分类归档: Security

Oracle Password HASH 算法评估

今天收到邮件通知.Oracle 针对最近的一篇安全论文 An Assessment of the Oracle Password Hashing Algorithm 作出了响应. 这篇给 Oracle 带来麻烦的论文的作者是 SANS 的Joshua Wright 与 伦敦 Royal Holloway College 的 Carlos Cid.SANS在安全领域有很大的影响力. Oracle也不得不头疼. 论文中提到的安全问题主要有以下三个:

  • 弱的密码”盐”(salt) 如果一个用户名字为 Crack, 密码为 password,另一个用户为 Crac , 密码为 kpassword, 通过检查数据字典可以发现,密码居然是一样的! 因为Oracle是在 Hash 之前对用户名字加上密码的整个字符串进行处理的 (我们例子中的用户名字和密码拼在一起是一样的字符串).这给密码带来了不稳定性.
  • 密码不区分大小写 这一点算不上什么发现.Oracle 的密码向来是不区分大小写的.不过这次和Oracle的其他问题一起提出来,是有一点分量的.应用了 Oracle 10g 的 Enterprise User Security 密码是区分大小写的.
  • 弱 Hash 算法 .这部分的信息可以参考此前我介绍过的 Oracle 密码加密方式.因为算法的脆弱性,使得遭受离线字典破解密码的可能性大大增加.

继续阅读

第一个概念性的 Oracle 蠕虫

Oracle 的众多漏洞有被更大范围恶意利用的倾向。10 月 31 日,有一个匿名者在 Full-disclosure(FD) 邮件列表里投递了一篇名为 Trick or treat Larry(很明显是对 Larry Ellison 的一个小玩笑) 的邮件。完全用 PL/SQL 写的蠕虫就这样出现了。专门研究 Oracle 技术安全的专家 Alex 对这个蠕虫结构进行了分析.这个完全用PL/SQL写的代码已经具有蠕虫的基本特征:

  • 1. 利用 utl_inaddr 包得到当前IP地址
  • 2. 查找相同地址段的所有网络地址
  • 3. 通过 utl_tcp 包向 1521 端口发送消息得到 Listener 状态
  • 4. 得到数据库 SID
  • 5. 利用默认密码构建 Database link
  • 6. 如果成功,则在远程数据库服务期创建一个数据对象 (或者其他有危害的操作)
  • 7. 继续第二步循环。尝试感染其它机器

继续阅读

Oracle 密码破解易如反掌 ?

这几天关于 Oracle 安全方面的消息很是令人震惊.

看来安全专家们是盯上了 Oracle. 随着对 Oracle 加密体系的研究不断深入,有人重新研究了 Oracle 的密码加密算法大致信息. 估计是为了引起 Oracle 技术圈子的注意,有好事者居然冒充 PSOUG 的 Daniel A. Morgan 在Google新闻组贴出了这篇文章.这篇文章先从 Oracle 的密码设计目标开始(“反向工程”),然后说了加密的大致思路是这样的:

  • 用户名字和密码合并成一个字符串”s”
  • “s” 转换为unicode
  • 用 DES 的ncbc mode模式加密.Key为 0x123456789abcdef, 初始化向量为 0
  • 同样的串用更新的初始化向量作为Key再次加密
  • 更新的初始化向量作为 Hash

继续阅读

Security expert’s security 安全人员的安全

Pete Finnigan 算是一个 Oracle 安全领域的技术专家了.因为他长期关注 Oracle 的安全技术而入选 OakTable .Pete 的 Blog 很精彩,我将他的Blog收录到我的 Lilina 中,每天早晨打开 IE 的时候就可以方便阅读. 或许是”专注观察天上的星星,而没有注意脚下的坑”,前几天他的 Blog 和论坛居然被黑了! 不知道 Pete 当是什么感受… 当然,这次的危害并不是很大,Hack(或许是脚本小子)只是修改了他的 Blog 的 Index 页面.

继续阅读