom und Gas. Hier können Sie Tarife vergleichen und bequem viel Geld sparen.

PC-WELT Sparberater
Das Addon unterstützt Sie beim Geld sparen, indem es die besten Angebote automatisch während des Surfens sucht.

Telekom Browser 7.0

Telekom Browser 7.0
Jetzt die aktuelle Version 7 mit neuem Design und optimierter Benutzerführung herunterladen!

- Anzeige -
Marktplatz
Amazon

Amazon Preishits
jetzt die Schnäpchen bei den Elektronikartikel ansehen! > mehr

UseNext

10 Jahre UseNeXT
Jetzt zur Geburtstagsaktion anmelden und 100 GB abstauben! > mehr

137682
Content Management by InterRed