9 Apr 2010 von Alexander Kornbrust.

Am 26.04.2010 - 27.04.2010  findet in Berlin das DOAG Expertenseminar “Oracle Hardening & Patching / Auditing & Co.” statt. Noch sind Plätze frei.

Ich werde dieses Seminar halten und neben Updates bzgl. dem Oracle April CPU/PSU  über folgende Themen sprechen:

Nach den in den letzten Monaten publik gewordenen Vorfällen mit gestohlenen Kontodaten rückt die Datensicherheit immer mehr in den Fokus der Öffentlichkeit. Für Anwender, Entwickler und Administratoren stellt sich die Frage, wie damit umgegangen werden soll, aber auch das Management in den Unternehmen ist längst mit diesem Thema befasst.

Dieses Seminar gibt einen Überblick über den aktuellen Status der Oracle-Sicherheit und den sich ändernden Fokus, der sich vom DBA immer mehr in Richtung Entwickler verschiebt. Das Härten von aktuellen Oracle-Datenbanken (10.2.0.4 und 11g) zusammen mit den unterschiedlichen Patch-Bundles (CPU/PSU/Windows Bundle) wird besprochen und es wird aufgezeigt, wie das Basis-System abgesichert werden kann. Weiterhin wird auf typische Architekturprobleme in realen Datenbanksystemen hingewiesen, die ein Risiko für die Sicherheit der Datenbanken sein können.

Es wird ebenso auf typische Sicherheitsprobleme in selbstgeschriebenem PL/SQL Code eingegangen, welche ein großes Sicherheitsproblem darstellen können. Dadurch können auch gut gepatchte Datenbanken wieder extrem gefährdet sein. Darüber hinaus werden auch Lösungen zum automatischen Scannen von großen und kleinen Datenbanken vorgestellt. Zusätzlich wird auf das Schreiben von Oracle Policies eingegangen.

Der zweite Tag stellt das Thema Auditing in den Vordergrund. Es werden zuerst die typischen Angreifer, deren Motivation und die möglichen Gegenmaßnahmen erläutert. Die verschiedenen Auditing Konzepte und deren Möglichkeiten und Limitierungen werden aufgezeigt. Weitere Themen sind der Entwurf von Auditing Systemen und alternative Auditing Lösungen. Aber auch das Umgehen von Auditing Systemen, die Verschlüsselung von Daten und die Analyse von Log-Daten sind Gegenstand des Seminars.

Da Auditing immer auch die Anwendungsdaten umfassen sollte, wird auch über Data Discovery und die Identifikation von sensiblen Informationen gesprochen. Diese Daten sollten auf Testsystemen nur anonymisiert bzw. pseudonymisiert verwendet werden.

Inhalte:
26. April 2010: Oracle Hardening & Patching

* Oracle Security im Jahr 2010
* Aufgabenverteilung Security: DBAs vs. Developer
* Härten von Oracle 10.2.0.4/11.2.0.1 Datenbanken
* Oracle CPU vs PSU vs Windows Bundles
* Passworte in Oracle Datenbanken (Klartext, verschlüsselt, gehasht)
* Typische Architektur Probleme von realen Oracle Systemen und deren Lösung(en)
* Typische Anwendungsprobleme (SQL Injection, …) und deren Lösung(en)
* Scannen von Datenbanken
* Schreiben von Oracle Policies (wie lang, wie kurz)
* Secure Development Guide (dynamische SQL, dbms_assert, …)

27. April 2010: Auditing & Co.

* Typische Oracle Angreifer (neugierige MA, ausscheidende MA, externe Hacker, …)
* Auditing Konzepte
* Oracle Auditing
* Fine Grained Auditing (FGA)
* Oracle Audit Vault
* Entwurf von Auditing Systemen
* Alternative Auditing Lösungen
* Oracle Transparent Data Encryption (TDE)
* Wie sicher ist Auditing oder wie umgeht man Auditing / IDS Lösungen

* Was sollte auditiert werden
- Kritische Oracle Komponenten
- Anwendungsdaten

* Finden von sensiblen Informationen
- Data Dictionary
- Dateninhalt
- Reguläre Ausdrücke
- Logtabellen

* Analyse von Log-Datei
- Finden von Angriffen
- Blocken gefährlicher Tools

* Anonymisierung/Pseudomisierung von Daten
- Tools
- Manuell

Geschrieben in Allgemein | Drucken | Keine Kommentare »

1 Mrz 2010 von Alexander Kornbrust.

Erweiterung um wichtige Funktionalitäten zur Datenerkennung und um Microsoft SQL-Server Support .

