базовый иммунитет

ЕКАТЕРИНА ДЕРБЕНЦЕВА

Спецвыпуск: Хакер, номер #066, стр. 066-014-2

пример одного из таких запросов — с использованием поисковой машины Google

intitle:index.of listener.ora

Получаешь список с информацией о том, какие базы данных Oracle доступны из Сети (другими словами, те, в которых проиндексированы сервисы listener).

Идешь по ссылке и получаешь информацию о базе данных.

информация о базе данных

# LISTENER.ORA Network Configuration File: C:\ORACLE\ORA81\network\admin\listener.ora

# Generated by Oracle configuration tools.

LISTENER =

(DESCRIPTION_LIST =

(DESCRIPTION =

(ADDRESS_LIST =

(ADDRESS = (PROTOCOL = IPC)(KEY = EXTPROC1))

)

(ADDRESS_LIST =

(ADDRESS = (PROTOCOL = TCP)(HOST = 127.0.0.1)(PORT = 1521))

)

)

(DESCRIPTION =

(PROTOCOL_STACK =

(PRESENTATION = GIOP)

(SESSION = RAW)

)

(ADDRESS = (PROTOCOL = TCP)(HOST = 127.0.0.1)(PORT = 2481))

)

)

SID_LIST_LISTENER =

(SID_LIST =(SID_DESC=(GLOBAL_DBNAME=storet)(ORACLE_HOME=c:\oracle\ora81)(SID_NAME=sto2))

(SID_DESC =

(SID_NAME = PLSExtProc)

(ORACLE_HOME = C:\ORACLE\ORA81)

(PROGRAM = extproc)

Из этих данных выловлены сведения о версии базы. Возможно, позже находка пригодится для следующего этапа атаки: зная номер версии, можно попытаться эксплуатировать одну из известных уязвимостей именно этой версии. Кроме того, в сообщении выведен IP-адрес, SID и номера портов, что также пригодится в процессе атаки.

[другой пример разведки] связан с инструментом iSQLPlus — стандартной утилитой Oracle, которая используется для «общения» с базой. Начиная с девятой версии Oracle она представляет собой web-приложение — конечно, в плане использования удобно, теперь ты не обязан ставить соответствующий агент на клиентскую станцию и драйвер SQL*NET (как было в ранних версиях утилиты).

Зная о подобной утилите, злоумышленник может запустить поиск, чтобы обнаружить web-формы iSQLPlus, использовав для этого, к примеру, возможности расширенного поиска в Google.

Подобный поиск можно организовать и через Yahoo. В этом случае просто запускается поиск текста, который, как известно, существует на web-странице iSQLPlus — “iSQL*Plus Release”.

Существует множество комбинаций текстовых строк для поиска, как и поисковых машин в интернете. Из Сети доступна огромная масса серверов БД, и часть из них обязательно имеет незакрытые уязвимости, в том числе неизмененные пароли и учетные записи по умолчанию. Даже если такой сервер сам по себе не является критичным, может быть, он связан с другим ресурсом, интересным злоумышленнику, или из него устроят площадку для новой атаки.

как защитить

КАК НИ БАНАЛЬНО ЗВУЧИТ, РАЗГРАНИЧИВАТЬ ДОСТУП К РЕСУРСАМ, МЕНЯТЬ ПАРОЛИ, ВОВРЕМЯ ПРОПАТЧИВАТЬ УЯЗВИМОСТИ И Т.Д. КРОМЕ ТОГО, СУБД НЕ ДОЛЖНА ВЫДАВАТЬ КОНФИГУРАЦИОННУЮ ИНФОРМАЦИЮ О СЕБЕ: НИ ПО ЗАПРОСУ, НИ ПО СООБЩЕНИЮ ОБ ОШИБКЕ.

Мини-статья 2

корпоративная БД

как защититься от внешних злоумышленников

НЕ БУДЕМ СПУСКАТЬСЯ ДО «ШКОЛЬНЫХ» ПРАВИЛ: СУБД В ВЫДЕЛЕННОМ СЕГМЕНТЕ И ЗА МЕЖСЕТЕВЫМ ЭКРАНОМ. ЗЛОУМЫШЛЕННИКИ НЕ СИДЯТ СЛОЖА РУКИ — МЕТОДЫ ИХ РАБОТЫ ТОЖЕ НЕ СТОЯТ НА МЕСТЕ, ПОЭТОМУ «ШКОЛЬНЫЕ» МЕРЫ НЕ ВСЕГДА ОБЕСПЕЧИВАЮТ НАДЕЖНУЮ ЗАЩИТУ. ЧТОБЫ ПОВЫСИТЬ ЗАЩИЩЕННОСТЬ, НУЖНО РЕГУЛЯРНО ОЦЕНИВАТЬ ЕЕ, А В ИДЕАЛЕ — МОНИТОРИТЬ ДОСТУП К СУБД. КАК ДОПОЛНИТЕЛЬНЫЕ МЕРЫ — «СЕТЕВЫЕ ЛОВУШКИ», ТО ЕСТЬ ЭМУЛИРОВАННЫЕ СУБД, С СОЗНАТЕЛЬНО СОЗДАННЫМИ УЯЗВИМОСТЯМИ, ДЕЙСТВУЮЩИЕ КАК ПРИМАНКИ ДЛЯ ХАКЕРА. ТАКИЕ ЛОВУШКИ ПОЗВОЛЯЮТ ВЫИГРАТЬ ВРЕМЯ И ПРОАНАЛИЗИРОВАТЬ МЕТОДЫ ИЗ ЗАПАСОВ АТАКУЮЩЕГО.