Archive for the ‘Forensik’ Category

Whitepaper über Oracle Forensik

Sonntag, August 12th, 2007

David Litchfield hat auf seiner Seite ein neues, kurzes Whitepaper „Finding Evidence of Data Theft in the Absence of Auditing„veröffentlicht.

In dem Whitepaper beschreibt David, wie man Spuren von Select-Abfragen finden kann, sofern kein Auditing eingeschaltet ist. Dazu verwendet er beispielsweise die View v$sql oder wrh$sqlstat. Dies kann ein Angreifer mit Hilfe eines (private) Synonyms aber umgehen:

SQL> create synonym alex for sys.dba_users;

SQL> select * from alex;

Die Vorgehensweise ist meiner Erfahrung nach meistens nicht in der Praxis einzusetzen, da zwischen einem Vorfall und der Untersuchung oftmals Wochen/Monate vergehen. Bis dahin ist aber V$SQL gelöscht. Und die Tabelle wrh$sqlstat kann vom (cleveren) Angreifer modifiziert werden.