Datenbank-Link Passwörter sind jetzt noch unsicherer

, ,

Die Passwörter von Oracle Datenbank Links waren Thema des diesjährigen Vortrags „Best of Oracle Security 2017“ von Alexander Kornbrust auf der diesjährigen DOAG Konferenz in Nürnberg.

Es ist dank der Arbeit von Mahmoud Hatem mittlerweile möglich, die verschlüsselt abgelegten Passwörter der Datenbank-Links relativ aufwandslos mit Hilfe eines kleinen PL/SQL-Skriptes zu entschlüsseln. Das Skript selbst lässt sich bei  GitHub herunterladen. Das ist ein bisschen schade, aber auch fast vorhersehbar, denn wie auch bei Wallets ist es sehr schwierig, ein symmetrisches Passwort geheim zu halten. Zumal, wenn es automatisch, also ohne Interaktion mit dem Benutzer, verwendet werden soll. In einer ausgelieferten Software finden sich selten sichere „Verstecke“ für ein hart-kodiertes Passwort.

Oracle hat offensichtlich versucht, das verwendete Passwort an zwei Stellen zu verbergen – in der Data Dictionary View SYS.PROP$ und im oracle-Binary selbst als Variable „ztcshpl_v6“. Diese ist dort natürlich immer gleich belegt. Vielleicht wäre es besser gewesen, saubere Hash-Werte der Passwörter zu verwenden, als einen solchen „Security through obscurity“-Weg zu gehen.

Jedenfalls ist es nun, Zugriff auf die Data Dictionary Views SYS.LINK$ und SYS.PROPS$ vorausgesetzt, möglich, die Klartext-Passwörter der Datenbank-Links einfach zu ermitteln.

Die Datenbank-Link-Passwörter und deren Geschichte in den Oracle Versionen waren auch hier im Blog bereits Thema, wenn auch fälschlicherweise von Hashes statt verschlüsselten Werten die Rede war. Dennoch hat unser Blog Post es als Quelle auf die Vortragsfolien geschafft, worüber ich mich sehr freue, denn dieser Vortrag von Alexander Kornbrust gehört traditionell zu den Highlights der DOAG Konferenz.

Oracle Security 2017 Slides

(c) Red-Database-Security GmbH

Neue Webseiten bei Loopback.ORG

Nach langen Jahren haben wir uns von unseren alten Webseiten verabschiedet und mit einem Relaunch Platz für Neues geschaffen. Die Webseite hat einen moderneren Look bekommen und unser Blog ist nun integriert worden.

Der Zugriff auf die alten Blog-Posts bleibt auch über die alten Adressen erhalten. Die Adresse des RSS-Feeds hat sich geändert und lautet nun: https://www.loopback.org/feed/.

SEPA-Umstellung um 6 Monate verschoben

,

Die EU-Kommission verlängert die Übergangszeit für die Einführung des einheitlichen Überweisungs- und Lastschriftverfahrens SEPA um ein halbes Jahr. Offiziell bleibe es aber beim Auslaufen der Frist vom 1. Februar 2014, in der Praxis allerdings sollen die bisherigen Überweisungswege noch bis zum 1. August funktionieren.

„Ich bedaure, das tun zu müssen, aber diese Maßnahme ist erforderlich, um mögliche Risiken einer Störung des Zahlungsverkehrs zu verhindern, die besonders für Verbraucher und kleine und mittlere Unternehmen Folgen haben könnten“, sagte EU-Binnenmarktkommissar Michel Barnier.

Hier ist die Original-Presseerklärung der EU nachzulesen.