‘Oracle-database makkelijk te hacken’
Het authenticatieprotocol van Oracle’s 11g databaseserver registreert geen mislukte inlogpogingen als de verbinding meteen na het ontvangen van de ‘session key’ wordt onderbroken. Een hacker kan vervolgens miljoenen wachtwoorden per seconde op de ontvangen ‘session key’ uitproberen tot het juiste wachtwoord gevonden is. Fayo bouwde een tooltje dat simpele wachtwoorden van 8 letters kan kraken in vijf uur tijd, draaiend op een gewone pc.
Shutterstock
© Shutterstock
Met de juiste middelen is de tijd die nodig is om het wachtwoord te achterhalen, enorm te bekorten.
Inlog-pogingen
Fayo ontdekte de bug nadat hem een inconsistentie was opgevallen in de manier waarop clients en database-servers met mislukte inlog-pogingen omgaan. Pogingen waarbij onjuiste wachtwoorden werden ingevoerd worden door de servers anders behandeld dan door de clients. Bovendien lekte de session key informatie over de hashcode van het wachtwoord.
Oracle heeft inmiddels een nieuwe versie van het authenticatieprotocol uitgebracht (versie 12) waarin het probleem is opgelost. Volgens Fayo is Oracle niet van plan om het probleem in versie 11.1 te verhelpen. Volgens Fayo gaat het om een gevaarlijke situatie, gezien de schaal waarop de database in gebruik is en het gemak waarmee een wachtwoord is te achterhalen.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee