‘Oracle-database makkelijk te hacken’

Het authenticatieprotocol van Oracle’s 11g databaseserver registreert geen mislukte inlogpogingen als de verbinding meteen na het ontvangen van de ‘session key’ wordt onderbroken. Een hacker kan vervolgens miljoenen wachtwoorden per seconde op de ontvangen ‘session key’ uitproberen tot het juiste wachtwoord gevonden is. Fayo bouwde een tooltje dat simpele wachtwoorden van 8 letters kan kraken in vijf uur tijd, draaiend op een gewone pc.

Redactie AG ConnectMeer van deze auteur

Met de juiste middelen is de tijd die nodig is om het wachtwoord te achterhalen, enorm te bekorten.

Inlog-pogingen

Fayo ontdekte de bug nadat hem een inconsistentie was opgevallen in de manier waarop clients en database-servers met mislukte inlog-pogingen omgaan. Pogingen waarbij onjuiste wachtwoorden werden ingevoerd worden door de servers anders behandeld dan door de clients. Bovendien lekte de session key informatie over de hashcode van het wachtwoord.

Oracle heeft inmiddels een nieuwe versie van het authenticatieprotocol uitgebracht (versie 12) waarin het probleem is opgelost. Volgens Fayo is Oracle niet van plan om het probleem in versie 11.1 te verhelpen. Volgens Fayo gaat het om een gevaarlijke situatie, gezien de schaal waarop de database in gebruik is en het gemak waarmee een wachtwoord is te achterhalen.

Van digitale werkplek naar strategisch voordeel: hoe DEX-beheer kosten bespaart én de business versterkt

Stop met brandjes blussen. Start met DEX-beheer en maak van je digitale werkplek een strategisch voordeel.

2 min

Blog digitale werkplek Partner

Werkplekbeheer: zelf doen of uitbesteden?

Werkplekbeheer: zelf doen of uitbesteden en hoe zit het met datasouvereiniteit?

4 min

Achtergrond Klantervaring Partner

Met outside-in denken de klant écht verder helpen

Bij Cegeka draait het om outside‑in denken: klantvragen staan centraal, niet de technologie, voor maximale impact. Harry weet er alles van.

2 min

Meer whitepapers

Whitepaper Security Partner

De weg ontdekken naar geïntegreerde IT- en fysieke beveiliging afdelingen

De samenvoegingen van IT en fysieke beveiliging begon jaren geleden, maar hoe staat het er nu voor met deze ontwikkeling?

Whitepaper Artificial Intelligence Partner

The challenge of information asymmetry

In many organizations, decision-making is hindered by information asymmetry, where critical data is unevenly distributed

Whitepaper Cloud Partner

Hoe de cloud onze manier van werken heeft veranderd

Het gebruik van cloud-gebaseerde oplossingen voor documentbeheer, printmanagement en workflowautomatisering groeit enorm.

MEER WHITEPAPERS

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee