Und hier kommt noch etwas zum Thema Security. Das ist aber auch gerade ein Hype-Thema…
Auf soonerorlater.hu wird von László Tóth beschrieben, wie man die Transparent Database Encryption (TDE) bei Oracle knackt. Das ist nun sicher kein Grund zur Schadenfreude, denn Microsoft wird das sicher auch nicht so viel anders machen. Immerhin ist hier Performance das wichtigste Ziel – mit den üblichen Nebenwirkungen.
Das enthält der Vortrag:
- How to attack the encryption features in Oracle database with DLL injection on Windows and Linux
- How TDE (Transparent Database Encryption) feature works and demonstration of a toolset that can be used to decrypt the TDE encrypted data
- An initial analyzes of the security of the Remote Job Scheduling feature
Außerdem steht auch noch der Demo-Code online bereit. Würde mich interessieren, ob den jemand einsetzt…
Was mich allerdings verwundert hat: Auf Seite 12 des Vortrages sieht man, dass ein Admin bei Oracle leicht die Passwörter der Benutzer sehen kann. Das finde ich kritisch, warum wird hier nicht wie üblich mit Hashwerten gearbeitet? OK, auch der Rest des Artikels ist interessant, denn es gibt erstaunlich viele Möglichkeiten. Ich würde mal sagen dieser Vortrag ist der Alptraum von Larry Ellison.
Hier ist der Vortrag als PDF.
Da ich mich in den letzten Monaten mit der dunklen Seite der Security beschäftige, machte mich mein Chef auf den sehr lesenswerten Artikel "