SANTA CLARA, Calif.—01. März 2010— Sentrigo, Inc., Vorreiter bei innovativen Lösungen zur Datenbanksicherheit, bringt die neue RepscanTM Version 3.0 auf den Markt. Dieses Release ermöglicht dem User, viel bequemer zu navigieren und Schwachstellen im System zu erkennen und zu interpretieren. Zudem beinhaltet die Software jetzt den Microsoft SQL-Server Support.

Mit über 3000 Sicherheitsprüfungen an Oracle und Microsoft Datenbanken und Applikationen bietet RepscanTM die umfangreichste Schwachstellenprüfung, die derzeit verfügbar ist.

Zu den Neuerungen gehören unter anderem eine komplett überarbeitete graphische Benutzeroberfläche zur einfacheren Bedienung, damit sich auch weniger erfahrene Datenbankexperten schnell zurechtfinden. Zusätzlich können sie realitätsnahe Hackerangriffe simulieren und mit Hilfe von Drill Down Funktionalitäten im Datenbank Browser eine interaktive Überprüfung unternehmenskritischer Datenbankinformationen vornehmen.

„Datenbanken müssen unbedingt professionell verwaltet und gesichert werden. Da die Bedrohungen aber permanent zunehmen und wir uns einer wachsenden Flut von Sicherheitsvorschriften gegenübersehen, sind die meisten Administratoren auf den Assessment Support für die speziellen Sicherheitsvorschriften angewiesen“ meint Adrian Lane, Sicherheitsstratege und Analyst bei Securosis. „Assessment Tools haben sich zu vollwertigen Unternehmensprodukten entwickelt, die nicht nur das eigentliche Schwachstellen- und Patch Management ansprechen sondern das gesamte Spektrum an Sicherheits-, Compliance- und Funktionsaufgaben“.
Entwickelt wurde die neue Repscan-Version von Alexander Kornbrust, Experte für Datenbanksicherheit von Red Database Security. Ihm war wichtig, dass Unternehmen mit Repscan in der Lage sind, Datenbanken in einem Netzwerk zuverlässig zu erkennen und zu identifizieren. Denn das ist der erste Schritt zum Scannen der Daten und zu deren Schutz. Wichtig ist natürlich auch noch, dass solche Datenbanken erkannt werden, die für die Einhaltung der Compliance-Vorgaben zuständig sind.

„Meist ist der schwierigste Job bei der Einhaltung von neuen Standards oder Datenbankschutz herauszufinden, wo genau sich die sensiblen Daten befinden, die geschützt werden müssen„ erklärt Dan Sarel, Sentrigos Vice President of Products. „Deshalb bedeutet das neue Repscan Release für die Kunden einen enormen Fortschritt, können sie doch damit alle Datenspeicher, die Kreditkartendaten, Sozialversicherungsnummern, Gehalts- und andere Finanzdaten enthalten, identifizieren. Repscan kann somit als die umfangreichste Assessment Lösung zur Schwachstellenerkennung gewertet werden, die es derzeit auf dem Markt gibt.

Repscan ist eingebunden in die Hedgehog Familie von Sentrigo, die führend ist beim Monitoring aller Datenbankaktivitäten und bei der Absicherung von Datenbanken sowohl gegen Insider als auch gegen bösartige Hackerangriffe von außen.

Wenn Repscan neue Schwachstellen ausfindig macht, kann Hedgehog automatisch entsprechende Schutzregeln generieren, die verhindern, dass die entdeckte Sicherheitslücke in irgendeiner Weise ausgenutzt werden kann.

