Whitepaper über Oracle Forensik

12 Aug 2007 von Alexander Kornbrust.

David Litchfield hat auf seiner Seite ein neues, kurzes Whitepaper “Finding Evidence of Data Theft in the Absence of Auditing“veröffentlicht.

In dem Whitepaper beschreibt David, wie man Spuren von Select-Abfragen finden kann, sofern kein Auditing eingeschaltet ist. Dazu verwendet er beispielsweise die View v$sql oder wrh$sqlstat. Dies kann ein Angreifer mit Hilfe eines (private) Synonyms aber umgehen:

SQL> create synonym alex for sys.dba_users;

SQL> select * from alex;

Die Vorgehensweise ist meiner Erfahrung nach meistens nicht in der Praxis einzusetzen, da zwischen einem Vorfall und der Untersuchung oftmals Wochen/Monate vergehen. Bis dahin ist aber V$SQL gelöscht. Und die Tabelle wrh$sqlstat kann vom (cleveren) Angreifer modifiziert werden.

Geschrieben in Forensik, Allgemein | Drucken | Keine Kommentare »