Некоторые вопросы безопасности в Oracle - Внутренняя безопасность базы данных Oracle

ОГЛАВЛЕНИЕ


Внутренняя безопасность базы данных Oracle

В отличие от операционных систем, где процесс обновления уже не вызывает трудностей и осуществляется почти в автоматическом режиме, с Oracle дела обстоят намного хуже. Во-первых, обновления выходят редко, во-вторых, до сих пор их установка нетривиальна и часто грозит серьезными сбоями в тех случаях, когда Oracle используется в совокупности с какой-либо сторонней системой, работающей с определенной версией Oracle. Наконец, даже если обновления исправно устанавливаются, это все равно не дает полной гарантии безопасности, так как по статистике более половины уязвимых мест так и остаются незакрытыми.

Основные атаки, совершаемые пользователями базы данных Oracle, направлены на повышение своих привилегий. Воспользовавшись уязвимыми местами во встроенных функциях, злоумышленник может выполнить следующие действия:

  • повысить привилегии до роли администратора;
  • произвести атаку типа «отказ в обслуживании» или запустить произвольный код на сервере;
  • прочитать хеши паролей пользователей и попытаться в дальнейшем расшифровать их;
  • сменить пароли к учетным записям пользователей, в том числе администраторов;
  • получить доступ к системным файлам;
  • получить доступ к командной строке сервера.

Все эти возможности требуют тех или иных дополнительных знаний и программных средств, но тем не менее они очень популярны и имели место практически во всех системах на базе Oracle. А, учитывая, что в Windows база данных Oracle по умолчанию работает от имени учетной записи администратора, получение доступа к командной строке сервера через внутренние процедуры Oracle грозит получением административного доступа к операционной системе со всеми вытекающими последствиями. Наличие внутренних уязвимых мест высокой степени критичности вкупе с ошибками конфигурации и слабыми паролями представляет реальную угрозу безопасности компании.