Beveiliging van wachtwoorden in Oracle onder de maat…

28 oktober 2005

Het is voor aanvallers een betrekkelijk eenvoudige zaak om de
wachtwoorden van gebruikers van een Oracle database te verkrijgen
dankzij het zwakke beschermingsmechanisme. Hierdoor kunnen belangrijke
bedrijfsdata van buitenaf door onbevoegden worden benaderd, wat grote
risico’s met zich mee kan brengen. In de laatste kritiek die de
database-ontwikkelaar heeft gekregen, wordt Oracle opgeroepen met spoed
het mechanisme dat wachtwoorden voor databasegebruikers beveiligt te
verbeteren. Onderzoekers stellen dat ze een manier hebben gevonden om
binnen enkele minuten alle wachtwoorden, zelfs zeer goed geschreven
wachtwoorden, te herleiden. De techniek die door Oracle wordt gebruikt
om wachtwoorden op te slaan en te versleutelen voorziet niet in
voldoende beveiliging, zo stellen Joshua Wright van het SANS Institute en Carlos Cid van het Royal Holloway College van de Universiteit van Londen. Wright gaf op 26 oktober een presentatie hierover op de SANS Network Scurity Conference in Los Angeles.



In zijn presentatie beschreef Wright hoe wachtwoorden worden
versleuteld voordat ze in de Oracle databases worden opgeslagen. Hij
presenteerde vervolgens een tool die hij schreef om wachtwoorden te
herleiden. Samen met Cid heeft Wright een paper
geschreven dat ingaat op de problematiek. De beide onderzoekers
ontwaarden verschillende kwetsbaarheden, zoals een zwak hashing
mechanisme en een gebrek aan, zoals Wright het beschrijft, ‘case
preservation, all passwords are converted to uppercase characters
before calculating the hash’. ‘By exploiting these weaknesses, an
adversary with limited resources can mount an attack that would reveal
the plain text password from the hash for a known user’, zo schrijven
de onderzoekers in hun paper. In juli hebben Wright en Cid Oracle in
kennis gesteld van hun bevindingen, maar regelmatige verzoeken om een
antwoord hebben geen resultaat gehad.
Oracle wenst duidelijk geen commentaar te geven. Gebruikers kunnen hun
systemen beschermen door sterke wachtwoorden te eisen en door de
gebruikersrechten sterk te beperken. Uiteraard dienen de gebruikers
Oracle voortdurend er op te wijzen dat de wachtwoordbeveiliging moet
worden verbeterd. De kritiek van deze onderzoekers is de zoveelste in
de rij: Oracle komt steeds meer onder vuur te liggen voor haar
beveiligingspraktijken. Beveiligingsdeskundigen vinden het bedrijf veel
te laks en te traag
in het oplossen van geconstateerde problemen en het uitbrengen van
patches voor hun software. Oracle weigert over het algemeen in te gaan
op de groeiende kritiek.

Share This:

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.