• Desativação de Auditoria de Banco de Dados Oracle

    Publicado em 19-09-2011 17:49
    0 Comentários Comentários
    Durante a realização da Hactivity Conference deste ano, realizada em Budapeste, Hungria, o especialista em segurança László Tóth, apresentou um método que é considerado permissivo para que atacantes desabilitem as funções de auditoria e recursos de autenticação, em todas as versões das bases de dados da Oracle.

    Para conseguir este intuito, o especialista em segurança utilizou o utilitário oradebug, que faz parte de cada instalação do Oracle. Este referido recurso de auditoria, é projetado para assegurar que as ações de banco de dados são documentadas de forma confiável, permitindo que qualquer alteração seja traçada.

    O utilitário oradebug tem comandos como poke, uma instrução que foi utilizada para alterar o conteúdo da memória em BASIC. Tóth disse ainda, que o comando pode ser usado para desativar a auditoria para os usuários do sistema, como SYSDBA e SYSOPER. O especialista explicou detalhadamente, que o único pré-requisito é que o atacante deve ter a capacidade de executar oradebug - isto pode ser conseguido através do privilégio SYSDBA que, como Tóth também demonstrou em sua apresentação, podem ser facilmente obtido por qualquer administrador de banco de dados.

    Para desativar o recurso de auditoria, um atacante pode se prevalecer de uma instrução SQL simples, para recuperar o endereço de memória de uma variável do sistema interno da table X$KSMFSV. Este endereço é então colocado em zero:

    SQL oradebug poke 0×60031bb0 1 0
    BEFORE: [060031BB0, 060031BB4) = 00000001
    AFTER: [060031BB0, 060031BB4) = 00000000

    Alexander Kornbrust, um grande especialista em segurança da Oracle Corporation, tem em mente que produtos como o Oracle Audit Vault, que são baseados em funções de auditoria de banco de dados e, de acordo com a própria literatura da Oracle, mesmo os log das ações dos usuários privilegiados, são, portanto, "praticamente inúteis".

    Aparentemente, um usuário SYSDBA / SYSOPER pode temporariamente desativar o tal sistema de auditoria, realizar algumas operações, e então, reativar a função.


    Saiba Mais:

    [1] Hacktivity https://hacktivity.com/en/hacktivity-2011
    [2] Lázló Tóth https://hacktivity.com/en/hacktivity...s/laszlo-toth/
    [3] Método para Desabilitar Auditorias http://soonerorlater.hu/download/hac...lt_2011_en.pdf
    [4] Oracle Audit Vault http://www.oracle.com/technetwork/da...iew/index.html
    + Enviar Comentário