Weitere Produkt Highlights, warum Anwender Repscan einsetzen:

Bestandsverzeichnis aller Datenbank-Versionen und Patchlevels
Aufspüren leerer, schwacher oder Standardpasswörter von Datenbankbenutzern
Entdecken von Sicherheitslücken wie hart kodierten Passwörtern, veralteten Funktionen, Schwachstellen bei SQL-Injection etc.
Identifizieren unsicheren PLSQL-Codes
Auffinden modifizierter Datenbank-Objekte einschließlich Root-Kits und geänderter Daten
Forensische Spurenverfolgung bei gebräuchlichen Sicherheits- und Hacker-Tools
Alexander Kornbrust, Geschäftsführer bei Red-Database-Security GmbH, gibt gerne Auskunft zu Repscan 3.0: Email: ak@red-database-security.com,
Tel-Nr.:+49-6821-95 17 63.
Weitere Informationen kann man auch nachlesen unter www.sentrigo.com/repscan

Über Sentrigo

Sentrigo, Inc. ist ein anerkannter Spezialist für Datenbanksicherheit. Sentrigos Sicherheitslösung Hedgehog bietet ein weit reichendes Monitoring aller Datenbankaktivitäten und die Absicherung der Datenbanken in Real-Time. Die Software-basierte Lösung ist weltweit bei 2000 Firmen im Einsatz, um unternehmenskritische Daten gegen Missbrauch durch Insider aber auch gegen Angriffe von außen zu schützen. Unternehmen aus allen Industriesegmenten nutzen Hedgehog zur schnelleren Unterstützung und Umsetzung bei der Einführung und Überwachung von Regularien wie PCI DSS, Sarbanes-Oxley und HIPAA. Sentrigo wurde für die technologische Innovation von verschiedenen Publikationen, wie Network World und SC Magazine ausgezeichnet. Nähere Informationen zu Hedgehog finden Sie unter www.sentrigo.com.

Sentrigo, Sentrigo Hedgehog, Hedgehog Identifier, Hedgehog vPatch und das Sentrigo Logo sind geschützte Handelsmarken von Sentrigo, Inc. Alle anderen Markenzeichen sind Eigentum der jeweiligen Inhaber.

Pressekontakt USA:
Rachel Kaseroff - MarComm PR - +1 (415) 824-1110
Email: Rachel@marcommpr.com

Pressekontakt in Deutschland:
Beatrice Brenner -MBS Marketingberatung
Ostring 27 - 63820 Elsenfeld
Email: bb@mbs-brenner.com
Tel : +49 60 22 / 64 91 87, Fax: +49 60 22 / 64 91 83,
mobil +49 175 5230 788

Geschrieben in Sentrigo, software, Security, Oracle Security | Drucken | Keine Kommentare »

21 Jan 2009 von Alexander Kornbrust.

Nächste Woche am Mittwoch, den 28. Januar 2009, findet morgens um 10.00 Uhr ein kostenloses Webinar zum Thema “Best Practices for Database Security” mit anschliessender Diskussion statt.

Wer Interesse an dem Thema hat, kann sich gerne per Web unter obigen Link anmelden. Bei dem (englischen) Webinar werde ich typische Probleme aber auch Lösungsmöglichkeiten vorstellen.

Würde mich freuen, wenn Sie daran teilnehmen.

Geschrieben in Hedgehog, Oracle Security | Drucken | Keine Kommentare »

15 Jan 2009 von Alexander Kornbrust.

Zwischen Weihnachten und Neujahr hatte ich ein wenig Zeit, neue Oracle Literatur zu lesen. Eines der Bücher war der “Oracle Survival Guide“, die mir der MITP-Verlag freundlicherweise zur Verfügung gestellt hat. Dieses enthält dem Umschlag zufolge “die wichtigsten Informationen zum Überleben in Oracle-Projekten”.

Eine nach dem Lesen des Buches recht zutreffende Beschreibung. Dieses Buch wurde von verschiedenen Autoren Cornel Brücher, Frank Jüdes (ein Ex-Kollege aus meinen Oracle-Zeiten), Mario Haupt, Uwe Küchler und Andreas Takano.

