Sain täna e-kirja teate. Oracle vastas hiljutisele turvaartiklile "An Evaluation of the Oracle Password Hashing Algorithm". Selle artikli autorid, kes Oracle'ile probleeme tekitasid, on Joshua Wright SANS-ist ja Carlos Cid. SANS Royal Holloway College'ist Londonis avaldab suurt mõju julgeoleku valdkonnas. Oracle'il pidi olema ka peavalu. Artiklis mainitakse kolme peamist ohutusprobleemi:
Nõrk parool "salt" Kui ühe kasutaja nimi on Crack, parool on password, teise kasutaja Crac ja parool on kpassword, saad andmesõnastikust kontrollides teada, et parool on tegelikult sama! Sest Oracle töötleb kogu kasutajanimede jada koos paroolidega enne räsi arvutamist (meie puhul on kasutajanimi ja parool sama string), mis tekitab paroolides ebastabiilsust.
Paroolid ei ole täibutundlikud, mis ei ole avastus. Oraakli paroolid on alati olnud tärise-tähtsusega tundlikud. Seekord tõstatatakse see aga koos teiste Oracle'i küsimustega, millel on veidi kaalu. Oracle 10g kasutamisel on ettevõtte kasutaja turvaparoolid suur-tähtede suhtes tundlikud.
Nõrk räsi algoritm. See osa infost võib viidata Oracle'i parooli krüpteerimise meetodile, mille ma varem tutvustasin. Algoritmi habrasuse tõttu suureneb oluliselt võimalus, et neid murtakse offline-sõnastikute poolt.
Mõlemad autorid mainisid artiklis ka asjakohaseid ennetusmeetodeid. Kombineeri soovitused Oracle Metalinkis. Lihtne kokkuvõte on järgmine:
Kontrolli kasutajate õigusi veebirakendustele.
Piira juurdepääsu parooli räsi infole. SELECT ANY DICTIONARY luba tuleks hoolikalt kontrollida
Vali auditeerimiseks tegevus DBA_USERS vaates
Krüpteeri TNS-i edastussisu
Suurenda parooli pikkust (vähemalt 12 numbrit). Rakenda parooli aegumispoliitikat. Paroolid peaksid olema tähestikulised ja segatud, et suurendada keerukust jne. |
Postitatud 24.01.2015 13:44:38
|
|
|
