На канферэнцыі BlackHat 2009, праходзілай у канцы ліпеня ў Лас-Вегасе, быў прадстаўлены прылада, які дазваляе праводзіць аналіз абароненасці СУБДOracle метадам тэставання на пранікненне.

Прылада ўяўляе сабой модуль для шырока вядомага набору аўтаматызаванага пранікнення ў сістэмы – Metasploit. У напісанні дадзенай прылады актыўны ўдзел прымаў кіраўнік даследчага цэнтра Digital Security Research Group – Аляксандр Палякаў, напісаўшы шэраг модуляў, якія дазваляюць падвысіць прывілеі ў СКБД, атрымаць доступ да аперацыйнай сістэмы і выканаць шэраг іншых нападаў. Акрамя таго, шэраг модуляў для атрымання SID быў напісаны з выкарыстаннем даследавання DSecRG «Розныя спосабы атрымання SID базы дадзеных у СКБД Oracle», завошта была выяўленая падзяка адным з аўтараў Metasploit.

Праграма дазваляе імітаваць усе этапы пранікнення ў СКБД Oracle, пачынальна ад сканавання сеткі, падбору пароляў, атрыманні SID і сканчаючы падвышэннем прывілеяў, пранікненнем у аперацыйную сістэму і правядзеннем іншых нападаў. Акрамя таго, прылада рэалізуе розныя метады для ўтойвання нападаў ад сеткавых сістэм выяўлення ўварванняў, яшчэ раз даказваючы, што для абароны СКБД павінны выкарыстоўвацца спецыялізаваныя прадукты.

Вынахад дадзенай утыліты яшчэ раз пацвярджае актуальнасць праблемы бяспекі СКБД і прапаноўвае адміністратарам заклапаціцца не толькі ўсталёўкай абнаўленняў, але і падвышэннем узроўня абароненасці, ужываючы комплексны падыход.

Утыліта з'яўляецца добрым практычным дадаткам да нядаўна якая выйшла кнізе: “бяспека Oracle вачамі аўдытара: напад і абарона”, дазваляючы выпрабаваць на практыцы ў тэставых мэтах шматлікія з апісаных у ёй нападаў на СКБД Oracle.

Прэзентацыя з BlackHat 2009:
http://www.blackhat.com/presentations/bh-usa-09/GATES/BHUSA09-Gates-OracleMetasploit-SLIDES.pdf

Апісанне праграмы:
http://www.blackhat.com/presentations/bh-usa-09/GATES/BHUSA09-Gates-OracleMetasploit-PAPER.pdf

Навучалае відэа:
http://vimeo.com/channels/carnal0wnage

рэкамендуем прачытаць таксама

• Oracle рыхтуе да выпуску 45 патчаў
• Хакеры атрымаюць прыладу для ўзлому баз дадзеных Oracle
• Oracle купіла Sun
• Digital Security: «Бяспека Oracle вачамі аўдытара: напад і абарона»
• Oracle рыхтуе да выпуску пазапланавы патч

Каментаванне не дазволенае.