David Litchfield hat auf seiner Seite ein neues, kurzes Whitepaper “[1] Finding Evidence of Data Theft in the Absence of Auditing“veröffentlicht.

In dem Whitepaper beschreibt David, wie man Spuren von Select-Abfragen finden kann, sofern kein Auditing eingeschaltet ist. Dazu verwendet er beispielsweise die View v$sql oder wrh$sqlstat. Dies kann ein Angreifer mit Hilfe eines (private) Synonyms aber umgehen:

SQL> create synonym alex for sys.dba_users;

SQL> select * from alex;

Die Vorgehensweise ist meiner Erfahrung nach meistens nicht in der Praxis einzusetzen, da zwischen einem Vorfall und der Untersuchung oftmals Wochen/Monate vergehen. Bis dahin ist aber V$SQL gelöscht. Und die Tabelle wrh$sqlstat kann vom (cleveren) Angreifer modifiziert werden.