Zranitelnost databáze a ochrana vašich citlivých dat Michal Lukanič, Database Specialist
Standardně je chráněn pouze perimetr… DB admin
DMZ
L7+ Aplikační servery
¨
Externí aplikace
IDS / IPS
Externí uživatelé
ACS / XML FW …
L3-L4
Interní zaměstnanci
DLP / IRM / šifrování
Partneři
Databázové servery
ÚTOK
04.02.2014
Zranitelnost databáze a ochrana vašich citlivých dat
LiveHacking Praktická ukázka útoku pomocí SQL Injection
Testované prostředí Výchozí instalace databáze Oracle Verze DB 11.2.0.1, Oracle Linux – 64 bit Odemknuté implicitní účty Stručný popis útoku Přístup k databázi pomocí standardních prostředků Implicitní DB účet s minimálními právy, výchozí heslo SQL Injection útok Zneužití chyb interní DB logiky
04.02.2014
Zranitelnost databáze a ochrana vašich citlivých dat
Testované zranitelnosti CVE-2012-3132
Neoprávněné získání DBA role (Oracle DB) SQL Injection útok Zneužití chyby v interní DB logice Uživatel s právy CREATE SESSION, CREATE TABLE a CREATE PROCEDURE http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-3132&cid=2 Ohrožená prostředí OS libovolný DB verze 10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.1, 11.2.0.2 a 11.2.0.3 Nainstalovaný Oracle Text
04.02.2014
Zranitelnost databáze a ochrana vašich citlivých dat
Testované zranitelnosti Bez přiřazeného CVE
Neoprávněné získání DBA role (Oracle DB) SQL Injection útok Pomocí DBMS_JAVA, eskalace na DBA práva Možnost spouštět příkazy přímo na OS Uživatel s právem „CREATE SESSION“ Ohrožená prostředí OS libovolný DB verze 11.1.0.6, 11.1.0.7, 11.2.0.1
04.02.2014
Zranitelnost databáze a ochrana vašich citlivých dat
CO BYLO ŠPATNĚ?
04.02.2014
Zranitelnost databáze a ochrana vašich citlivých dat
Chyby v administraci databáze První testovaná zranitelnost - CVE-2012-3132 Neaplikované bezpečnostní záplaty CVE přiřazeno 6.6.2012 Upozornění a záplata vydána 10.8.2012 Critical Patch Update 10/2012 Odemknutý implicitní DB účet, výchozí heslo Druhá testovaná zranitelnost – bez CVE Práva na balík DBMS_JAVA přidělena roli PUBLIC
04.02.2014
Zranitelnost databáze a ochrana vašich citlivých dat
ŘEŠENÍ PROBLÉMU
04.02.2014
Zranitelnost databáze a ochrana vašich citlivých dat
Aplikace bezpečnostních záplat na časové ose
Útočník ví, co potřebuje
Čas
Zranitelná databáze
04.02.2014
Zranitelnost zveřejněna
Vydána záplata
Zranitelnost databáze a ochrana vašich citlivých dat
Instalace záplaty na testovací prostředí
Instalace záplaty na produkční prostředí
Workaround Odstranění přebytečných práv Hlídání „mrtvých“ a implicitních účtů Výchozí hesla Problémy Nutnost sledovat jednotlivé zranitelnosti Omezení funkcionality pro uživatele Nutnost testování
04.02.2014
Zranitelnost databáze a ochrana vašich citlivých dat
Virtual patching Database Activity Monitoring/ Virtual Patching
SAP
Síťová spojení
DBMS
PL/SQL
Shared Memory
Trigger
Listener
Místní připojení
Bequeath
DB Admins Sys Admins Programátoři
View
Data
04.02.2014
Zranitelnost databáze a ochrana vašich citlivých dat
Hrozby z databáze
Virtual Patching Principy Řešení stojící mimo DB Pravidelně aktualizovaná databáze zranitelností Monitoruje provoz nad DB v reálném čase a blokuje útoky Přínosy Ochrana před vydáním či aplikací oficiálních záplat Ochrana pro již nepodporované verze DB Sjednocení databázových odstávek
04.02.2014
Zranitelnost databáze a ochrana vašich citlivých dat
Řešení formou Virtual Patchingu na časové ose
Virtual Patching
Čas
Zranitelná databáze
04.02.2014
Zranitelnost zveřejněna
Vydána záplata
Zranitelnost databáze a ochrana vašich citlivých dat
Instalace záplaty na testovací prostředí
Instalace záplaty na produkční prostředí
Shrnutí Ochrana perimetru není dostatečná Většina dat je ukládána a kompromitována skrze databázi Jen málo společností se věnuje přímé ochraně DB Výchozí instalace DB obvykle obsahuje nevyhovující konfiguraci Standardní proces záplatování DB je zdlouhavý
Michal Lukanič
[email protected]
04.02.2014
Zranitelnost databáze a ochrana vašich citlivých dat
Zranitelnost databází Odborný seminář
13. února 2014 Administrativní centrum Budějovická alej Antala Staška 77, Praha 4 Cílem semináře je představit principy zabezpečení databází pomocí standardních bezpečnostních nástrojů. Více informací a registrace účasti na www.sefira.cz