Die ersten 80 Seiten (SQL Syntax, PL/SQL, SQL*Plus) sind sicherlich für jeden Oracle Einsteiger oder Wechsler von anderen Betriebssystemen interessant, da hier das 1×1 sehr gut und knapp beschrieben wird. Gerade für Sicherheitsleute, die bisher keine oder nur wenig Ahnung von Oracle haben meines Erachtens sehr empfehlenswert.

Mit persönlich hat das Kapitel “Wie sag ich’s dem Orakel” am besten geholfen, da ich parallel zum Lesen dieses Buches die Anbindung von verschiedenen Programmiersprachen zu Oracle aus Sicherheitsgesichtspunkten teste. Mit Hilfe des Buches habe ich beispielsweise innerhalb 1 Stunde PHP aufgesetzt und erfolgreich zu Laufen gebracht. Hier hat mir das Buch einiges rumsurfen im Internet erspart.

Weitere Kapitel in diesem Buch betreffen UNIX Basics, vi (geliebt oder gehasst), XMLDB und allerlei Tricks wie “Wer sperrt meinen Datensatz”, “Reguläre Expressions”, …

Insgesamt für Einsteiger ein sehr empfehlenswertes Buch.

Geschrieben in Bücher, Allgemein | Drucken | 1 Kommentar »

24 Dez 2008 von Alexander Kornbrust.

 Lieber Leser

ich wünsche Ihnen und Ihren Familien ein schönes und ruhiges Weihnachtsfest und einen guten Start ins Jahr 2009.

P.S.: Dies ist ein Foto unserer kleinen Tochter Anna, die inzwischen 10 Monate alt ist…

Geschrieben in Allgemein | Drucken | Keine Kommentare »

14 Dez 2008 von Alexander Kornbrust.

Wie die Frankfurter Rundschau am Donnerstag berichtete, wurde Ihr in einem Päckchen Microfilme und (separate) Unterlagen mit Kreditkarten-PINs der Berliner Landesbank (LBB) zugesendet. Wieder mal ein Fall, wie schnell Daten verschwinden können. Mich hat allerdings überrascht, dass heutzutage noch Microfilme verwendet werden und diese per Kurier durch die Lande geschickt werden.

Laut einer Erklärung der LBB besteht allerdings “keine Gefahr für das Vermögen der Kunden”. Wer die Erklärung genauer liest, erkennt die feine Formulierung “Die Landesbank Berlin legt Wert auf die Feststellung, dass – anders als berichtet – in dieser Datensendung keine Geheimnummern enthalten sind, die den Zugriff auf Kundenkonten ermöglichen”. Damit wird NICHT ausgeschlossen, dass in dem Paket Geheimnummern enthalten waren, sondern nur, dass die Microfilme keine Geheimnummern enthalten.

Für die Kunden (z.B. der Amazon/ADAC/Xbox-Live/AOL/Air Berlin/Simyo-Kreditkarte), deren Konto leergeräumt werden, ist dies jedoch keine große Hilfe.

Interessant war an diesem Fall noch der Umgang mit dem Datenleck. Die besorgten Kunden legten die Kunden-Hotline lahm, sozusagen ein Kunden Denial-of-Server (K-D.o.S.).

Geschrieben in Security, Allgemein | Drucken | Keine Kommentare »

3 Dez 2008 von Alexander Kornbrust.

Nach 3 erfolgreichen Tagen ging heute die DOAG zu Ende. Mein Vortrag “Best of Oracle Security 2008″ ist zum Download via Red-Database vorhanden.

Geschrieben in DOAG, Präsentation, Oracle Security, Allgemein | Drucken | Keine Kommentare »

5 Sep 2008 von Alexander Kornbrust.

Laut einer Studie der Firma Cyber-Ark, würden 88% der IT Profis Daten mitnehmen, falls Sie entlassen werden würden. Diese Studie wurde auf der Infosecurity 2008 durchgeführt.

Interessant, auch wenn ich persönlich die Zahl als recht hoch ansehe…

Geschrieben in Security | Drucken | 1 Kommentar »

9 Aug 2008 von Alexander Kornbrust.

Gestern abend hat Oracle alle Kunden darüber informatiert, dass die Windows Patches (7047034 und 7047037) für Oracle 10.1.0.5 fehlerhaft war.Hier nochmal die original Email vom Oracle Support Services:

——————————————————————————————————-

Dear Oracle Customer,

You are receiving this email because our records indicated you downloaded Critical Patch Update July 2008 (CPUJul2008) patch for one or more of the following:

o    Oracle Database 10.1.0.5 for the following platforms:
o    Windows 32-bit (Patch 7047034)
o    Windows 64-bit (Patch 7047037)

Symptom and cause of issue
The 10.1.0.5 Database Windows Bundle Patch #26 did not correctly install the sdotopo.jar file.

Workaround if any
Please follow the following manual steps to install sdotopo.jar.

>cd %ORACLE_HOME%\md\lib
>copy sdotopo.jar sdotopo.jar_save
>cd <windows bundle patch location>
>cd files\md\lib
>copy sdotopo.jar %ORACLE_HOME%\md\lib\sdotopo.jar

In the event  you need to rollback to the previous sdotopo.jar:

>cd %ORACLE_HOME%\md\lib
>copy sdotopo.jar_save sdotopo.jar

These steps are also documented in MetaLink Note 579285.1  ¿Critical Patch Update July 2008 Database Known Issues¿

Action
Follow the manual steps noted above to install the sdotopo.jar file..

Please accept our apologies for any inconvenience you may have experienced, and we thank you for your patience and cooperation in securing your Oracle server products.

Regards,
Oracle Global Product Support

Geschrieben in CPUJul2008 | Drucken | Keine Kommentare »

16 Apr 2008 von Alexander Kornbrust.

Gestern abend hat Oracle seinen vierteljährlichen CPU veröffentlicht. Darin werden 41  Fehler in den verschiedenen Datenbank-Produkten korrigiert. Auch diesmal sind wieder die üblichen Verdächtigen (Stephen Kost, Cesar Cerrudo, Esteban Fayo, Alexander Kornbrust) mit dabei. Ausserdem hat Paul Wright 2 PL/SQL Injection Lücken gefunden (siehe sein Blog Eintrag).

Von diesen 41 Fehlern betreffen 15 Fehler die Datenbank, wovon einer [DB08] remote ohne Benutzerkennung (betrifft aber nur 11g Rel. 1) ausnutzbar ist.

2 Fehler betreffen Oracle APEX, wovon 1 Fehler remote ausnutzbar ist. Beim zweiten Fehler handelt es sich um eine SQL Injection Lücke im Package wwv_execute_immediate.

Von Red-Database-Security wurden insgesamt 6 Fehler korrigert. Darunter sind 3 SQL Injection Lücken in SDO_UTIL [DB05], SDO_GEOM [DB06]  und SDO_IDX [DB07] und diese betreffen zum Teil alle supporteten Versionen von 9i Rel. 1 bis  11g Rel. 1 . Diese 3 Packages gehören zur Komponente Oracle Spatial.

Weiterhin gibt es bis einschliesslich Oracle 10.2.0.3 ein hardcodiertes OUTLN Passwort [DB13], das beim Erzeugen spezieller materialized View von Oracle automatisch auf OUTLN zurückgesetzt wird.

Auch für die inzwischen hoffentlich altbekante View Problematik (Update via View bzw. Update via Inline-View) werden Patches [DB10] zur Verfügung gestellt.

Falls Sie weitergehenden Bedarf an Informationen (betroffene Funktionen/Prozeduren, Patching, Workarounds, …) zu diesem Oracle April 2008 CPU benötigen, können wir Ihnen mit dem Opitz CPU Review helfen, das wir exklusiv für Opitz Consulting erstellen.

Geschrieben in CPUApr2008 | Drucken | Keine Kommentare »